Sobre o Forward

[moisesbrandalise]

Ao executar o comando netstat --inet -nap IP ... nenhuma porta é listada em meu firewall. Minhas regras de INPUT estão ok. Estou preocupado com minhas regras de NAT... (PREROUTING) onde redireciono alumas portas para meu servidor Windows 2003(terminal server:3389), cujo mesmo contém muitas portas abertas. O que posso fazer em meu firewall para melhorar a segurança de minha rede interna? Estou correndo algum risco de as demais portas do Windows 2003 serem exploradas??? Se eu DROPAR o FORWARD e liberar apenas as portas que redirecionei via nat, melhoraria minha segurança???

[Danilo_Montagna]

faça o NAT apenas da porta 3389 .. e nao um NAT FULL..

e faça um boa politica de FORWARD..

vc perguntou sobre seguranca.. nao existe firewall ou rede 100% segura.. o mais que podemos fazer e chagar o mais perto possivel desses 100%..

uma vulnerabilidade do WTS na porta 3389 pode acabar virando um ataque a sua rede.. mais isso nao acontece com frequencia em pequenas empresas...

se vc for de uma Multinacional.. ou cousa assim.. entao preocupe-se em mater esse WTS sempre atuailizado..

mais nao leve isso aos estremos.. segurança é bom.. mais nao precisa apelar..

[]'s

[moisesbrandalise]

Sempre trabalhei com software proprietário... NT e hoje com Windows 2003 p/ dados e linux no firewall, proxy, ftp etc....
Estou juntando tudo o que for material sobre política de Forward... mas ainda tenhos algumas dúvidas.... Imagine no caso de passar pelo meu firewall apenas a conexão NAT p/ porta 3389 do windows 2003... pois bem... qual seria na opinião dos amigos uma forma interessante de criar meu Forward... Dropando a política (-P FORWARD DROP) e liberando apenas a porta 3389,,, (--dport 3389 <ip> -j ACCEPT),,, Mas o NAT não ignora o Forward pela razão de usar PREROUTING???? Ajudem-me...

[Danilo_Montagna]

sim.. pode fazer dessa maneira.. que é a ideal..

politica default = DROP

--dport 3389 -j ACCEPT..

Mas o NAT não ignora o Forward pela razão de usar PREROUTING????

Claro que nao..

[]'s