Página 4 de 4 PrimeiroPrimeiro 1234
+ Responder ao Tópico



  1. #61
    maverick_cba
    Visitante

    Padrão Invasão Hacker

    Ae edmafer, gostei da forma com que você implementa sua segurança e já vou até adotar algumas de suas dicas.

    Agora me responda uma coisa: quais regras são necessárias para eu colocar a chain PREROUTING como DROP e liberar acesso web (http) sendo que uso proxy transparente. Quando fui fazer esse firewall eu não obtive sucesso usando politica DROP para a chain PREROUTING.

    Se puderem pelo menos me explicar quais serviços passam pelas chains PREROUTING já me ajudaria, pois esse é o maior problema.

    Alguem pode me dar um empurrão? Tô querendo fazer um firewall parrudo!!

  2. #62

    Padrão Regras firewall

    Maverick, todas (se eu estiver errado por favor alguém me corrija).
    Quando você definir suas regras padrões como DROP (veja no exemplo do post anterior), você precisará liberar para tudo o que for necessário (mas somente o necessário).

    Tanto que meus log's são configurados nas CHAINS PREROUTING, já que se passa por elas antes de qualquer outra regra. Mas como o todo admim é desconfiado, eu bloqueio as outras opções também como INPUT e FORWARD (se for o caso).

    Um exemplo para você liberar um acesso fazendo um NAT normal seria o seguinte:

    Esta é uma regra geral, mas para todos os usuários eu limito o pop e o smtp a um único servidor de e-mail.

    Para isto é só adicionar um destino -d ip_server_mail.

    Código :
    ip=sua_faixa_de_ip
     
    iptables -A FORWARD -s $ip -d 0.0.0.0/0 -p tcp -m multiport --dport 25,80,110 -j ACCEPT
    iptables -A FORWARD -d $ip -p tcp -m multiport --sport 25,110 -j ACCEPT
    iptables -t nat -A PREROUTING -s $ip -d 0.0.0.0/0 -p tcp -m multiport --dport 25,80,110 -j ACCEPT
    iptables -t nat -A PREROUTING -d $ip -p tcp -m multiport --sport 25,110 -j ACCEPT
    iptables -t nat -A POSTROUTING -s $ip -d 0.0.0.0/0 -p tcp -m multiport --dport 25,80,110 -j MASQUERADE

    Você pode notar que não liberei consulta ao DNS, isto por que meu servidor de DNS é local, então eu o libero em outra regra:

    O que é uma boa dica de segurança, já que ataques podem ser feitos pelo DNS.

    Código :
    #liberando a rede interna para consultar DNS no servidor
    iptables -A INPUT -s $ip -i $redein -d $ipserver -p udp --dport 53 -j ACCEPT
    iptables -A FORWARD -s $ip -d $ipserver -p udp --dport 53 -j ACCEPT
    iptables -t nat -A PREROUTING -s $ip -d $ipserver -p udp --dport 53 -j ACCEPT

    E um exemplo de log, seria o meu de SSH:

    Código :
    iptables -t nat -A PREROUTING -i $IFACE_EXT -p tcp --dport 22 -m state --state ! ESTABLISHED,RELATED -m limit --limit 5/s -j LOG --log-prefix "SSH Tentativa externo"

    Eu gravo log tanto para os acessos externos quanto internos.

    Há isto é importante, não permita acesso a sua máquina pela parte externa na porta do SQUID, não é só por questão de segurança, mas você não ia querer um monte de usuário pendurado no teu proxy, para tentar escapar das regras de uma empresa, ou faculdade.

    E uma dica bastante batida:
    http://focalinux.cipsga.org.br/guia/...w-iptables.htm

    Qualquer dúvida posta ai, que tentamos te ajudar.

  3. #63

    Padrão Que desatenção minha

    Desculpe, não me ative ao proxy transparente. Mas vale o exemplo do MASQUERADE.

    Para proxy transparente é simples:

    (agora vou ser experto eu vou mandar sem o code)


    Abaixo, estou liberando o acesso da rede interna ao meu apache, mas tudo que for na porta 80 com destino diferente do servidor...

    #Liberando para acesso interno
    iptables -A INPUT -s $ip -i $redein -d $ipserver -p tcp --dport 80 -j ACCEPT

    #Liberando o roteamento para esta porta
    iptables -A FORWARD -s $ip -i $redein -d $ipserver -p tcp --dport 80 -j ACCEPT

    #Liberando o PREROUTING para esta porta
    iptables -t nat -A PREROUTING -s $ip -i $redein -d $ipserver -p tcp --dport 80 -j ACCEPT


    ... eu redireciono para a porta do squid:


    iptables -t nat -A PREROUTING -s $ip -i $redein -d ! $ipserver -p tcp --dport 80 -j REDIRECT --to-port 3128


    Qualquer dúvida avise.

    []'s

  4. #64
    maverick_cba
    Visitante

    Padrão Invasão Hacker

    Cara, valew mesmo. Obrigado a todos.

    Vou dar uma lida no Guia avançado e ver se consigo extrair formas mais avançadas de bloqueio. Se o resultado desse firewall ficar bom, eu prometo postar o resultado aqui.

    Obrigado mais uma vez.