+ Responder ao Tópico



  1. 12-11-2005, 02:53 #1
    CassioAbreu
    Visitante

    Padrão firewall

    O meu samba, se nao coloco este argumento ele simplismente nao funciona, e colocando este argumento libera algumas portas muito indesejaveis.

    iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

    Vou colocar o meu firewall, quem tiver uma sugestao, por favor, seja bem vindo.




    echo
    echo
    echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
    echo "@@@ CONFIGURACAO DO FIREWALL @@@@@@@@@@"
    echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
    echo
    echo

    echo " LIMPANDO AS REGRAS DO IPTABLES ------------------------ OK"
    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD

    echo " DEFININDO POLITICA DE REGRAS DO IPTABLES -------------- OK"

    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    echo " REDEFININDO AS REGRAS --------------------------------- OK"

    echo " LIBERANDO ACESSO AO SERVIDOR -------------------------- OK"

    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -s 0/0 -p udp -m multiport --sport 53 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp -m multiport --sport 25,80,110,443 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp -m multiport --dport 25,80,110,443 -j ACCEPT

    echo " LIBERANDO ACESSO A REDE LOCAL ------------------------- OK"

    #### NESTE CASO A MINHA REDE INTERNA (LAN) PERTENCE A INTERFACE ETH2 E MINHA REDE EXTERNA (WAN) A INTERFACE ETH1 ###

    iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j DROP
    iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j DROP
    iptables -A FORWARD -d gateway.messenger.hotmail.com -j DROP
    iptables -A FORWARD -d messenger.hotmail.com -j DROP
    iptables -A FORWARD -d loginnet.passport.com -j DROP
    iptables -A FORWARD -d login.passport.net -j DROP
    iptables -A FORWARD -d login.icq.com -j DROP

    iptables -A INPUT -i eth2 -p tcp -m multiport --dport 80,22,23,25,110,137,138,139,443,445,3128 -j ACCEPT
    iptables -A INPUT -i eth2 -p tcp -m multiport --sport 80,22,23,25,110,137,138,139,443,445,3128 -j ACCEPT

    #=========================================================================================

    iptables -A FORWARD -d gateway.messenger.hotmail.com -j DROP
    iptables -A FORWARD -d messenger.hotmail.com -j DROP
    iptables -A FORWARD -d login.passport.net -j DROP
    iptables -A FORWARD -d loginnet.passport.com -j DROP
    iptables -A FORWARD -d login.icq.com -j DROP

    iptables -A FORWARD -i eth2 -p tcp -m multiport --dport 80,22,23,25,110,137,138,139,443,445,3128 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p tcp -m multiport --sport 80,25,110,443,3128 -j ACCEPT

    #=========================================================================================

    iptables -A FORWARD -s 0/0 -p udp -m multiport --sport 53 -j ACCEPT
    iptables -A FORWARD -i eth2 -p udp -m multiport --dport 53,137,138,139,445 -j ACCEPT

    #### LIBERAÇÃO DE SOCKETS #####

    iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

    #### DESCOMENTEM ESTA LINHA CASO SEJA NECESSARIO

    ##################################################################
    ##################################################################
    ##################################################################

    echo " COMPARTILHAMENTO DA INTERNET, MASCARAMENTO ------------ OK"

    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    #################################################
    ###### PROXY TRANSPARENTE #############
    #################################################

    echo " PERMITINDO PROXY TRANSPARENTE ------------------------- OK"

    iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

    #################################################
    #################################################

    echo " PERMITINDO REDIRECIONAMENTO DE PACOTES ---------------- OK"

    echo 1 >/proc/sys/net/ipv4/ip_forward

    echo
    echo
    echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
    echo "@@@ TERMINO DA CONFIGURAÇÃO @@@"
    echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
    echo
    echo
    Citação Citação
  2. 13-11-2005, 09:09 #2
    adepto_virtual
    Visitante

    Padrão firewall

    Vamos começar pelo começo...

    Quando um host quer conectar a um servidor ou outro host, ele envia um pedido em uma porta especifica.

    Por exemplo, se eu quizer acessar a porta 80 num servidor WWW, o meu browser vai indicar a porta a partir do momento que eu indicar o endereço.

    Ok. A partir do momento que o host envia o SYN, o servidor envia um outro pacote de ACK, que diz para o host que os dois podem sim fechar conexão.

    Ai surge o problema... A porta que o servidor retorna a resposta para o host é uma PORTA ALTA ALEATÓRIA, ou seja, para você liberá-la no firewall, só com bola de crystal.

    Devido a isso, foi desenvolvido uma solução: Toda vez que o servidor devolve a resposta para o host ele diz dentro do pacote que a conexão está estabelecida.

    Por isso que devemos liberar os sockets, caso contrario não conseguiriamos estabelecer nenhuma conexão.

    Espero ter sido claro. Até
    Citação Citação
  3. 13-11-2005, 16:05 #3
    Cassio Abreu
    Visitante

    Padrão firewall

    Quanto a isto eu ja tinha entendido, a grande questao eh: e as portas qeu ficam abertas externamente? Isso no meu ponto de vista eh uma falha de seguranca, pois se uso o Nmap ele me mostra varias portas UDP abertas.

    Nao existe uam forma de fazer isto sem que tenha que liberar os socketes

    Outro detalhe, eu estava pensando em colocar uma chain OUTPUT com somente as portas 22, 25, 110, 443, 80, permitindo somente a saida destes, o que voce acha???
    Citação Citação
  4. 13-11-2005, 17:32 #4
    taiokada
    Visitante

    Padrão Regas mais expecificas

    Boa tarde ..


    Kara é o seginte para vc não precisar liberar os sockets é so vc liberar as portas para uso do samba na CHAIN INPUT especificando a interface que vc quer que acesse as portas ... no seu caso acredito que só a rede interna . Vale lembrar tambem como vc não ira usar sockets tera que liberar na mão as portas UDP que forem necessarias....

    Qualquer coisa posta ai...
    Citação Citação
  5. 13-11-2005, 19:40 #5
    CassioAbreu
    Visitante

    Padrão Re: Regas mais expecificas

    Citação Postado originalmente por taiokada
    Boa tarde ..


    Kara é o seginte para vc não precisar liberar os sockets é so vc liberar as portas para uso do samba na CHAIN INPUT especificando a interface que vc quer que acesse as portas ... no seu caso acredito que só a rede interna . Vale lembrar tambem como vc não ira usar sockets tera que liberar na mão as portas UDP que forem necessarias....

    Qualquer coisa posta ai...
    Se voce verificar, no meu firewall tem essas chains

    iptables -A INPUT -i eth2 -p tcp -m multiport --dport 80,22,23,25,110,137,138,139,443,445,3128 -j ACCEPT
    iptables -A INPUT -i eth2 -p tcp -m multiport --sport 80,22,23,25,110,137,138,139,443,445,3128 -j ACCEPT
    iptables -A FORWARD -i eth2 -p udp -m multiport --dport 53,137,138,139,445 -j ACCEPT


    E mesmo assim essa porca pica nao funciona, somente liberando os socketes.
    Citação Citação
  6. 13-11-2005, 20:09 #6
    CassioAbreu
    Visitante

    Padrão firewall

    Problema resolvido. Com a ajuda do amigo acima, eu verifiquei que eu nao tinha uma regra de entrada das portas UDP, somente o repasse das mesmas, dessa forma, agora esta tudo funcioanando perfeitamente sem ter que utilizar o MSTATE.

    Agradeço a todos pela ajuda e continuamos a percorrer esta estrada chamada linux.
    Citação Citação



« Tópico Anterior | Próximo Tópico »