+ Responder ao Tópico



  1. 29-11-2007, 18:09 #1
    smsfabio
    smsfabio está desconectado
    Avatar de smsfabio
    Ingresso
    Aug 2006
    Posts
    39

    Padrão Iptables configuracao em Firewall transparente com Bridges

    Olá pessoal, peço a vc uma ajuda : configurei um firewall em minha rede, que esta da seguinte forma :

    Internet
    |
    roteador (ip: 200.87.0.1)
    |
    |
    bridge (ip1: 200.87.0.2)
    | (gw: 200.87.0.1)
    |
    ------+------
    SERVER 1 --> WWW/FTP/MAIL/DB (ip: 200.87.0.10)
    windows 2003 (gw: 200.87.0.1)

    SERVER 2 --> WWW/FTP/MAIL/DB (ip: 200.87.0.20)
    linux (gw: 200.87.0.1)

    SERVER 3 --> WWW/FTP/MAIL/DB (ip: 200.87.0.30)
    linux (gw: 200.87.0.1)

    bom a bridge transparente esta funcionando normalmente, utilizei a seguinte configuraçao para a ponte :

    # brctl addbr br0
    # brctl addif br0 eth0
    # brctl addif br0 eth1

    # ifconfig eth0 0.0.0.0
    # ifconfig eth1 0.0.0.0

    # ifconfig br0 200.87.0.2 netmask 255.255.255.0
    # route add default gw 200.87.0.1

    Esta funcionando tudo normalmente... Porem ate o momento firewall mesmo para barrar nao tem nada pois nao consegui criar um regra no iptables que funcione.

    Gostaria de uma ajuda de vcs, para criar esta regra.
    Hoje tenho os seguintes problemas.

    - Tentativas de acessos constantes via FTP com falha de usuarios e senha incorretos.

    - Servidor de e-mail recebe ataques todos os dias... nao sei bem mas nos logs aparece uma lista gigantesca de tentativas com falha de usuarios e senha incorretos.

    Neste servidor cada um deles rodam sites das empresas da minha cidade, e nos 3 servidores tem : servidor de email e banco de dados e web.

    Alguem tem uma sugestão de uma regra segura para este tipo de aplicação.
    Ficarei muito grato caso alguem posso de alguma forma me ajudar.

    Desde já agradeço a todos.
    Citação Citação
  2. 29-11-2007, 21:03 #2
    zenun
    zenun está desconectado
    Avatar de zenun
    Ingresso
    Sep 2005
    Localização
    Rio de Janeiro
    Posts
    502
    Posts de Blog
    10

    Padrão

    Então cara... o que eu posso sugerir é que você instale um IDS/IPS como o Snort In Line!
    Aqui tem o link Snort - 1.5 Inline Mode

    O que ele faz é analizar o padrão de trafego que passa por sua bridge e se ele detectar
    um padrão de ataque ele cria regras dinâmicas de iptables para barrar aquela origem!

    É uma saida muito interessante e é muito melhor do que criar regras estáticas.
    Mas se você mesmo assim quer usar iptables dessa forma existe o modulo "Limit"
    ou ainda o "recent" que é ainda mais esperto que o limit!

    Aqui tem um tutorial bem legal sobre o recent http://www.vivaolinux.com.br/artigos...hp?codigo=5551

    E ainda outra coisa... eu aqui em um servidor precisei deixar o ssh aberto e para estar mais seguro troquei a porta padrão,
    mas mesmo assim usei um programa chamado fail2ban, que analisa logs, como o do ssh em busca erros na autenticação,
    se chegar a um limite ele barra o ip que esta fazendo esse brutal force e cria uma regra temporária para bloquear ele.
    Uma coisa legal é que você define o tempo de bloqueio!

    Faça uns testes aee!

    Abraço,

    André
    Última edição por zenun; 29-11-2007 às 21:08. Razão: informações extras...
    Citação Citação



« Tópico Anterior | Próximo Tópico »