[FUGSPBR] permitir conexoes somente saida

Bathun Ramazzot alt13n em ieg.com.br
Qui Abr 10 17:06:33 BRT 2003



Jean Duarte wrote:

>    Como Assim o squid abre para fora?
>
nao que ele abre, eh que no firewall eu abro as portas acima de 1024... 
e aih se tiver algum serviço rodando acima dessa porta ele vai ficar 
aberto...
mas bom... tudo bem... tah resolvido aqui, mas vou dar uma olhada no 
tutorial

muito obrigado pela força!
abraço
fabio

>
>Não fica nenhum porta aberta, e por sinal o Firewall pode estar todo
>aberto, mas se nao tiver nenhum servico rodando nas portas, o "hacker"
>nao vai conseguir se conectar em lugar nenhum..
>
>Leia o tutorial que vc vai saber como resolver seu problema.
>
>Nao adianta dar o peixe pescado também neh !
>
>Inteh +
>Jean Duarte
>
>
>
>
>----- Original Message -----
>From: "Bathun Ramazzot" <alt13n em ieg.com.br>
>To: "Grupo Brasileiro de Usuarios FreeBSD" <fugspbr em fugspbr.org>
>Sent: Thursday, April 10, 2003 4:20 PM
>Subject: Re: [FUGSPBR] permitir conexoes somente saida
>
>
>  
>
>>eh... o problema eh a "qualquer porta" que o squid abre para fora...
>>eu pensei em liberar os pacotes de entrada somente originados da porta
>>80, mas aí vou ter problemas com bancos (445)... e outras coisas do
>>    
>>
>tipo...
>  
>
>>a solução que encontrei, só dando uma olhada no man do ipfw foi colocar
>>um "established" no fim da regra...
>>fiz uns testes e parece que deu certo... alguem aí com mais experiencia
>>ja teve problemas com isso?
>>
>>e qquer forma, vou dar uma olhada no tutorial...
>>
>>muito obrigado!!
>>Fabio
>>
>>Jean Duarte wrote:
>>
>>    
>>
>>>   Da forma como vc fala estaria trabalhando com seu firewall de forma
>>>stateful,
>>>são configuracoes mais complexas.
>>>
>>>Para vc enteder bem disso seria interessante ler o seguinte tutorial, que
>>>por sinal
>>>explica isso muito mais.
>>>http://free.bsd.com.br/~eksffa/freebsd/ipfw.php
>>>
>>>Leia sobre as regras stateles e stateful. E use um tcpdump para entender
>>>como
>>>os pacotes entram e saem da sua rede.
>>>
>>>O Mais facil eh vc liberar o acesso da sua rede interna para o seu proxy
>>>      
>>>
>e
>  
>
>>>bloquear o resto de dentro para fora. Se seu Squid roda na 3128.
>>>
>>>Libere sua rede para acessar ele.
>>>add pass tcp from 192.168.1.1 to IP.SERVER 3128
>>>Bloqueie o Resto
>>>add deny tcp from any to IP.SERVER 3128
>>>
>>>Assim ninguem consegue acessar o seu Squid de fora, lembre-se
>>>que no Squid tambem existem ACL's para controlar isso.
>>>
>>>O Squid soh recebe requisicoes em uma porta que vc configura,
>>>na hora de ele sair ele sai de qualquer porta para a porta 80.
>>>
>>>Leia o Tutorial que vc vai ficar com em IPFW.
>>>
>>>Inteh +
>>>Jean Duarte
>>>
>>>
>>>
>>>----- Original Message -----
>>>From: "Bathun Ramazzot" <alt13n em ieg.com.br>
>>>To: "Grupo Brasileiro de Usuarios FreeBSD" <fugspbr em fugspbr.org>
>>>Sent: Thursday, April 10, 2003 2:53 PM
>>>Subject: Re: [FUGSPBR] permitir conexoes somente saida
>>>
>>>
>>>
>>>
>>>      
>>>
>>>>mas eu digo assim:
>>>>o servidor tem que acessar as paginas atraves da ed0 (interface do
>>>>        
>>>>
>speedy)
>  
>
>>>>então ele precisa de permissão para iniciar conexções e receber dados
>>>>dessas que foram _iniciadas_por_ele_
>>>>mas ele nao pode dar permissão de que algum computador de fora inicie a
>>>>conexão...
>>>>
>>>>alguem tem uma dica?
>>>>obrigado
>>>>fabio
>>>>
>>>>Márcio Luciano wrote:
>>>>
>>>>
>>>>
>>>>        
>>>>
>>>>>Ola, eu faco o seguinte
>>>>>se voce quer permiter que o pessoal possa ver sua pagina eu faco o
>>>>>
>>>>>
>>>>>          
>>>>>
>>>seguinte
>>>
>>>
>>>      
>>>
>>>>>/sbin/ipfw add 410 pass tcp from any to any 80 via rl0
>>>>>
>>>>>e para nao permitir faca o contrario, deny!
>>>>>OK!!
>>>>>
>>>>>T+
>>>>>Marcio
>>>>>Subject: [FUGSPBR] permitir conexoes somente saida
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>          
>>>>>
>>>>>>Alo, galera!
>>>>>>
>>>>>>seguinte
>>>>>>coloquei o squid aqui no servidor de internet e pra ele rodar liberei
>>>>>>            
>>>>>>
>no
>  
>
>>>>>>ipfw as portas acima de 1024...
>>>>>>mas estou preocupado com os serviços como o proprio squid que roda em
>>>>>>cima desse numero...
>>>>>>
>>>>>>tem alguma regra que permita que somente as conexões iniciadas do meu
>>>>>>computador passem?
>>>>>>digo, permitir que o squid abra conexoes com os servidores web mas que
>>>>>>ninguem consiga abrir conexoes nessas portas?
>>>>>>
>>>>>>obrigado
>>>>>>fabio
>>>>>>
>>>>>>_______________________________________________________________
>>>>>>Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
>>>>>>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>            
>>>>>>
>>>>>_______________________________________________________________
>>>>>Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
>>>>>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>>>>>.
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>          
>>>>>
>>>>_______________________________________________________________
>>>>Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
>>>>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>>>>
>>>>
>>>>
>>>>
>>>>        
>>>>
>>>_______________________________________________________________
>>>Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
>>>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>>>.
>>>
>>>
>>>
>>>      
>>>
>>_______________________________________________________________
>>Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
>>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>>
>>
>>    
>>
>
>_______________________________________________________________
>Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>.
>
>  
>

_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/



Mais detalhes sobre a lista de discussão freebsd