[FUG-BR] Iptables - Help

Pablo Sánchez phackwer em gmail.com
Qui Jul 28 12:15:42 BRT 2005


Ah é, e só mais uma coisa: use OpenBSD com PF para seu perímetro. ;-)
Muuito melhor que iptables.

On 7/28/05, Pablo Sánchez <phackwer em gmail.com> wrote:
> Pode até ser uma lista de BSD, mas firewall é a mesma coisa sempre,
> regras de abertura e regras de bloqueio. Ou seja: posso não saber o
> comando exato, mas sei o que deve ser feito, hehehe.
> 
> Henrique, o que vc precisa fazer antes de mais nada e determinar que
> tipo de política você vai usar na sua rede: permissiva ou restritiva.
> Na permissiva, vc libera tudo e bloqueia só o que não quer liberado.
> Na restritiva, vc fecha tudo e libera só o que deve ser liberado.
> 
> Obviamente, o ideal é a restritiva. Baseado nessa escolha você começa
> a ver o que vai deixar que seus usuários acessem externamente:
> http? Libera a porta 80
> https? Libera a porta 443
> SMTP externo? libera a porta 25
> POP externo? libera a 110
> E por aí vai. Depois de tudo isso definido, vc cria uma regra
> bloqueando tudo. Porque firewall funciona assim: a princípio, tudo
> está aberto, a menos que eu encontre uma regra fechando. Então,
> colocando as regras nessa ordem, vc vai estar fazendo com que ele se
> encaixe em uma dessas regras. Encontrando uma delas, o pacote é
> liberado. Se não encontrar, ele vai até o final da lista de regras. Se
> não há uma regra bloqueando tudo no final, seu firewall não vale nada.
> 
> Ao definir a regra, vc deve também compreender o sentido no qual a
> regra está controlando. Nessa lista aí de cima eu estaria colocando as
> regras permitindo acesso de dentro para fora. Na regra de fora para
> dentro, eu fecharia tudo. Seu firewall, nesse caso, tem que ser um
> firewall de estados. Ou seja, ele tem que permitir que entrem os
> pacotes de fora que foram requisitados a partir da rede interna, mas
> não deve deixar mais nada entrar.
> 
> Como não deve ter nada definido, tudo está liberado. As redes samba
> utilizam a porta 139 e funcionam por Broadcasting. Quer dizer, a rede
> samba está constantemente mandando pacotes para todas as máquinas da
> rede (para informar várias coisas, como quais são as máquinas
> disponíveis, os compartilhamenrtos públicos, impressoras, etc). Se não
> tem nada bloqueado, como o pacote é broadcasting, ele vai até o
> gateway de algum dos outros clientes desse seu provedor, que encaminha
> para o gateway do provedor, que propaga para todos os outros clientes.
> Como seu provedor é peba (ruim, bosta, porcaria), ele não se preocupou
> em configurar o acesso para você, e deixou toda a segurança por conta
> dos clientes.
> 
> Então, das duas uma: compra um bom livro sobre segurança de redes e se
> protege (aliás, faça isso sim ou sim, te aconselho a comprar o livro
> "Desvendando Segurança de Redes") ou você troca de provedor.
> 
> Obs: se vc esperava uma receita de bolo sobre como resolver o seu
> problema, desculpe, mas eu só costumo mostrar o raciocínio, a pessoa
> que encontre a sequencia de comandos, senão ela não aprende...
> 
> Um abc!
> 
> On 7/28/05, Ricardo Nascimento Ferreira <ricardonf em gmail.com> wrote:
> > Henrique,
> >  procure uma lista de linux. Esta é uma lista exclusiva para
> > assuntos relacionados à sistemas BSDs.
> > O iptables faz parte de distribuições linux, assunto não abordado
> > aqui.
> >
> >
> >
> > On 7/28/05, Henrique Vinicius Ramos e Silva <henriquevinicius em pop.com.br> wrote:
> > > Boa tarde.
> > >
> > > Estou com o seguinte problema. Temos um acesso a internet via rádio, onde
> > > percebi recentemente que consigo visualizar novos domínios na minha rede.
> > > Consigo inclusive ver máquinas desse domínio externo (obviamente eles tbém
> > > devem ver máquinas nossa).
> > >
> > > Liguei para o provedor e eles me disseram que é um problemas deles na
> > > frequencia. De qualquer forma eu tenho um firewall(iptables) por onde
> > > entramos e saimos para a net.
> > >
> > > Alguém poderia me dar uma dica de uma linha do iptables, para que eu
> > > bloqueie esse problema. Já fiz alguns testes mas ainda não tive sucesso !
> > >
> > > Obrigado, Henrique.
> > >
> > >
> > >
> > > _______________________________________________
> > > Freebsd mailing list
> > > Freebsd em fug.com.br
> > > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> > >
> >
> >
> > --
> > Ricardo Nascimento Ferreira
> > Analista de Redes e Segurança
> > Solaris Certified System Administrator
> > Chave pública PGP / PGP public key:
> > http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x741F3B25
> >
> > _______________________________________________
> > Freebsd mailing list
> > Freebsd em fug.com.br
> > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> >
>

_______________________________________________
Freebsd mailing list
Freebsd em fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br




Mais detalhes sobre a lista de discussão freebsd