[FUGSPBR] Regras de Firewall

Capriotti capriotti em cee.com
Sex Abr 5 18:21:25 BRT 2002 

Primeiro, para as portas bloqueadas, use ipfw add DROP ao invez de DENY 
(letras minusculas, claro).

Segundo, voce pode colocar uma linha ipfw add 300 deny icmp from any to any 
via SUA_INTERFACE_EXTERNA, que e' geralmente o que eu faco.

Acho que isso responde parte da sua pergunta.

Outra sugestao e' dar uma olhada no /etc/rc.firewall que ja vem com varias 
dessas implementacoes prontas ! Eu sempre o uso como base para customizar a 
instalacao, quando nao posso usar o meu arquivo rc.firewall basico.

[]s


At 06:08 PM 4/5/2002 -0300, you wrote:
>Olá Pessoal,
>
>Montei um firewall com o freebsd 4.4 e fiz um portscan nele através do
>site Hackerwatch.org ( http://www.hackerwatch.org/probe/) e embora
>eu tenha "fechado" todas as portas este site alertou me que algumas portas
>por exemplo 21 (FTP), 23 (Telnet), etc.. estão fechadas mas inseguras.
>(mensagem original: "Closed but Unsecure Port 21 (FTP) - This port is
>  not being blocked, but there is no program currently accepting
>  connections on this port.")
>
>Realizei uma pesquisa a respeito e conclui que a solução "em tese" seria:
>- Criar uma regra de firewall que mande devolta um "tcp RST packet"
>    para todas as portas fechadas (protocolo TCP) , caso haja tentativa
>   de conexão.
>- Para UDP enviar devolta ICMP_DEST_UNREACH (code 3 (port
>    unreach)).
>- Bloquear tb todos os "incoming packets" provenientes de classes de IP´s
>   destinados a redes privadas que venham pela minha interface pública
>   (10.0.0.0 255.0.0.0, 192.168.0.0 255.255.0.0 e 172.x.x.x classe B.
>    TB considerando o espaço de endereços de broadcast e multicast)
>- Bloquear todos os pacotes ICMP com o objetivo de reduzir as chances
>   de OS fingerprinting. (bloquear ECHO_REQUESTS).
>
>Alguem tem alguma sugestão? Como posso utilizar o IPFW para implementar
>essas regras? é possível ?
>
>(Peço descupas com antecedencia caso esse assunto já tenha sido abordado
>nesta lista.)
>
>Grato,
>Toledo
>
>
>_________________________________________________________
>Do You Yahoo!?
>Get your free @yahoo.com address at http://mail.yahoo.com
>
>----
>Para sair da lista envie um e-mail para majordomo em fugspbr.org
>com as palavras "unsubscribe fugspbr" no corpo da mensagem.


----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.

Mais detalhes sobre a lista de discussão freebsd