[FUG-BR] Iptables - Help
Pablo Sánchez
phackwer em gmail.com
Qui Jul 28 12:09:31 BRT 2005
Pode até ser uma lista de BSD, mas firewall é a mesma coisa sempre,
regras de abertura e regras de bloqueio. Ou seja: posso não saber o
comando exato, mas sei o que deve ser feito, hehehe.
Henrique, o que vc precisa fazer antes de mais nada e determinar que
tipo de política você vai usar na sua rede: permissiva ou restritiva.
Na permissiva, vc libera tudo e bloqueia só o que não quer liberado.
Na restritiva, vc fecha tudo e libera só o que deve ser liberado.
Obviamente, o ideal é a restritiva. Baseado nessa escolha você começa
a ver o que vai deixar que seus usuários acessem externamente:
http? Libera a porta 80
https? Libera a porta 443
SMTP externo? libera a porta 25
POP externo? libera a 110
E por aí vai. Depois de tudo isso definido, vc cria uma regra
bloqueando tudo. Porque firewall funciona assim: a princípio, tudo
está aberto, a menos que eu encontre uma regra fechando. Então,
colocando as regras nessa ordem, vc vai estar fazendo com que ele se
encaixe em uma dessas regras. Encontrando uma delas, o pacote é
liberado. Se não encontrar, ele vai até o final da lista de regras. Se
não há uma regra bloqueando tudo no final, seu firewall não vale nada.
Ao definir a regra, vc deve também compreender o sentido no qual a
regra está controlando. Nessa lista aí de cima eu estaria colocando as
regras permitindo acesso de dentro para fora. Na regra de fora para
dentro, eu fecharia tudo. Seu firewall, nesse caso, tem que ser um
firewall de estados. Ou seja, ele tem que permitir que entrem os
pacotes de fora que foram requisitados a partir da rede interna, mas
não deve deixar mais nada entrar.
Como não deve ter nada definido, tudo está liberado. As redes samba
utilizam a porta 139 e funcionam por Broadcasting. Quer dizer, a rede
samba está constantemente mandando pacotes para todas as máquinas da
rede (para informar várias coisas, como quais são as máquinas
disponíveis, os compartilhamenrtos públicos, impressoras, etc). Se não
tem nada bloqueado, como o pacote é broadcasting, ele vai até o
gateway de algum dos outros clientes desse seu provedor, que encaminha
para o gateway do provedor, que propaga para todos os outros clientes.
Como seu provedor é peba (ruim, bosta, porcaria), ele não se preocupou
em configurar o acesso para você, e deixou toda a segurança por conta
dos clientes.
Então, das duas uma: compra um bom livro sobre segurança de redes e se
protege (aliás, faça isso sim ou sim, te aconselho a comprar o livro
"Desvendando Segurança de Redes") ou você troca de provedor.
Obs: se vc esperava uma receita de bolo sobre como resolver o seu
problema, desculpe, mas eu só costumo mostrar o raciocínio, a pessoa
que encontre a sequencia de comandos, senão ela não aprende...
Um abc!
On 7/28/05, Ricardo Nascimento Ferreira <ricardonf em gmail.com> wrote:
> Henrique,
> procure uma lista de linux. Esta é uma lista exclusiva para
> assuntos relacionados à sistemas BSDs.
> O iptables faz parte de distribuições linux, assunto não abordado
> aqui.
>
>
>
> On 7/28/05, Henrique Vinicius Ramos e Silva <henriquevinicius em pop.com.br> wrote:
> > Boa tarde.
> >
> > Estou com o seguinte problema. Temos um acesso a internet via rádio, onde
> > percebi recentemente que consigo visualizar novos domínios na minha rede.
> > Consigo inclusive ver máquinas desse domínio externo (obviamente eles tbém
> > devem ver máquinas nossa).
> >
> > Liguei para o provedor e eles me disseram que é um problemas deles na
> > frequencia. De qualquer forma eu tenho um firewall(iptables) por onde
> > entramos e saimos para a net.
> >
> > Alguém poderia me dar uma dica de uma linha do iptables, para que eu
> > bloqueie esse problema. Já fiz alguns testes mas ainda não tive sucesso !
> >
> > Obrigado, Henrique.
> >
> >
> >
> > _______________________________________________
> > Freebsd mailing list
> > Freebsd em fug.com.br
> > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> >
>
>
> --
> Ricardo Nascimento Ferreira
> Analista de Redes e Segurança
> Solaris Certified System Administrator
> Chave pública PGP / PGP public key:
> http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x741F3B25
>
> _______________________________________________
> Freebsd mailing list
> Freebsd em fug.com.br
> http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
>
_______________________________________________
Freebsd mailing list
Freebsd em fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Mais detalhes sobre a lista de discussão freebsd