[FUG-BR] Bloqueia tudo, libera necessario !
Felipe Coe
felipecoe em gmail.com
Quarta Agosto 2 00:50:42 BRT 2006
Além de procurar a ferramenta correta que atenda suas necessidades,
você deve primeiro entender como o firewall funciona. Assim,
independente de ferramenta e sistema operacional, é mais difícil
cometer alguma "cagada" e deixar alguém sem conectividade.
Esse é um bom exemplo de como o firewall funciona em um FreeBSD. É um
exemplo antigo, mas te dá base para partir para soluções mais ousadas
http://www.rnp.br/newsgen/9901/ipfw-bsd.html
O IPFW, por exemplo, tem a política nativa de filtragem de pacotes por
"Default Deny". Ou seja, primeiro nega tudo e depois faz as
configurações de acordo com as suas necessidades. Ele te obriga a
seguir uma boa política de segurança.
Dica: pense como um usuário comum. Do que o usuário final vai
precisar? Ele precisa resolver nomes num servidor DNS recursivo de
fora da sua rede? Ele vai ler páginas web em http e https ou vai usar
algum proxy? Eu tenho casos, por exemplo, que a rede interna não fala
com a internet. Somente os servidores da DMZ, como DNS, e-mail, proxy,
anti-virus, etc.
Abraços,
Felipe Coe
On 8/2/06, Gelsimauro <gbs em pollynet.com.br> wrote:
>
> ----- Original Message -----
> From: "Márcio Luciano Donada" <mdonada em gmail.com>
> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)""
> <freebsd em fug.com.br>
> Sent: Tuesday, August 01, 2006 11:24 PM
> Subject: Re: [FUG-BR] Bloqueia tudo, libera necessario !
>
>
> > Suporte Planet Hardware escreveu:
> >> Ola pessoal, como problema anterior com o spamhaus.org
> >>
> >> Quero fazer um firewall com ipfw bloqueando tudo e liberando o
> >> necessário,
> >> como ficaria esta regra bem feita? Tenho pouca experiência em ipfw e não
> >> quero fazer "cagada", já que tenho bastante gente atrás do meu servidor.
> >>
> >> Queria liberar apenas as portas padrão, 80, 22, 21, 110, 25 ...
> >> Existem mais padrões importantes para liberar?
> >>
> >> Abraços
> >> Valeu desde já, adoro essa lista ! :)
> >>
> >> Leandro
> >>
> >>
> >>
> > Leandro,
>
>
> Você pode usar o IPFW mesmo dessa forma abaixo
>
> #Limpando Regras
> /sbin/ipfw -f flush
>
> #Interface loopback
> /sbin/ipfw add 10 allow ip from any to any via lo0
> /sbin/ipfw add 11 deny ip from any to 127.0.0.0/8
>
> #Portas FTP
> /sbin/ipfw add 20 allow udp from any to any dst-port 20,21,1024,49152-65535
> /sbin/ipfw add 21 allow tcp from any to any dst-port 20,21,1024,49152-65535
> /sbin/ipfw add 22 allow udp from any to any src-port 20,21,1024,49152-65535
> /sbin/ipfw add 23 allow tcp from any to any src-port 20,21,1024,49152-65535
>
> #Porta SSH
> /sbin/ipfw add 30 allow udp from any to any dst-port 22
> /sbin/ipfw add 31 allow tcp from any to any dst-port 22
> /sbin/ipfw add 32 allow udp from any to any src-port 22
> /sbin/ipfw add 33 allow tcp from any to any src-port 22
>
> #Portas SMTP e POP3
> /sbin/ipfw add 40 allow udp from any to any dst-port 25,110
> /sbin/ipfw add 41 allow tcp from any to any dst-port 25,110
> /sbin/ipfw add 42 allow udp from any to any src-port 25,110
> /sbin/ipfw add 43 allow tcp from any to any src-port 25,110
>
> #Porta DNS
> /sbin/ipfw add 50 allow udp from any to any dst-port 53
> /sbin/ipfw add 51 allow tcp from any to any dst-port 53
> /sbin/ipfw add 52 allow udp from any to any src-port 53
> /sbin/ipfw add 53 allow tcp from any to any src-port 53
>
> #Porta WWW
> /sbin/ipfw add 60 allow udp from any to any dst-port 80
> /sbin/ipfw add 61 allow tcp from any to any dst-port 80
> /sbin/ipfw add 62 allow udp from any to any src-port 80
> /sbin/ipfw add 63 allow tcp from any to any src-port 80
>
> #Bloqueando Restante do Trafego
> /sbin/ipfw add 65534 deny all from any to any
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd