Firewall/Proxy (solução completa)
Nesse artigo tento passar da melhor forma possível uma receita para configuração de um firewall/proxy com grande ênfase em segurança.
[ Hits: 163.411 ]
Por: Tiago Henrique Pires em 08/07/2006 | Blog: http://tiagonux.blogspot.com
Instalando o IDS Portsentry
Bom, agora vamos instalar e configurar o Portsentry para reforçar nossa segurança contra invasores. Nosso sistema não estará 100% seguro, mas estaremos dificultando um pouco para os invasores.
Primeiramente devemos baixar seu source do site:
Recomendo uma visita e faça o download da versão mais estável.
Depois do download, siga os passos abaixo de criação da estrutura e da compilação do Portsentry:
# cd / ; mkdir ids
# mv portsentry-stable.tar.gz /ids
# cd /ids
# tar -zxvf portsentry-stable.tar.gz
# cd portsentry
# ./configure
# make linux
# make install
Com a compilação concluída, você deve acessar a pasta /usr/local/psionic/portsentry. Vamos editar o arquivo portsentry.conf. Devemos achar os seguintes parâmetros e descomentar:
Primeiramente devemos baixar seu source do site:
Recomendo uma visita e faça o download da versão mais estável.
Depois do download, siga os passos abaixo de criação da estrutura e da compilação do Portsentry:
# cd / ; mkdir ids
# mv portsentry-stable.tar.gz /ids
# cd /ids
# tar -zxvf portsentry-stable.tar.gz
# cd portsentry
# ./configure
# make linux
# make install
Com a compilação concluída, você deve acessar a pasta /usr/local/psionic/portsentry. Vamos editar o arquivo portsentry.conf. Devemos achar os seguintes parâmetros e descomentar:
# Un-comment these if you are really anal:
# TCP_PORTS="1,7,9,11,15,70,79,80,109,110,111,119,138,139,143,512,,[..]
# UDP_PORTS="1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,[..]
#
# Use these if you just want to be aware:
TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,[..]"
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,37444,34555,[..]"
# TCP_PORTS="1,7,9,11,15,70,79,80,109,110,111,119,138,139,143,512,,[..]
# UDP_PORTS="1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,[..]
#
# Use these if you just want to be aware:
TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,[..]"
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,37444,34555,[..]"
Acima estão as portas que o portsentry quando estiver em execução barrará quando houver qualquer tentativa de conexão. Há mais alguns parâmetros que devemos configurar para ignorar hosts confiáveis. As linhas abaixo também devem ser descomentadas:
IGNORE_FILE="/usr/local/psionic/portsentry/portsentry.ignore" # Aqui colocamos os hosts confiáveis
HISTORY_FILE="/usr/local/psionic/portsentry/portsentry.history" # Esse arquivo terá todo o histórico de bloqueios
BLOCKED_FILE="/usr/local/psionic/portsentry/portsentry.blocked" # Esse arquivo terá os hosts bloqueados
HISTORY_FILE="/usr/local/psionic/portsentry/portsentry.history" # Esse arquivo terá todo o histórico de bloqueios
BLOCKED_FILE="/usr/local/psionic/portsentry/portsentry.blocked" # Esse arquivo terá os hosts bloqueados
Agora devemos habilitar uma opção que levantará uma regra no firewall quando o portsentry bloquear um host:
KILL_ROUTE="iptables -I INPUT -s $TARGET$ -j DROP"
Podemos ainda usar outra opção que incluirá no arquivo /etc/hosts.deny os hosts bloqueados:
KILL_HOSTS_DENY="ALL: $TARGET$
Agora salvamos o arquivo e vamos configurar o arquivo portsentry.ignore colocando os hosts confiáveis.
Podemos iniciar o o portsentry com os comandos abaixo:
# /usr/local/psionic/portsentry/portsentry -atcp
# /usr/local/psionic/portsentry/portsentry -audp
Verificamos se ele está realmente no ar:
# ps aux | grep portsentry
Páginas do artigo
1. Instalando a distro Slackware 10.22. Configuração de rede (interfaces de rede), autenticação com ADSL para empresas
3. Atualização de pacotes (Iptables e OpenSSH)
4. Analisando o cenário da empresa para a o desenvolvimento das regras do firewall e do acesso a web-sites
5. Configurando o firewall
6. Instalando e configurando o squid-cache
7. Acertando uns detalhes do Squid
8. Instalando o IDS Portsentry
9. Configurando o Raid 1 (software)
10. Configurações Finais
Outros artigos deste autor
Montando um servidor X com o Linux
Roteamento de entrada/saída com iproute e iptables
Shared Config com Apache a la brasileira
Leitura recomendada
Hotspot - Atualização - CoovaChilli
IPTABLES - Conceitos e aplicação
Manual do IPtables - Comentários e sugestões de regras
Uso eficiente do IPCOP firewall
Comentários
[1] Comentário enviado por thelinux em 08/07/2006 - 12:02h
Parabéns. Muto bom mesmo.
Excelente artigo.
Parabéns. Muto bom mesmo.
Excelente artigo.
[2] Comentário enviado por kest em 10/07/2006 - 12:34h
Companheiro seu artigo é muito bom mesmo. era exatamente o que eu precisava. Meus sinceros parabens!!!
Companheiro seu artigo é muito bom mesmo. era exatamente o que eu precisava. Meus sinceros parabens!!!
[3] Comentário enviado por venon_dark em 12/07/2006 - 09:47h
Seguinte...
Ao rodar o comando squid -z apresenta o seguinte erro:
2006/07/11 13:20:25| strtokFile: /etc/squid/adm not found
2006/07/11 13:20:25| aclParseAclLine: WARNING: empty ACL: acl adm proxy_auth "/etc/squid/adm"
2006/07/11 13:20:25| ACL name 'SSL_ports' not defined!
FATAL: Bungled squid.conf line 60: http_access deny CONNECT !SSL_ports
Squid Cache (Version 2.5.STABLE9): Terminated abnormally.
Como resolver isto???
Seguinte...
Ao rodar o comando squid -z apresenta o seguinte erro:
2006/07/11 13:20:25| strtokFile: /etc/squid/adm not found
2006/07/11 13:20:25| aclParseAclLine: WARNING: empty ACL: acl adm proxy_auth "/etc/squid/adm"
2006/07/11 13:20:25| ACL name 'SSL_ports' not defined!
FATAL: Bungled squid.conf line 60: http_access deny CONNECT !SSL_ports
Squid Cache (Version 2.5.STABLE9): Terminated abnormally.
Como resolver isto???
[4] Comentário enviado por tiagonux em 12/07/2006 - 10:15h
Vc chegou a criar o arquivo adm, e se estiver já existe algum usuário dentro do arquivo?
Vc chegou a criar o arquivo adm, e se estiver já existe algum usuário dentro do arquivo?
[5] Comentário enviado por venon_dark em 12/07/2006 - 10:36h
criei o arquivo e coloquei um usuário dentro.
agora está apresentando:
2006/07/12 10:32:38| ACL name 'SSL_ports' not defined!
FATAL: Bungled squid.conf line 60: http_access deny CONNECT !SSL_ports
Squid Cache (Version 2.5.STABLE9): Terminated abnormally.
criei o arquivo e coloquei um usuário dentro.
agora está apresentando:
2006/07/12 10:32:38| ACL name 'SSL_ports' not defined!
FATAL: Bungled squid.conf line 60: http_access deny CONNECT !SSL_ports
Squid Cache (Version 2.5.STABLE9): Terminated abnormally.
[6] Comentário enviado por venon_dark em 12/07/2006 - 11:01h
tiagonux encontrei o erro e resolvi, foi erro humano...desculpe.
agora ele apresentou o seguinte erro:
2006/07/12 10:53:23| squid.conf line 61: http_access adm rede_interna
2006/07/12 10:53:23| aclParseAccessLine: expecting 'allow' or 'deny', got 'adm'.
2006/07/12 10:53:23| ACL name '#Efetivando' not defined!
FATAL: Bungled squid.conf line 62: http_access allow user1 permit_user1 rede_interna #Efetivando a acl
Squid Cache (Version 2.5.STABLE9): Terminated abnormally.
tiagonux encontrei o erro e resolvi, foi erro humano...desculpe.
agora ele apresentou o seguinte erro:
2006/07/12 10:53:23| squid.conf line 61: http_access adm rede_interna
2006/07/12 10:53:23| aclParseAccessLine: expecting 'allow' or 'deny', got 'adm'.
2006/07/12 10:53:23| ACL name '#Efetivando' not defined!
FATAL: Bungled squid.conf line 62: http_access allow user1 permit_user1 rede_interna #Efetivando a acl
Squid Cache (Version 2.5.STABLE9): Terminated abnormally.
[7] Comentário enviado por venon_dark em 12/07/2006 - 11:29h
tiagonux
acertei todos os erros e agora já estou na faze de teste.
muito bom o seu artigo.
Parabéns e valeu pela atenção
tiagonux
acertei todos os erros e agora já estou na faze de teste.
muito bom o seu artigo.
Parabéns e valeu pela atenção
[8] Comentário enviado por chia em 21/08/2006 - 21:54h
Parabéns, excelente artigo.
Artigo muito bom mesmo e está me ajudando muito, mas estou com um pequeno problema, ao colocar no arquivo rc.local a linha /firewall/rc.firewall, e ao reiniciar meu Slackware 10.2 aparece o erro "cannot execute binary file" e não funciona o firewall, o que devo fazer, podem me ajudar ?
Parabéns, obrigado
Parabéns, excelente artigo.
Artigo muito bom mesmo e está me ajudando muito, mas estou com um pequeno problema, ao colocar no arquivo rc.local a linha /firewall/rc.firewall, e ao reiniciar meu Slackware 10.2 aparece o erro "cannot execute binary file" e não funciona o firewall, o que devo fazer, podem me ajudar ?
Parabéns, obrigado
[9] Comentário enviado por tiagonux em 22/08/2006 - 07:39h
Seguinte, dê um chmod +x /firewall/rc.firewall que resolverá seu problema.
Seguinte, dê um chmod +x /firewall/rc.firewall que resolverá seu problema.
[11] Comentário enviado por caporto em 05/09/2006 - 18:00h
Em primeiro lugar quero lhe parabenizar pelo excente artigo, ficou show mesmo.
Vc conhece alguma ferramenta tipo PHP que me permita criar uma forma gráfica de manipular estes scripts do iptables e etc.
A minha ideia é criar uma forma grafica tipo as configurações dos modens adsl atuais, vc chama por um browse de internet e configura de forma visual.
Em primeiro lugar quero lhe parabenizar pelo excente artigo, ficou show mesmo.
Vc conhece alguma ferramenta tipo PHP que me permita criar uma forma gráfica de manipular estes scripts do iptables e etc.
A minha ideia é criar uma forma grafica tipo as configurações dos modens adsl atuais, vc chama por um browse de internet e configura de forma visual.
[12] Comentário enviado por lukian2000 em 17/10/2006 - 12:03h
Cara no meu proxy tá dando a mesma mensagem que o arquivo não existe, mas ele tá lá e tem informações nele, já tentei mudar o caminho e colocálo em outra pasta mas a mensagem é sempre a mesma:
squid -k reconfigure
2006/10/17 11:57:23| strtokFile: /etc/squid/usuarios/master.txt not found
2006/10/17 11:57:23| strtokFile: /etc/squid/liberados/master.txt not found
2006/10/17 11:57:23| aclParseAclLine: WARNING: empty ACL: acl master_liberado url_regex -i "/etc/squid/liberados/master.txt"
Já tô ficando chateado com isso, alguém pode me ajudar???
Cara no meu proxy tá dando a mesma mensagem que o arquivo não existe, mas ele tá lá e tem informações nele, já tentei mudar o caminho e colocálo em outra pasta mas a mensagem é sempre a mesma:
squid -k reconfigure
2006/10/17 11:57:23| strtokFile: /etc/squid/usuarios/master.txt not found
2006/10/17 11:57:23| strtokFile: /etc/squid/liberados/master.txt not found
2006/10/17 11:57:23| aclParseAclLine: WARNING: empty ACL: acl master_liberado url_regex -i "/etc/squid/liberados/master.txt"
Já tô ficando chateado com isso, alguém pode me ajudar???
[13] Comentário enviado por aprendiz_ce em 29/12/2006 - 15:23h
Olá tiagonux,
Parabéns pelo seu artigo. Muito bom mesmo!
Por gentileza me tire as seguintes dúvidas:
1) Tanto o PRIMEIRO como SEGUNDO disco devem utilizar o sistema de arquivos "ReiserFS" ou somente no SEGUNDO disco?
2) Para configurar o RAID 1 (software) não posso utilizar o sistema de arquivos "EXT3"?
3) Caso ocorra PANE em um dos disco, qual a forma correta de se recuparar os DADOS contidos nos DISCOS? O procedimento adotado fale para ambos os DISCOS ou não?
4) Existe queda de performance no servidor com o uso de RAID?
Muito obrigado pela sua atenção e aguardo retorno.
Olá tiagonux,
Parabéns pelo seu artigo. Muito bom mesmo!
Por gentileza me tire as seguintes dúvidas:
1) Tanto o PRIMEIRO como SEGUNDO disco devem utilizar o sistema de arquivos "ReiserFS" ou somente no SEGUNDO disco?
2) Para configurar o RAID 1 (software) não posso utilizar o sistema de arquivos "EXT3"?
3) Caso ocorra PANE em um dos disco, qual a forma correta de se recuparar os DADOS contidos nos DISCOS? O procedimento adotado fale para ambos os DISCOS ou não?
4) Existe queda de performance no servidor com o uso de RAID?
Muito obrigado pela sua atenção e aguardo retorno.
[14] Comentário enviado por tiagonux em 29/12/2006 - 21:14h
Vou responder em ordem:
1) O Sistema de arquivos do PRIMEIRO DISCO no caso pode até ser outro, sendo que isto não tenho certeza, vc poderia testar p/ a gente ai e comentar a experiência depois.
2)Sim vc pode utilizar perfeitamente o EXT3.
3)Bom se ocorrer de uma pane em um disco, vamos supor que seja o PRIMEIRO, só temos que averigar se vai estar tudo ok com a MBR do SEGUNDO e jumpear(configuracão da posição do disco SLAVE,MASTER) de acordo com PRIMEIRO disco e iniciar o mesmo. Isto deve-se ser manual pois é RAID via software, se tivessemos usando o RAID via hardware, poderiamos dependendo do servidor tirar o DISCO quebrado e colocar outro com o servidor em operação. Como utilizamos o RAID via software deveremos desligar o servidor e realizar a mudança manualmente, e colocar outro disco no lugar do quebrado.
4)Não existe não, vc poderará ter queda em servidores que terá muita escrita no DISCO, pois tudo o que é escrito em um é replicado p/ o outro via software. Já com o RAID de hardware a história é diferente, pois o sistema operacional nem sabe se está sob um tipo de RAID.
ISTO se tratando de RAID 1.
Vou responder em ordem:
1) O Sistema de arquivos do PRIMEIRO DISCO no caso pode até ser outro, sendo que isto não tenho certeza, vc poderia testar p/ a gente ai e comentar a experiência depois.
2)Sim vc pode utilizar perfeitamente o EXT3.
3)Bom se ocorrer de uma pane em um disco, vamos supor que seja o PRIMEIRO, só temos que averigar se vai estar tudo ok com a MBR do SEGUNDO e jumpear(configuracão da posição do disco SLAVE,MASTER) de acordo com PRIMEIRO disco e iniciar o mesmo. Isto deve-se ser manual pois é RAID via software, se tivessemos usando o RAID via hardware, poderiamos dependendo do servidor tirar o DISCO quebrado e colocar outro com o servidor em operação. Como utilizamos o RAID via software deveremos desligar o servidor e realizar a mudança manualmente, e colocar outro disco no lugar do quebrado.
4)Não existe não, vc poderará ter queda em servidores que terá muita escrita no DISCO, pois tudo o que é escrito em um é replicado p/ o outro via software. Já com o RAID de hardware a história é diferente, pois o sistema operacional nem sabe se está sob um tipo de RAID.
ISTO se tratando de RAID 1.
[15] Comentário enviado por aprendiz_ce em 30/12/2006 - 11:09h
Beleza!
Muito obrigado pela sua pronta atenção e esclarecimentos.
Um forte abraço e feliz 2007.
Beleza!
Muito obrigado pela sua pronta atenção e esclarecimentos.
Um forte abraço e feliz 2007.
[16] Comentário enviado por jova2 em 07/01/2007 - 19:54h
Excelente artigo colega, ótima fonte de pesquisa....
vlw
Excelente artigo colega, ótima fonte de pesquisa....
vlw
[17] Comentário enviado por paulownet em 30/01/2007 - 21:26h
tiagonux
gostaria de saber quais os pacotes vc recomendaria na hr da instalação do slackware??
desde já agradeço
tiagonux
gostaria de saber quais os pacotes vc recomendaria na hr da instalação do slackware??
desde já agradeço
[18] Comentário enviado por brunosalmito em 25/04/2007 - 12:05h
Colega valeu mesmo tava precisando...
Abraço!
Colega valeu mesmo tava precisando...
Abraço!
[19] Comentário enviado por alexon em 29/06/2007 - 16:23h
Esse Script serve para o velox! Eu tbm não entendi -> ifconfig eth1 200.x.x.7. Como faço para adaptar este script para o velox!
Esse Script serve para o velox! Eu tbm não entendi -> ifconfig eth1 200.x.x.7. Como faço para adaptar este script para o velox!
[20] Comentário enviado por marceloespindola em 07/07/2007 - 15:27h
Pessoal estou escrevendo um artigo aqui para o viva o linux sobre scrippt de firewall, ele está completo pois levei muito tempo para desenvolve-lo e tinha objetivo de reunir as principais soluções e dúvidas sobre firewall para este artigo, mas como quero construir um bom artigo ainda está em fase de construção para o vivaolinux, entretanto estou disponibilizando no endereço
http://marcelolinux.blogspot.com/2007/07/meu-primeiro-artigo-do-vivaolinux.html
os arquivos e o artigo referente a script de firewall completo.
Pessoal estou escrevendo um artigo aqui para o viva o linux sobre scrippt de firewall, ele está completo pois levei muito tempo para desenvolve-lo e tinha objetivo de reunir as principais soluções e dúvidas sobre firewall para este artigo, mas como quero construir um bom artigo ainda está em fase de construção para o vivaolinux, entretanto estou disponibilizando no endereço
http://marcelolinux.blogspot.com/2007/07/meu-primeiro-artigo-do-vivaolinux.html
os arquivos e o artigo referente a script de firewall completo.
[21] Comentário enviado por lucascatani em 04/05/2012 - 17:15h
Boa tarde Tiago. Fiquei com umas dúvidas no seu tutorial do iptables. Sobre essas variáveis. O que colocar nelas? Não tenho ip fixo minha rede é 192.168.0.0/24
# Variáveis\
GW="200.x.x.1" o que deve ser colocado aqui? se deixar assim da BAD IP
IP_EXT="200.x.x.7" o que deve ser colocado aqui? se deixar assim da BAD IP
REDE="10.0.0.0/32"
e da erro nessa regra tb (BAD ARGUMENT 0.0.0.0/0)
# Tudo que for proveniente da rede local e for para
# internet tem seu endereço alterado
iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -s $REDE -j SNAT --to $IP_EXT
Boa tarde Tiago. Fiquei com umas dúvidas no seu tutorial do iptables. Sobre essas variáveis. O que colocar nelas? Não tenho ip fixo minha rede é 192.168.0.0/24
# Variáveis\
GW="200.x.x.1" o que deve ser colocado aqui? se deixar assim da BAD IP
IP_EXT="200.x.x.7" o que deve ser colocado aqui? se deixar assim da BAD IP
REDE="10.0.0.0/32"
e da erro nessa regra tb (BAD ARGUMENT 0.0.0.0/0)
# Tudo que for proveniente da rede local e for para
# internet tem seu endereço alterado
iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -s $REDE -j SNAT --to $IP_EXT
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
SynapSeq - programa para estimular as ondas cerebrais
Por que seu __DIR__ falhou ou o "inferno" dos caminhos no PHP
Preparando-se para certificações da LPI através do LPI Lab
Migração de Arch Linux para repositórios CachyOS (Uso de Instruções v3 e v4)
Dicas
As diferencas entre o clipboard comum e a selecao ativa
Arch Linux com repos do CachyOS para otimização ou usar Gentoo?
Ativando o modo Quake no XFCE4-Terminal
[Tutorial] Configurando Multimaster no Samba 4 AD (DC02) + Explicação de FSMO Roles
Tópicos
Como instalar Warsaw no Gentoo? (7)
Senhor Einstein tinha razão mesmo! [RESOLVIDO] (12)
Como insiro e excluo um elemento XML e JSON ao código Javascript (2)
Da pra formatar um netbook MGB e usar algum linux nele? É possível usa... (4)
Top 10 do mês
-
Xerxes
1° lugar - 133.942 pts -
Fábio Berbert de Paula
2° lugar - 69.076 pts -
Buckminster
3° lugar - 44.586 pts -
Alberto Federman Neto.
4° lugar - 36.232 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
5° lugar - 24.169 pts -
edps
6° lugar - 22.875 pts -
Daniel Lara Souza
7° lugar - 21.994 pts -
Sidnei Serra
8° lugar - 21.716 pts -
Mauricio Ferrari (LinuxProativo)
9° lugar - 20.521 pts -
Andre (pinduvoz)
10° lugar - 16.793 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
