Analizando o firewall [RESOLVIDO]

julianderson
(usa Debian)

Enviado em 27/10/2010 - 10:04h

Pessoal mais me digar uma coisa , todas estas regras que eu criei estao erradas?

rootgerr
(usa Slackware)

Enviado em 27/10/2010 - 17:28h

e eu que achava que estava seguro aff

tlaloc
(usa Gentoo)

Enviado em 27/10/2010 - 19:02h

Novamente...

Tá muito primário, repetindo regras e muito, mas MUITO simples.
Keep It Simple não é pra deixar "básico", é só "simples".
Não precisa de regras complicadíssimas, precisa de clareza.

Recomendo ler a documentação do IPTables e não usar scripts prontos.

Veja por exemplo essas regras:

IPTABLES -P OUTPUT ACCEPT
IPTABLES -I OUTPUT -p udp --sport 53 -d $WAN -j ACCEPT
(se a primeira é verdadeira, a segunda é inútil)

IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT
(esta regra está repetida no firewall)

IPTABLES -A INPUT -p tcp -m tcp -m state -s $WAN --state NEW,ESTABLISHED,RELATED -j ACCEPT
IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
(se a segunda for verdadeira, a primeira é inútil)

Só pra citar a mal formação do teu firewall.
Sério, não usem firewall pronto.

rootgerr
(usa Slackware)

Enviado em 27/10/2010 - 19:04h

KKKKKKKKKKKK
Realmente me pouparia de uns piolhos carbonizados

Aquelas regras do firewall copiei de um artigo aqui do VOL mesmo do Elgio se não me engano o que eu poderia corrigir nele para dar um upzinho?

julianderson
(usa Debian)

Enviado em 28/10/2010 - 10:22h

poxa se possivel so para tirar algumas ideias


obrigado
vou dar uma olhadinha neste arquivo, pois entao o certo e bloquear tudo e dois ir so liberando

eu acho que e isso

tlaloc
(usa Gentoo)

Enviado em 28/10/2010 - 14:59h

Sim, o correto é bloquear tudo e ir liberando os acessos conforme você precisar.

Quais são as regras que você pegou, Rut?
Vamos analisa-las.

---Anonymous---
(usa Debian)

Enviado em 28/10/2010 - 15:35h

EI tiloc, percebi que vc manja do assunto e eu preocupado com segurança.
De uma analisada no meu conf.

#!/bin/sh
# /etc/rc.local

touch /var/lock/subsys/local

# O servidor nao recebe ping
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# Protege o servidor contra ataques de IP Spoofing, DoS e Buffer OverFlow
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP

# Autorizacao de pacotes da interface de loopback e da rede local
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $iflocal -j ACCEPT

# Abre conexao para uma determinada faixa de ips
iptables -A INPUT -s 192.168.100.0/255.255.255.0 -j ACCEPT

# Abre algumas portas para programas
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Bloqueia tentativas de conexao da internet
iptables -A INPUT -p tcp --syn -j DROP

O que vc acha??

tlaloc
(usa Gentoo)

Enviado em 28/10/2010 - 16:02h

Anonymous, tá MUITO falho e ineficiente.
Por exemplo, se seu firewall não seta as premissas do firewall como DROP para a tabela FORWARD, aquela regra de "proteger contra Ddos" já não funciona.
Outra coisa, PRA QUÊ ABRIR A PORTA 22?! A porta 22 é a do SSH, isso não se deve abrir NUNCA!
Só em alguns casos muito bem estudados.
Teu firewall e nada, bem dizer é a mesma coisa.
As duas únicas regras que mais ou menos prestam daí é a do bloqueio de ICMP e a de bloqueio de pacotes inválidos.
De resto...

---Anonymous---
(usa Debian)

Enviado em 28/10/2010 - 16:14h

Foi bom saber disso, valeu cara.
Então, me fala uma coisa, quando a gente instala o Linux no pc, ele ja vem com as portas bloqueadas e automaticamente abre alguma quando algum programa solicita, ou todas as porta são fechadas e nós através do iptables temos que abrir as que nós queremos ??

tlaloc
(usa Gentoo)

Enviado em 28/10/2010 - 17:12h

Anonymous, NADA vem bloqueado num Linux por padrão.
NADA.
Como você define algo que TODO mundo queria bloquear?
Por exemplo, em instalações de servidores monitorados por Nagios você deve liberar a resposta ICMP para a rede interna e externa, de modo que o Nagios possa monitorar o estado online/offline de um servidor. (Y)

Num Linux, padrão, NADA vem bloqueado.
Quando um programa precisa de uma porta liberada, esta porta já estará liberada.

O negócio é que no Linux, se o servidor (e entenda-se por servidor um aplicativo que fornece dados via rede) de um aplicativo estiver fechado (offline é o termo correto), mesmo com a porta liberada não se tem acesso nela.

Como assim, tio Tlaloc?
Assim... se você tem o SSH instalado na sua máquina mas o serviço (servidor) SSH não estiver rodando (por exemplo, você parou o servidor ou ele nem tiver sido iniciado), mesmo com a porta 22 aberta quando tentar conectar na porta 22 o invasor receberá uma mensagem TIMEOUT, dizendo que o servidor não respondeu a conexão a tempo.

julianderson
(usa Debian)

Enviado em 28/10/2010 - 19:47h

tlaloc Eu acho que voce ja passou por esssa situacao

eu to criando um servidor com proxy e squid e bind instalado

sendo que ainda eu nao coloquei nenhum script firewall para rodar, tenho duas placas uma apontada para wan e a outra para lan. correto
1 pergunta

Porque a minhas maquinas estacoes nao conseguem acessar a internet, pois nao tem nenhum iptables bloqueando e nem liberando as portas.

2 E nescessario eu abrir as portas do servidor para com que as minhas maquinas estacoes possam acessar a intenet. pois nas regras de squid eu determinei por ip mis mesmo assim dando acesso para todas as maquinas nao consegue encontrar o dns da rede. parando e dando estart no meu init.d/squid3 as maquinas nao acessam a internet

voce poderia me dizer o que pode estar acontecendo

obrigado pessoal

abraco.

tlaloc
(usa Gentoo)

Enviado em 28/10/2010 - 20:09h

Simples, Julianderson.

O caso é que você não tem nada bloqueando nem entrada nem saída.
Perfeito.
Mas também não tem absolutamente nada REDIRECIONANDO.

Não adianta você ter tudo isso instalado e configurado certinho se você não tem uma regra de firewall dizendo que a eth0 é sua interface WAN, sua eth1 é sua interface LAN, todo o tráfego vindo de LAN deve ser desviado para a porta do squid (normalmente 3128) e que saíndo do squid deve passar pela WAN.

Sem esse redirecionamento todo, teus pacotes morrem na praia, no meio do caminho.