O que acham dessa config de firewall, uso no notebook pessoal.

atem
(usa CentOS)

Enviado em 11/11/2014 - 12:35h

Usei politica para DROP em todas as CHAINS na tabela FILTER, liberei as portas de origem e destino 80,443(HTTP e HTTPS) no TCP e 53 no UDP (DNS)

Não alterei a politica das tabelas mangle e nat.

A porta tcp 50000 se refere ao Torrent, que para o site que eu uso, é a configuração indicada.
Fiz o firewall praticamente na tentativa e erro, e por fim essa configuração deixa eu navegar na internet e fazer meus downloads de torrent.

minha pergunta é se o sistema está seguro dessa forma.

Grato pela ajuda.
Abaixo a config gerada pelo iptables-save.


# Generated by iptables-save v1.4.7 on Tue Nov 11 12:25:29 2014
*nat
:PREROUTING ACCEPT [10:548]
:POSTROUTING ACCEPT [4:254]
:OUTPUT ACCEPT [4:254]
COMMIT
# Completed on Tue Nov 11 12:25:29 2014
# Generated by iptables-save v1.4.7 on Tue Nov 11 12:25:29 2014
*mangle
:PREROUTING ACCEPT [43:2827]
:INPUT ACCEPT [43:2827]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [33:2233]
:POSTROUTING ACCEPT [25:1829]
COMMIT
# Completed on Tue Nov 11 12:25:29 2014
# Generated by iptables-save v1.4.7 on Tue Nov 11 12:25:29 2014
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -p tcp -m multiport --sports 80,443 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 50000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 50000 -j ACCEPT
-A OUTPUT -p tcp -m multiport --sports 80,443 -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 50000 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 50000 -j ACCEPT
COMMIT
1,1 Topo

Buckminster
(usa Debian)

Enviado em 11/11/2014 - 15:39h

Aparentemente está bom.

Execute:

# nmap -v teu_ip

para verificar quais portas estão abertas.

Se não tiver o nmap, instale-o.

http://www.namhuy.net/846/how-to-install-nmap-on-centos.html

removido
(usa Nenhuma)

Enviado em 12/11/2014 - 10:30h

Bom dia Colega,

100% seguro não existe.


Mas está com a liberação minima que já ajuda bastante no controle de fluxo de informação.

OBS: Lembrando que neste caso a politica para a chain FORWARD para todas as tabelas não terá nenhum efeito tanto em DROP OU ACCEPT visto que você possui somente uma placa de rede.


att,

Tiago Eduardo Zacarias
LPIC-2
Viva o Linux!!!

atem
(usa CentOS)

Enviado em 12/11/2014 - 11:41h

Agradeço a Vos pelos esclarecimentos, de fato na chain FORWARD não faz diferença, isso era uma dúvida que eu tinha, mas após seu post e uma leitura no livro do Urubatan Neto, ficou claro como funciona.

E quanto a 100% de segurança impossível, mesmo desconectando o cabo de rede não terá isso rsrsrs...Mas é o que você disse, tentar fechar tudo que for possível para ter o máximo que der.

DouglasMenger
(usa XUbuntu)

Enviado em 27/11/2014 - 23:07h

Em meu notebook eu fiz o bloqueio total em INPUT, OUTPUT e FORWARD. Depois liberei somente as portas que eu uso no meu dia a dia.