firewall linux ?

[gisane]

Eu li o topico fixo deste forum para criar firewall, entretanto eu gostaria de saber se a minha maquina já tem um firewall instalado e quais regras já estão configuradas, como faco para ver isso?

Meu linux é debian.

[CyberFOX]

digite como root o seguinte comando:

iptables -L

aí vão ser listadas todos as regras

[CyberFOX]

digite como root o seguinte comando:

iptables -L

aí vão ser listadas todos as regras

[gisane]

ok, eu executei IPTABLES -L e a resposta foi:

chain INPUT (policy ACCEPT)

target prot opt source destination

chain FORWARD (policy ACCEPT)

target prot opt source destination

chain OUTPUT (policy ACCEPT)

target prot opt source destination

o que quer dizer isso?

eu tenho alguma regra configurada no meu firewall???

[CyberFOX]

isso quer dizer q não há nenhuma regra no iptables

flwzs!

[gisane]

mais uma duvida: onde eu crio as regras do iptables, tem uma arquivo especifico para armazena-las???

[gisane]

mais uma duvida: onde eu crio as regras do iptables, tem uma arquivo especifico para armazena-las???

[Visitante]

Pega arquivo abaixo e cola no nano, (digita nano no termnial), e salva como o nome iptables, depois faz chmod +x iptables , depois ./iptables , Essas regras não são grande coisa mais já ajudam. Depois faz /etc/init.d/iptables save ( creio que seja assim no Debian também)

#!/bin/bash

#limpando tabelas

iptables -F &&

iptables -X &&

#liberando acesso interno da rede

iptables -A INPUT -p tcp --syn -s 192.168.0.5/255.255.255.0 -j ACCEPT &&

iptables -A OUTPUT -p tcp --syn -s 192.168.0.6/255.255.255.0 -j ACCEPT &&

# Protecao contra port scanners ocultos

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Bloqueando tracertroute

iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j DROP

#Protecoes contra ataques

iptables -A INPUT -m state --state INVALID -j DROP

iptables -A INPUT -s localhost -d localhost -p tcp --dport 6000 -j ACCEPT

iptables -A INPUT -s localhost -d localhost -p tcp --sport 6000 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT

iptables -A INPUT -p tcp --dport 21 --syn -j ACCEPT

iptables -A INPUT -p tcp --dport 25 --syn -j ACCEPT

iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT

iptables -A INPUT -p tcp --dport 110 --syn -j ACCEPT

iptables -A INPUT -p tcp --dport 194 --syn -j ACCEPT

iptables -A INPUT -p tcp --dport 4662 --syn -j ACCEPT

#BLOCKICMPUDP

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p icmp -i eth0 --icmp-type ! echo-request -m limit --limit 2/second -j ACCEPT

iptables -A INPUT -p udp -j REJECT --reject-with icmp-host-prohibited

iptables -A INPUT -f -j REJECT --reject-with icmp-host-prohibited

#Proteção Contra IP Spoofing

iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j DROP

iptables -A INPUT -s 172.16.0.0/16 -i eth0 -j DROP

iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP

#ignora qualquer pacote de entrada, vindo de qualquer endereço, praticamente bloquei tudo(você estarinvisivel na internet)

iptables -A INPUT -p tcp --syn -j DROP

#Proteção contra DDoS

iptables -A INPUT -i ppp0 -p TCP --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#Bloqueio do BackOrifice

iptables -A INPUT -p TCP -s 0/0 -d 0/0 --dport 31337 -j DROP

iptables -A INPUT -p UDP -s 0/0 -d 0/0 --dport 31337 -j DROP

#Bloqueio do NetBus

iptables -A INPUT -p TCP -s 0/0 -d 0/0 --dport 12345:12346 -j DROP

iptables -A INPUT -p UDP -s 0/0 -d 0/0 --dport 12345:12346 -j DROP

#Restrição ao servidor X

iptables -A INPUT -s 0/0 -p TCP -i ppp0 --dport 6000:6063 -j DROP

[gisane]

ok, mais uma duvida

o que faz o comando etc/init.d/iptables save

e quando eu não quiser mais habilitar esse firewall, apagar o arquivo iptables eu tem outra forma ???

[Visitante]

o que faz o comando /etc/init.d/iptables save 

Ele salva as regras, assim mesmo em um reboot elas continuam valendo. ( Eu acho que no Debian é assim que salva, na minha distruição é assim. )

e quando eu não quiser mais habilitar esse firewall, apagar o arquivo iptables eu tem outra forma ???

iptables -F , ele limpa tudo inclusive apaga as regras de /etc/init.d/iptables

[gisane]

ok, obrigado mesmo, e se eu não quiser e ele ative o firewall pelo reboot mas manualmente cada vez que reinicilizo a maquina, qual comando para startar o firewall???

[Visitante]

Pelo script, ./iptables , é nele que você inclui e exclui regras. Têm outras formas mais para você acho mais fácil assim.

[gisane]

ouvi falar que tem como monitorar os logs(como alguem tentar invadir a maquina), isto fica armazenado num arquivo??? onde fica???

[CyberFOX]

dá sim! é o arquivo /var/log/syslog (é um arquivo de texto simples)

ele acrescenta um -- MARK -- a cada data/hora em que ocorre um evento desconhecido no sistema, como uma falha de hardware.

se você for mulher me adicione no MSN q a gente conversa mais sobre o assunto, okz?

[gisane]

os marcados com MARK, onde posso obter mais informações do que aconteceu??v

[CyberFOX]

os MARK em si não dizem nda. só querem dizer que alguma coisa q o klogd (o sistema q gera o relatório) não sabe o q é, ou q o sistema travou

pra obter informaçoes você precisa de outras fontes, o sistema d log só diz q deu erro....

[Visitante]

Se for ataque pesado contra a pessoa o dmesg mesmo mostra, so digitar: dmesg

[Dumbledore]

Postado Originalmente por CyberFOX@14 de abril de 2005, 15:31

dá sim! é o arquivo /var/log/syslog (é um arquivo de texto simples)

ele acrescenta um -- MARK -- a cada data/hora em que ocorre um evento desconhecido no sistema, como uma falha de hardware.

se você for mulher me adicione no MSN q a gente conversa mais sobre o assunto, okz? 

←

Po, ataque pesado em Linux? Já tem isso?

Po, xavecando a mina aí? hehehe

[gisane]

e como eu identifico com o dmesg se houve ataque ou algo assim, ele marca como o syslog?

[CyberFOX]

o dmesg só mostra o q aconteceu durante o boot do linux.

pra ver se houve algum ataque, você precisa saber quais serviços de rede estão ativos no sistema, se você ativou sistemas de log p/ eles e se o seu firewall tem brechas.

senão... neca!!

[Visitante]

o dmesg só mostra o q aconteceu durante o boot do linux.

Não. Faz o teste,

dmesg

mount /mnt/uma/partição que não esteja no fstab

olha o dmesg agora.

[Visitante]

Postado Originalmente por gisane@15 de abril de 2005, 11:22

e como eu identifico com o dmesg se houve ataque ou algo assim, ele marca como o syslog?

←

Vai aparecer escrito, por exemplo netbus ...... e o ip do infeliz que ta tentando.

[gisane]

"mount /mnt/uma/partição que não esteja no fstab "

No fstab tenho hda2, hda3, hda1, floppy, cd-rom, mas não tenho nenhuma particao no /mnt (verifiquei pelo comando ls -l), como faco?