O bom firewall

5 de julho de 2003

pessoal beleza?

seguinte: eu tenho uns 3 programinhas firewall no Windows pra entrar na net, mas eu queria entrar na net c/ linux e como não existe um XoBobus da vida pra ele, só resta o firewall mesmo. mas...

como é q configura?? tem q bloquear IP por IP?? como é q funciona isso??

cronic · 5 de julho de 2003

No linux existe vários programas para segurança eu utilizo o iptables junto com o squid (ACLs) basta você escolher aquele que você possua maior facilidade

5 de julho de 2003

sim sim!! eu uso o Iptables!!!

mas... como fazer uma configuração the best??

cronic · 6 de julho de 2003

Essa configuração "The best" vai depender de sua necessidade, dos vários livros que eu já li sobre seguraça a maioria deles (fecham tudo que entra) eu costumo usar as seguintes opções;

Nego a entrada de qualquer tipo de entra do protocolo icmp, negandoportanto os PINGS da Morte. Costumo bara entradas em postas conhecidas como FTP, POP, SMTP, Back Office e por ai vai. a verdade é que não existe regra "The Best", por mais que você pensa em estar barrando sempre alguém descobre uma falha; o que você pode estar fazer e colocando uma ferramenta IDS para auxiliar o Firewall esta ferramenta criar regras para detectar Intrusão e se o administrador quiser disparar um ataque contra o invasor.

7 de julho de 2003

ok, mas e não tem algo do tipo "trancar todas as portas TCP e UDP?" e algum dispositivo anti-trojan??

cronic · 7 de julho de 2003

Tem!!!! Segue alguns exemplos:

Para negar pings

iptables -A INPUT -p icmp -i eth0 -j DROP

Para negar as portas 0 a 1024 (protocolo TCP)

iptables -A INPUT -p tcp --dport 0:1024 -i eth0 -j DROP

Para negar as portas 0 a 1024 (protocolo UDP)

iptables -A INPUT -p udp --dport 0:1024 -i eth0 -j DROP

E por ai vai...

O -i seguinifica qual o dipositivo de entrada assim sendo ele pode variar entre eth0 ou ppp0

Segue algumas portas conhecidas:

Wincrash 5042

BackOffice 12345 e 12346

Netbeui 137:139

Basta agora você fazer seu próprio firewall, procure nos sites de seguraça quais as portas mais usadas pelos trojans mais conhecidos e as bloquei como feito acima. Um livor que eu recomendo para começar é "Firewall em Linux" da Brasport

8 de julho de 2003

valeu!! mas...

não tem como bloquear todas as portas?? todas mesmo?? do 0 ao 20000?? seria desperdício?? ou burrice mesmo??

cronic · 8 de julho de 2003

Tem como bloquear do modo que voce quiser porém não sei se he viavel!!!! HEHEHHE! Se voce quer setir mais seguro quanto a conexao que voce esta usando voce pode bloquer todos as portas:

iptables -A INPUT -tcp --dport 0:200000000 -j DROP

Como tamb'em voce pode usar progrmas para deteccao de intrusao como o SNORT e PORTSENTRY. Este ultimo fica escultando as portas TCP e UDP o quando atacado pode diparar um script autmoticamente contra o(s) ip(s) invasores.

Mr Burns · 8 de julho de 2003

Eu queria aproveitar esse tópico para perguntar se este iptables é um bom firewall, ele é pesado e como faço para configurá-lo.

douglasgm · 8 de julho de 2003

ótimo texto sobre o IPTABLES:

www.linuxconf.kit.net

Obrigado

9 de julho de 2003

Postado Originalmente por cronic@08 Julho 2003,09:03
iptables -A INPUT -tcp --dport 0:200000000 -j DROP

tá anotado!!! heheheheheheh...

mas, esse tal de PORTSENTRY aí me interessou. Será q tem no site da GNU pra mim baixar??

coisa de maluco!!!

cronic · 9 de julho de 2003

Eu passei a sintaxe errada o certo é:

iptables -A INPUT -p tcp --dport 0:2000000 -j DROP

Agora quanto a pegar o portsentry tenta o site abaixo:

http://www.psionic.com/abacus/portsentry

9 de julho de 2003

Postado Originalmente por cronic@08 Julho 2003,22:17
iptables -A INPUT -p tcp --dport 0:2000000 -j DROP

anotei de novo!!!

valeu cronic!!

PedroWerneck · 9 de julho de 2003

Se vocêr quer simplesmente fechar tudo, é só definir policies, por exemplo...


iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Pronto... isso vai bloquear qualquer pacote vindo (iniciando uma conexao, obviamente) e permitir a saída dos seus pacotes... pra fechar tudo você só precisa dessa primeira linha, mas fecha tudo mesmo, até da sua máquina pra ela mesma... na prática, você ainda precisa permitir acesso pela interface loopback:

iptables -A INPUT -j ACCEPT -i lo

Permitir conexo"es já estabelecidas:

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

Bloquear pings e pacotes inválidos:

iptables -A INPUT -j DROP -p icmp -m icmp --icmp-type echo-request
iptables -A INPUT -j DROP -m state --state INVALID

E você pode abrir quaisquer portas que quiser com:

iptables -A INPUT -j ACCEPT -p <protocolo> --dport <porta>

dogtou · 9 de julho de 2003

Olá

Para iniciantes recomendaria o Maddog, ele tem uma ótima interface gráfica e é muito fácil de se configurar.

10 de julho de 2003

valeu pela dica galera, mas... tipo assim... se eu fechar TODAS as portas TCP e UDP da minha máquina, ele não vai aceitar nenhum pacote, certo? mas daí a net funciona?? não vai bloquear dados vindos do provedor?? se funcionar normalmente tá beleza!!! eu mesmo já testei esse IPtables c/ o PING e, caaara, tiro e queda!!

12 de julho de 2003

ô pessoal, ajudaê pô!! :hmmm:

PedroWerneck · 12 de julho de 2003

Definindo policies, como eu mostrei... drop em INPUT e FORWARD e accept em OUTPUT, e depois accept em ESTABLISHED,RELATED, vocÊ permite que os pacotes vindos em resposta para você entrem, mas não permite que ninguém envie um pacote iniciando uma conexao... você vai fechar para todo mundo, menos para as respostas vindas para vocÊ... simples