http://www.zago.eti.br/firewall/firewall.txt Dicas sobre segurança, indicações de aplicativos e tutoriais. Use CTRL+F para refinar a pesquisa. ********************************************** http://www.conectiva.com/doc/livros/online/10.0/servidor/pt_BR/ch15.html Capítulo 15. Segurança no Servidor ********************************************** veja também neste diretorio (site) FAQ FAQ e dicas sobre firewall estão no sub-diretório firewall, veja as regras em iptables.txt e modelos em iptables-modelos.txt procure também pelos FAQ: nat.txt speedy.txt invasao.txt seguran.txt -> indicação de sites, artigos e mensagens sobre segurança spam.txt antivirus.txt O que significa firewall? Na caixa de pesquisa do www.google.com.br, digite: define:firewall não entendeu porque está em ingles? copie a URL que está no seu navegador, vá pro final da página e clique em Ferramentas de idiomas e cole o endereço pra traduzir a página. ********************************************** ********************************************** inicie por estes locais: http://www.nbso.nic.br/tools/ Ferramentas pra segurança, proteção, analise de logs e muitas aplicações pra usar na rede. http://www.conectiva.com.br/cpub/pt/incConectiva/suporte/pr/servidores.firewall.html Para quem esta procurando soluções de compartilhar Internet e ter alem disso Firewall, administração via Web, DHCP etc. http://iptablesbr.cjb.net/ Tutorial e dicas de como fazer um firewall com Iptables. IP Filter http://coombs.anu.edu.au/~avalon/ Site sobre o IP filter, em ingles com FAQ, lista de discussão, tutoriais e download do Ipfilter. IPFilter is a software package that can be used to provide network address translation (NAT) or firewall services. http://www.ipcop.org/cgi-bin/twiki/view/IPCop/WebHomept IPCop Firewall IPCop implementa tecnologia atual, práticas de programação seguras e conceitos novos proeminentes que fazem dele a Distribuição Linux para proteger de simples computadores domésticos às grandes redes corporativas de intrusões e ataques. SmoothWall - Firewall/VPN - GPL http://www.smoothwall.org/gpl/ OpenSource Single Network Firewall 7.2 http://www.mandrakesoft.com/products/snf http://www.geocities.com/patola_br/tutoriais/firewall/ http://www.geocities.com/patola_br/tutoriais/firewall/firewalls6.html evasão de firewall. como burlar regras de firewall ou de um proxy e criar uma conexão entre duas redes. http://www.shorewall.net/ The Shoreline Firewall, more commonly known as "Shorewall", is a Netfilter (iptables) based firewall that can be used on a dedicated firewall system, a multi-function gateway/router/server or on a standalone GNU/Linux system. ********************************************** http://pids.sourceforge.net/index.php?acao=home PIDS - Power Intrusion Detection System Como funciona o IDS O funcionamento desta solução consiste em filtrar os pacotes que percorrem a rede, ou que estão tentando ser enviados para ela. Desta forma, toda e qualquer tentativa de acesso será logado, possibilitando posterior avaliação dos acontecimentos. ********************************************** TrinityOS http://www.ecst.csuchico.edu/~dranch/LINUX/index-linux.html#trinityos Scripts com passo a passo e exemplos com enfoque na performance, estabilidade e segurança, tem modelos de firewall com iptables e muitos outros assuntos. tudo em ingles. ********************************************** CL9 Instalado com o perfil: Estação de Trabalho: ideal para computadores pessoais típicos. Neste perfil de instalação não inclui o pacote iptables, precisa instalar posteriormente, use o apt ou synapitc e instale o pacote iptables. ********************************************** O QUE É FIREWALL? Não é um aplicativo, não são somente regras do iptables como muitos pensam. É algo que se inicia no projeto, envolve hardware, software, recursos humanos, tem que estar em constante atualização e monitoramento, não se descuida, não deixa pra depois, depende muito do que se quer proteger, o administrador da rede tem que saber disto e decidir por se especializar também na segurança, contratar especialistas ou correr riscos. Firewall é um termo generico, algo como segurança, envolve tudo que se relaciona a segurança, defesa e proteção da rede, maquinas, usuários e o mais importante, a informação. Não existe sistema 100 % seguro, o que se pode fazer é utilizar recursos de: hardware, logica, software, politicas de segurança, ferramentas de proteção, monitoramento constante e procedimentos de emergencia, tais como parar serviços, ajustar regras, ser rápido em detectar e barrar ações danosas e tudo que for possivel fazer para amenizar os prejuizos e dificultar ao máximo a ação de vandalos, cuidado que eles não vem só de fora, podem estar dentro da tua empresa, dentro da tua rede, usam de todos os artificios pra abrir e entrar por qualquer porta. Tente avaliar a importancia do firewall respondendo a estas perguntas. Quanto vale pra concorrencia as informações da tua rede? Que estrago e prejuizos os vandalos podem causar roubando seus bancos de dados? Mesmo que não levem nada, quais as consequencias da destruição de instalações e dados da empresa? Com estas respostas voce deve saber o que fazer, ou procure consultoria especializada. Quanto custa? Existem soluções Linux free, soluções comerciais e empresas especializadas em fazer este serviço, voce decide se faz ou contrata quem faz. Onde tem uma receita pronta ou modelo? Não tem, voce fez a instalção, configuração e personalizou a rede a seu modo, ou melhor às necessidades da empresa, portanto ela é única, diferente de todas as demais, igualmente a proteção dela também será única pra ser eficiente. Por onde começar? O desconhecido sempre é dificil e complicado, eu diria que o firewall é trabalhoso, porque não é uma tarefa que se executa uma vez e deixa prá lá, requer monitoramento o tempo todo, é muito mais fácil do que se imagina, não é assustador como muitos imaginam, basta começar pra fazer. Em listas e foruns circulam mensagens que esta ou aquela distro é mais segura, que a outra é mais estável, que tal distro é mais robusta e muitos outros argumentos realçando ou fazendo comparações entre as diversas distribuições GNU/Linux. Pra voce pensar no assunto, considere que todas as distro tem o kernel da mesma origem, usam o iptables como modulo pra processar as regras, a diferença está no administrador da maquina, seja servidor ou estação, ou seja, não importa a distro, importa que utilize as ultimas versões de cada pacote e os mantenha atualizados com regras rigidas de segurança e monitoramento. A segurança não está em um único ponto, como muitos imaginam, não basta fechar as portas e aplicar regras pro que vem da internet, isto traz uma falsa sensação de segurança por achar que a porta da frente está fechada, nada disto adianta se deixar o resto extremamente vulnerável, um exemplo de falha grave. Permitir usuários instalar e executar qualquer tipo de programa nas estações, estes usuários podem instalar programas pra fazer um tunel ou ponte com outras maquinas na interenet e facilitar ação do invasor. Inicie com o IPtables, elabore um script e vá implementando melhorias, pra fazer este script basta usar um editor de texto e colocar as regras, tone-o executável, acrescente no final de /etc/rc.d/rc.local uma chamada pra ele ser executado no boot, ou veja modelos em: http://www.zago.eti.br/scripts/modelos-scripts.txt. Instale um aplicativo auxiliar pra monitorar a rede. Aprenda e faça contantemente analize dos logs do sistema. Mantenha-se atualizado, tem listas, forum, sites especializados e literatura a respeito. ALGUMAS DICAS: 1 - Micros de cara pra internet. - Instale somente o necessário e sempre a ultima versão estavel. - inicie somente os serviços essencias - Monitore o trafego e log constantemente, qualquer suspeita ou situação anormal deve ser investigada, nunca descuide da segurança. - Tente usar um micro de firewall e os servidores em outras maquinas atraz do firewall, não sendo possivel e rodando serviços exclusivos pra rede interna em micro de cara pra internet, tem que fechar as portas pra internet, por exemplo samba, servidor X e etc.... são muito vulneraveis á invasão. Portanto não esqueça de colocar regras no firewall fechando as portas utilizadas por aplicativos que não precisam aparecer pra internet. - aplique todos os path de correções e atualizações, mantenha os aplicativos atualizados sempre na ultima versão. - reforce a segurança com algum IDS. - monitore os logs - investigue a fundo qualquer suspeita de operações estranhas, aumento de trafego, termos estranhos ou desconhecidos nos logs. - acompanhe no site do desenvolvedor as noticias sobre os pacotes que rodam no servidor. 2 - INVASÃO. - Não se recupera instalação invadida, no máximo recupere dados essenciais e faça nova instalaçao. POR ONDE O INVASOR ENTRA. Se voce disse que é pela porta da frente, pelo micro que está de cara ou conectado à internet, errou... A segurança no mundo virtual tem muita semelhança com o mundo real, veja por onde os vandalos entra na tua casa, o que eles fazem pra roubar, nem sempre é pela porta da frente, vão se utilizar de qualquer falha, seja onde estiver. Na tua proteção a rede, considere também: 1 - Modem discado em alguma estação que permite conexão remota, também precisa de proteção, o invasor pode conectar pelo modem, entrar pelas portas dos fundos e acessar toda a rede, muitas empresas tem um modem que permite conexão remota pra serviços especiais, um grande numero de invasão tem ocorrido por estes modens sem proteção, depois da invasão pelo modem, pode se abrir um brecha ou até invalidar teu firewall que foi configurado pra proteção de ataques que vem da internet, depois do firewall arrombado ele chega pela internet, a porta da frente que vai estar aberta. 2 - Os usuários podem instalar programas maliciosos, mesmo que não tenham a intenção de fazer, podem instalar estes programas que detonam com toda a segurança da rede, faça um teste, procure em sites, canais de bate papo e foruns especializados em invasão ou quebra de senha pra encontrar funcionarios furiosos porque o proxy bloqueia o bate papo ou sites que ele quer acessar, este funcionario não mede consequencias, instala qualquer programa executa qualquer comando pra tentar burlar o proxy, em uma destas acabam instalando programas que anulam o firewall, abre tudo, deixa o servidor vulneravel pra um invasor externo. 3 - Estes programas chegam por e-mail, sites que oferecem programas milagrosos, golpistas que oferecem demonstrações, engenharia social e outras tecnicas de abordagem que incluem salas de bate-papo, correspondencia, telefone e etc... Não dá pra acreditar mas existe, tem pessoas que acreditam cegamente nas amizadas que fazem em chat (canais de bate papo), o expertinho do outro lado diz que tem um programa que o vizinho da namorada do amigo que trabalha não sei aonde lhe forneceu um programa de segurança, com este programa ele está seguro, tem mais, se voce quiser posso lhe enviar!, mais um que caiu no golpe e instalou algum programa malicioso pra detonar com a segurança da maquina e também da rede. 4 - O maior furo pode estar em uma estação qualquer, não vou citar nomes nem detalhes, em um cliente, peguei uma pessoa demonstrando um programa pra calculo de impostos, não permito testes em maquinas de usuários, testes devem ser feitos em maquinas fora da rede, em ambiente à parte e controlado, quando pedi a ele pra ir pra outra maquina e também solicitei os dados da empresa dele, endereço do site, telefone e o CD pra analizar, o cara se assustou e percebi que tinha coisa errada, depois constatei que no CD tinha netbus e muitos outros programas pra roubar dados da maquina, não deu policia porque ele fujiu, também não descobri o que ele procurava, o fucnionario possivel amigo dele imediatamente passou a dizer que não o conhecia!. 5 - Não lembro onde tem um artigo que diz mais ou menos isto: Um engenheiro se deu ao trabalho de catar todo o lixo de uma fabrica de CPU, todos os dias ele fazia o papel do lixeiro, passava na porta da fabrica, coletava lixo, levava pra casa, depois analizava toda aquela documentação, nestes documentos ele encontrou toda a documentação sobre a CPU e conseguiu montar todo o processo de uma CPU, isto é uma espionagem industrial muito fácil de fazer, mencionei este assunto pra voce ver que mesmo hoje com toda tecnologia e informatica, não tem firewall que proteje este tipo de roubo, as informações da empresa pode ir pro "lixo" e pelo "lixo", Tenha cuidado com as midias descartadas, seja de backup que não usa mais, ou qualquer material que vai pro lixo, até mesmo com venda de micros usados que pode levar muita informação em seus HD, não adianta remover partição, formatar e tal, a informação continua lá pra qualquer um recuperar, procure saber como funciona o easy recover e outras ferramentas de recuperação de dados em HD, veja quantas empresas especializadas existem por aí !. 6 - Imagine o que pode entrar por redes P2P do tipo Kazaa e aqueles programas que prometem maravilhas, muitos funcionarios, na "paranoia" de protejer a maquina "disto" e "daquilo" instalam programas que não conhecem, que na verdade são programas maleficos pra abrir furos na rede, nem vamos falar dos filhos do patrão e dos chefes, voce não pode negar o pedido "ordem" deles, eles não sabem o que fazem, o patrão também não entende nada de segurança na informatica, instalam um monte de programas inúteis (kaZaa, irc, msn, etc), prato cheio pra hacker invadir essa máquina, não só a segurança da maquina, mas de toda a rede local ficará comprometida, quando a "bomba" estourar voce será responsabilizado, pense nisto !!!!, procure orienta-los. 7 Estou adotando a politica de não utilizar discos nas estações, nem anexos de e-mail, nem permitir usuários instalar programas, tentando dificultar ao máximo, mas quando o cara quer, leva bilhetinho no bolso, leva um pouquinho de cada vez, pode até imprimir relatorios, jogar no lixo e depois pegar lá fora. 8 - Protejer os dados e toda a inforamação da empresa, não sei como fazer, também estou procurando a receita, mencionei alguns tópicos acima, com certeza existem muitos outros recursos a serem aplicados pra melhorar a segurança, como também muitos outros meios de burlar, quando mais valor tiver a informação, mais cuidado ela merece. Nete documento e outros neste diretório tem uma seleção de mensagens sobre firewall, defesa, scanner, ataque, segurança e assuntos correlatos, veja as opiniões de colegas da lista Linux-br e outras listas e forum que participo, são mensagens esclarecedoras e valiosissimas que vale a pena ler e consultar, para se orientar no script do iptables tem alguns documentos com modelos utilizados por colegas da lista, consulte estes documentos também. ALGUMAS NOTICIAS PRA VOCE MEDITAR E SE PREOCUPAR: http://www1.folha.uol.com.br/folha/informatica/ult124u16226.shtml 15/06/2004 - 17h36 Informações confidenciais das empresas vazam por e-mail da Folha Online O mau uso do e-mail está fazendo com que vários dados confidenciais das corporações vazem na internet, indicou um estudo realizado pela SurfControl, empresa que filtra mensagens de correio eletrônico. Zago ********************************************** COMO CRIAR SCRIPT FIREWALL COM IPTABLES (COM COPIAR E COLAR) Para saber mais sobre copiar e colar, veja dica em cp.txt Em segurança não se copia, faz parte da segurança saber o que está fazendo. Estes modelos servem como introdução, continue lendo e aperfeiçoando. Ao estilo copiar e colar, tem dois modelos de script com iptables, o simples fato de copiar e colar pra linha de comando o texto indicado abaixo, vai criar um script, torna-lo executavel e inicia-lo junto com o boot do Linux. Este modelo utilizo pra testes ou pra continuar com alterações no editor "vim". Script com muitas regras o mais indicado e salvar em um arquivo formato texto, quando for preciso, faça copia do arquivo e ajuste as permissões com atributo de execução, inclua no final de /etc/rc.d/rc.local uma chamada pro script ser executado no boot. Por exemplo, regras pra compartilhar uma conexão de internet, neste exemplo é uma conexão com rp-ppoe, precisa no minimo instalar o modulo iptables e destas regras: modprobe iptable_nat iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward Elas pode ser colocadas no final do /etc/rc.d/rc.local, claro que depois da linha de comando que starta o adsl, pode digita-las, copiar e colar, pode ser um escript executavel e colocar no /etc/rc.d/rc.local uma chamada pra executar este escript ou executa-lo manualmente a qualquer momento, na digitação é facil cometer erros, prefira copiar e colar ou baixar o arquivo, estas linhas de comando estão em: # http://www.zago.eti.br/modelos/ppp0-compartilhar Pra baixar com wget: wget http://www.zago.eti.br/modelos/ppp0-compartilhar Ou linha de comando pra importar pro "vi" (veja cp.txt) :r !lynx -dump http://www.zago.eti.br/modelos/ppp0-compartilhar interface ppp0 Quem configura a conexão atraves do pacote rp-ppoe, que fez uso dos comandos adsl-setup pra configurar e adsl-start pra conectar estão usando o pacote rp-pppoe, embora tenha o modem conectado na eth0, quando se conecta com adsl-start o pppoe levanta a interface ppp0, e será ela que constara nas regras do iptables e não a eth0. touch /etc/rc.d/iptfirewall chmod +rwx /etc/rc.d/iptfirewall echo "/etc/rc.d/iptfirewall" >> /etc/rc.d/rc.local echo \#\!\/bin/bash >> /etc/rc.d/iptfirewall echo "modprobe iptable_nat" >> /etc/rc.d/iptfirewall echo "iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE" >> /etc/rc.d/iptfirewall echo "echo 1 > /proc/sys/net/ipv4/ip_forward" >> /etc/rc.d/iptfirewall cat /etc/rc.d/rc.local cat /etc/rc.d/iptfirewall interface eth0 Quando não se usa o pacote rp-pppoe, como nos casos de IP fixo onde a configuraão é feita na eth0, ou que a configuração da conexão esteja no modem e este como um servidor de DHCP fornece IP, DNS eGATEWAY, neste caso a interface a ser utilizada nas regras de iptables será a eth0, caso tenha utilizado ethX na sua maquina, faça a substituição no modelo abaixo antes de copiar e colar. touch /etc/rc.d/iptfirewall chmod +rwx /etc/rc.d/iptfirewall echo "/etc/rc.d/iptfirewall" >> /etc/rc.d/rc.local echo \#\!\/bin/bash >> /etc/rc.d/iptfirewall echo "modprobe iptable_nat" >> /etc/rc.d/iptfirewall echo "iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE" >> /etc/rc.d/iptfirewall echo "echo 1 > /proc/sys/net/ipv4/ip_forward" >> /etc/rc.d/iptfirewall cat /etc/rc.d/rc.local cat /etc/rc.d/iptfirewall Ou linha de comando pra importar pro "vi" (veja cp.txt) :r !lynx -dump http://www.zago.eti.br/modelos/eth0-compartilhar ********************************************** De:  Marcus Lima Responder-a:  marcuslima@marcuslima.eti.br Para:  Luiz Henrique Gomes , Linux-Br Assunto:  RES: (linux-br)Melhor FireWall Data:  Fri, 12 Sep 2003 22:59:39 -0300 > Pessoal, qual a melhor distro para rodar como firewall? O que você prefere, 'Bacon' ou 'Toucinho de Fumeiro'? O Firewall do Linux independe da distribuição, ele está no Kernel e é controlado pelo ipchains/iptables. Att, Marcus Lima. --- ********************************************** De:  vilelaem@furnas.com.br Para:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)Existe Firewall para GNU/Linux? Data:  Wed, 23 Jul 2003 10:00:14 -0300               Claudio....                                                                                                      Como lhe respondeu o Wilian...                                                                                                  >Entre no www.linuxit.com.br e procure sobre iptables ou ipchains e como    montar                                                                      >firewal..                                                                                                                                                   E para facilitar sua tarefa, você pode escolher os front ends para os  " ip* " citados:                                                                                                                                                                                                                     1) Kmyfirewall   = > http://kmyfirewall.sourceforge.net/                     2)  Easy Firewall Generator = > http://morizot.net/firewall/                3)   Firewall Builder = > http://www.fwbuilder.org/                         4) Shorewall = > http://shorewall.sf.net/                                   5) Guarddog = > http://www.simonzone.com/software/guarddog/                 6) FireStarter = > http://firestarter.sourceforge.net/                                                                                                       Grande abraços a todos da lista...                                                                                                                               Vilela - Furnas - MG                                                                                                                    Usuário Linux  #241412                                                     ********************************************** > O problema é que para conseguir isso eu tive que "abrir" o firewall > (ipchains) pois do contrário não consegui (mesmo depois de ler o > ipchains-howto) estabelecer uma regra sequer que funcionasse - não tenho > muuuita experiencia nisso e a sintaxe do ipchains tem muitas variações. > > Alguem pode me ajudar sugerindo uma configuração na qual eu tenha > alguma segurança e que depois eu possa ir aprimorando ? Fala Chivas :P IMPORTANTE!!!! Estas táticas estão no meu documento de ipchains que ainda não foi distribuido ( já estou acabando ele :PPP), portanto eu não gostaria que NADA que esta escrito aqui/idéias seja listado/copiado para nenhuma site de Linux( a salvo a lista linux-br, como colaboração de um usuário GNU/Linux ) Assim que o documento estiver terminado(licença GNU) vcs poderão copiar/vender etc. Mas enquanto ele não sai, por favor, respeitem meu trabalho, toda estas idéias/táticas não foram copiadas de lugar nenhum. Obrigado. Seguinte, o problema de se fechar o ipchains é que ele barra todos os pacotes e como vc é o administrador do seu sistema, vc é quem deve configurar o ipchains para que ele funcione corretamente. O fato de vc ter que abrir o ipchains para que a sua rede funcione causa um sério risco tanto para o servidor Linux como os clientes, mas sem isso a sua rede não funciona, o que fazer???? Eu não sei se vai funcionar no seu Mandrake ( eu não uso ) mas estas modificações funcionam muito bem em um RedHat e Conectivas ( não testei ainda no 5.0 e 5.1, mas funciona no 4.0 e 4.2 ) Primeiramente vamos arrumar o klogd ( log do kernel ) para que ele mande qualquer mensagem de erro para /var/log/err ou qualquer outro que você escolher. Em /etc/rc.d/init.d/syslog modifique a linha: gprintf "Starting %s: " "syslogd" daemon syslogd daemon klogd echo touch /var/lock/subsys/syslog por gprintf "Starting %s: " "syslogd" daemon syslogd daemon klogd -f /var/log/err echo touch /var/lock/subsys/syslog A linha que foi modificada foi ( daemon klogd -f /var/log/err ), isso faz com que todo e qualquer log do kernel seja redirecionado para /var/log/err isso nos dá uma maior economia de tempo para procurar os logs. Salve e reinicie o klogd com "/etc/rc.d/init.d/syslog restart".Antes que alguém diga algo,modificar o /etc/syslog.conf não funcionou comigo. Para economizar digitação eu adciono o seguinte no meu /etc/bashrc: alias err="tail -f /var/log/err" Salve saia, faça um kill -1 1, agora digite err no seu terminal que vc poderá ver o log do kernel, eu adciono no /etc/bashrc mas vc pode inserir no .bashrc do seu usuário root ( por motivos de segurança ). Agora faça um script com o seguinte conteúdo: #!/bin/sh PATH=/sbin #Revertendo e limpando ipchains antigos ipchains -P input ACCEPT ipchains -P output ACCEPT ipchains -P forward ACCEPT ipchains -F #Fechando tudo ipchains -P input REJECT ipchains -P output REJECT ipchains -P forward REJECT #Abrindo telnet e ssh para o nosso teste ipchains -A input -p tcp -s 192.168.0.0/24 -d 192.168.0.3 22 -j ACCEPT ipchains -A input -p tcp -s 192.168.0.0/24 -d 192.168.0.3 23 -j ACCEPT ipchains -A output -p tcp -s 192.168.0.3 22 -d 192.168.0.0/24 -j ACCEPT ipchains -A output -p tcp -s 192.168.0.3 23 -d 192.168.0.0/24 -j ACCEPT #Logando todas as conexões para fins de procura de erros #Não use estas configurações abaixo em situações reais ou tenha dor de #cabeça mais tarde.Somente use-as se você souber o que esta fazendo!!! ipchains -A input -s 0/0 -d 0/0 -j REJECT -l ipchains -A output -s 0/0 -d 0/0 -j REJECT -l Agora todos os pacotes que forem negados vc vai poder vê-los no seu /var/log/err. Depois de aplicar as suas regras vc agora vai tentar acessar a internet, e provavelmente vc não vai conseguir, mas veja o log do kernel: 192.168.0.4 = Cliente Windows 192.168.1.3 = Servidor www e DNS <6>Packet log: input REJECT eth1 PROTO=17 192.168.0.4:1322 192.168.1.3:53 L=76 S=0x00 I=55093 F=0x0000 T=128 (#5). Agora preste atenção, nosso log mostra : input REJECT = Significa que o pacote foi barrado pela regra de ipchains eth1 = Interface de network, pode ser ppp0 no seu caso ou alguma outra que vc utilize. PROTO=17 = PROTO significa "protocolo" e 17 é o número do mesmo, para saber qual é o protocolo 17 veja o seu /etc/protocols ( cat /etc/protocols|grep 17 ) ou seja é UDP. 192.168.0.4:1322 = Significa "IP:porta" do cliente que tentou algum acesso ou comunicação. 192.168.1.3:53 = Nosso servidor de DNS Então traduzindo seria: Foi rejeitado um input na interface eth1 no protocolo 17 (UDP) que veio do cliente 192.168.0.4 na porta 1322 para o servidor 192.168.1.3 na porta 53(DNS). Então como nós sabemos o servidor vai sempre estar escutando e servindo na mesma porta, e quando nós fazemos uma comunicação com o servidor nós sempre utilizamos uma porta alta, como estas portas são váriadas ( pode ser qualquer uma entre 1024-65535 ) nós não precisamos especifica-la para o ipchains. Continua em Firewall - parte 2 ********************************************** Agora que nós já sabemos que o pacote que esta vindo do servidor esta barrado, fica fácil de criar a nossa regra: ipchains -A output -p udp -s 192.168.1.3 53 -d 192.168.0.4 -j ACCEPT ipchains -A input -p udp -s 192.168.0.4 -d 192.168.1.3 53 -j ACCEPT NOTA!!! 192.168.1.3 é o meu servidor de DNS e esta listado como exemplo, para situações REAIS vc precisa adcionar o IP(s) do servidor(es) de DNS do seu provedor de internet. Agora adcione ao seu script estas regras ANTES da linha que contém: ipchains -A input -s 0/0 -d 0/0 -j REJECT -l ipchains -A output -s 0/0 -d 0/0 -j REJECT -l Senão não vai funcionar, rode o seu script novamente. Tente acessar alguma página novamente, pá, ainda não funciona, nós abrimos o DNS agora vamos ao www ( porta 80 ), veja os logs novamente vc deverá ver o seguinte: 192.168.1.3 = servidor www 192.168.0.4 = cliente <6>Packet log: input REJECT eth1 PROTO=6 192.168.0.4:1333 192.168.1.3:80 L=48 S=0x00 I=15927 F=0x4000 T=128 SYN (#6) A mesma coisa aqui só que é com o www, o ipchains esta recusando conexão de 192.168.0.4 (input REJECT) para o 192.168.1.3 na porta 80 (www) usando o protocolo tcp. Abra o seu script novamente e adcione estas novas regras: ipchains -A input -p tcp -s 192.168.0.4 -d 192.168.1.3 80 -j ACCEPT ipchains -A output -p tcp -s 192.168.1.3 80 -d 192.168.0.4 -j ACCEPT Então nestas duas linhas nós temos o seguinte: A primeira regra libera conexões usando o protocolo tcp vindas do cliente 192.168.0.4 para o nosso servidor de www 192.168.1.3 na porta 80. A segunda regra libera a resposta vinda do nosso servidor 192.168.1.3 porta 80 usando o protocolo tcp para o cliente 192.168.0.4. Mas eu quero ver a internet, não o servidor, como eu faço???? Simples :þ GT= IP da interface de gateway da sua rede. IT= interface que vc utiliza, eth0, eth1,ppp0 etc. ipchains -A input -p tcp -i $IT -s 0/0 80 -d $GT -j ACCEPT Ué, cadê a regra para output??? Não precisa pois esta regra só é necessária quando estamos falando de um servidor que esta dentro de um firewall, como estamos acessando servidores externos, a regra para output não é necessária. Eu tenho um cable modem e não quero que ninguém tente acesso na porta 80, mesmo não tendo o apache escutando nesta porta, como eu bloqueio o acesso e gravo no log a tentativa? Supondo que a sua interface que tem o IP válido seja 200.200.200.1 (eth1) ficaria assim: ipchains -A input -p tcp -i eth1 -s 0/0 -d 200.200.200.1 80 -j REJECT -l ipchains -A output -p tcp -i eth1 -s 200.200.200.1 80 -d 0/0 -j REJECT -l Então é assim que se faz, eu não lhe passei as regras que vc precisa pois cada caso é um caso e o que pode funcionar para mim pode não funcionar para vc etc. Agora é só vc sentar, pegar tudo o que lhe ensinei, e pensar na configuração do seu firewall, o que vc quer abrir, o que vc quer fechar para os outros. Espero que tenha ajudado. ********************************************** Ola, Use o Psionic ele é otimo para pegar estes caras. alem de guardar o IP do "Ratto" ainda tranca aquele Ip ou seja com aquele ip ele não entra mais, pois o ip dele vai parar no hosts.deny, e mais ainda, da para fazer um contra ataque, também envia uma mensagem para quem tentou invadir as portas trancadas... no endereço abaixo você encontra o Psionic. http://www.psionic.com ----- Original Message ----- From: "Clodonil Honorio Trigo" To: "Carlos Thadeu Duarte Santos" ; Sent: Wednesday, April 11, 2001 8:22 AM Subject: (linux-br) Ratuera para Lammer > Oi Pessoal!!! > > Estive dando uma olhada em um livro e eles mostravam com fazer para montar > uma ratuera ( Termo bem grotesco ) para fazer quem esta tentando invadir em > algumas portas. > A dica era o seguinte: > > Dentro do Arquivo : /etc/Deny > > All:All:twist /var/noaccess %h %d;\ > \bin\echo -e "%h Tentou acessar %d " >> /var/log/security.log > > A ideia é que ele pegue os ip que tentou acessar, e isto é feito atraves do > programa em c chamado noaccess , mas na porcaria do livro não passou o > programa para que possamos testar. > > Alguem sabe como porderia fazer um programa deste ou sabe onde tem? > > Falou pessoal ********************************************** > > Alguém sabe de algum firewall que seja mais ao estilo "visual" > > como os do windows? > > Kenjiro Tanaka > > (http://kenjiro.web.terra.com.br) Existe o Knetfilter: http://www2.uol.com.br/info/aberto/download/1696.shl "O Knetfilter é uma aplicação do desktop KDE voltado para a configuração e o gerenciamento do Netfilter. Praticamente todas as tarefas administrativas de um firewall padrão podem ser executadas com o Knetfilter. Mas ele vai além. Mais que um simples GUI para o comando iptables, com o Knetfilter é possível fazer monitoração de desempenho e da estabilidade." > Fiquei pensando no assunto e acho que muita gente não deve usar > firewall nos desktops linux pela dificuldade da sintaxe do ipchains e > iptables. A providência tomada pelas distros foi o de não carregar serviços default, que possam abrir portas à toa, e o serviço de repasse de pacotes desativado. Esta medida de segurança é muito mais eficaz que a instalação de um filtro de pacotes, já que elimina o mal pela raiz. Acredito que a menor vulnerabilidade desta configuração faz com que usuários de Linux demandem menos uso de firewall para suas estações de trabalho. > Claro que em servidores sou a favor de ferramentas em linha > de comando, mas acho que deveríamos ter um programa mais > user-friendly para os desktops domésticos, algo como um Zone Alarm > que, aliás, recomendo a todos que ainda usem alguma partição > Ruindows. Existe o Linuxconf, o Knetfilter, e mais outros por aí. > Aproveitando o embalo, alguém conhece algum projeto em andamento de > uma interface gráfica para o iptables ? Note que não acho que um > programa seja mais simples apenas por ter uma GUI para X. Para > usuários domésticos seria vital algum programa que bloqueasse ou > permitisse o acesso de programas individuais na medida em que a > pessoa fosse usando, tal como o Zone Alarm, que pergunta se o usuário > deseja ou não que um determinado programa acesse a internet e loga > todas as tentativas de acesso externo. Para os mestres em iptables eu > acho que seria um ótimo projeto... Se sua máquina é uma estação de trabalho, para que ela vai abrir portas de serviços para acesso externo, antes de mais nada? Segurança é algo que se pensa desde o projeto. Acredito que um aplicativo como Zone Alarm sirva para sistemas operacionais em que a segurança foi deixada de lado desde sua concepção. Mesmo assim, facilidade de uso para usuários leigos é algo sobre o que a comunidade está debruçada no momento. []s -- Edgard Lemos edgard@edconsultoria.com.br Usuário Linux nº ********************************************** Snort/ACID (Analisys Console for Intrusion Databases), um detector de invasão de redes cuja instalação e configuração está bem descrita no manual do CL7. http://www.conectiva.com/doc/livros/online/7.0/servidor/snort-acid.html ********************************************** CL6.0 Estou usando este firewall que fiz por base no exemplo que tem no site da conectiva, para que ele funcione primeiro eu conecto na internet e depois eu start ele como fazer para que ele start sempre que meu modem conectar tentei no ip-up mas parece que ele start antecipado e nao da tempo de pegar o ip do ppp0 se o ip fosse fixo nao teria este problema... #! /bin/sh # set -x # FireWall - Ipchains # # description: FireWall Stf 01 # chkconfig: 2345 80 30 # # acrescentar no /etc/syslog.conf para # monitorar o firewall atravez do log # kern.info /var/log/kern.info # # coloque este arquivo no /etc/rc.d/init.d/ # e ative ele no ntsysv # # . /etc/rc.d/init.d/functions . /etc/sysconfig/network if [ ${NETWORKING} = "no" ] then exit 0 fi # Capturando Variaveis dev='ppp0' gw=$(ifconfig $dev |grep inet |cut -d : -f2 |cut -d " " -f2) ip=$(ifconfig eth0 |grep inet |cut -d : -f2 |cut -d " " -f2) rede=$(route -n |grep eth0 |cut -d ' ' -f1)/24 all='0/0' echo dev $dev echo rede $rede echo gw $gw echo ip $ip # Inicio do FireWall case "$1" in start) gprintf "Iniciando o %s: " "FireWall" echo # Limpado Regas # ipchains -P input DENY # ipchains -P output DENY ipchains -P forward DENY ipchains -F ipchains -X # Ativando repasse de pacotes echo 1 > /proc/sys/net/ipv4/ip_forward # Carregando Modulos p/ Masquerado #/sbin/modprobe ip_masq_raudio #/sbin/modprobe ip_masq_user #/sbin/modprobe ip_masq_irc #/sbin/modprobe ip_masq_quake /sbin/modprobe ip_masq_ftp # Ativando o Mascaramento ipchains -A forward -s $rede -j MASQ # Liberando acesso completo para Servidor ipchains -A input -s $rede -d $ip -i $dev -j ACCEPT # Bloqueando icmp de fora da rede ipchains -A input -l -p icmp -d $gw -i $dev -j REJECT # Bloqueando acesso externo Para Udp ipchains -A input -l -p udp -d $gw :1023 -i $dev -j REJECT ####### Configurando Regas de Entrada ############ ####### regas de filtragem do Tcp ########### # ftp ipchains -A input -l -p tcp -d $gw 21 -i $dev -j REJECT # ssh # ipchains -A input -l -p tcp -d $gw 22 -i $dev -j REJECT # ipchains -A input -l -p udp -d $gw 22 -i $dev -j REJECT # telnet ipchains -A input -l -p tcp -d $gw 23 -i $dev -j REJECT # smtp ipchains -A input -l -p tcp -d $gw 25 -i $dev -j REJECT # Dns ipchains -A input -l -p udp -d $gw 53 -i $dev -j REJECT ipchains -A input -l -p tcp -d $gw 53 -i $dev -j REJECT # www #ipchains -A input -l -p tcp -d $gw 80 -i $dev -j REJECT # pop3 ipchains -A input -l -p tcp -d $gw 110 -i $dev -j REJECT # portmapper ipchains -A input -l -p tcp -d $gw 111 -i $dev -j REJECT # Proxy ipchains -A input -l -p tcp -d $gw 3128 -i $dev -j REJECT ipchains -A input -l -p udp -d $gw 3128 -i $dev -j REJECT # X11 ipchains -A input -l -p tcp -d $gw 6000 -i $dev -j REJECT # irc ipchains -A input -l -p tcp -d $gw 6667 -i $dev -j REJECT ####### Configurando Regas de Saida ############ ipchains -A output -s $rede -j ACCEPT ;; stop) gprintf "Parando o %s: " "FireWall" echo /sbin/ipchains -F /sbin/ipchains -X /sbin/ipchains -P input ACCEPT /sbin/ipchains -P output ACCEPT /sbin/ipchains -P forward ACCEPT ;; *) gprintf "Use firewall (start|stop)" echo ;; esac exit 0 ********************************************** Subject: Re: (linux-br) Protecao internet Dá uma olhada em: http://www.metainfo.org/focalinux/guia/avancado/ch-fw-iptables.htm Isso se o seu linux tiver kernel 2.4 : ) Se não tiver ... ou então por curiosidade dê uma olhada em: http://www.linux.trix.net/tab_mapa.htm Procure por IPTable, Ipchains e segurança : ) ********************************************** De: Alexandre Para: linux-br Assunto: (linux-br) Torne seu firewall (filtro de pacotes) mais "inteligente", e de um Q a mais em seu Bridge. Data: 10 Sep 2002 10:47:49 -0300 Fonte.: http://mail.dep.ufscar.br/snort.php3 Torne seu firewall (filtro de pacotes) mais "inteligente", e de um Q a mais em seu Bridge. Ataques contra os sistemas conectados à Internet crescem em números todos os dias. Disponibilizar recursos de rede tornou-se um risco necessário para a maioria das organizações, que encontra-se neste meio. Optamos por instalar um sistema capaz de detectar e bloquear intrusos em tempo real, visando proteção dos sistemas expostos à Internet principalmente contra os ataques que exploram falhas de implementação de software e os que causam negação de serviço. Em outras palavras, nosso firewall (filtro de pacotes) ficou "inteligente", e pode tomar decisões segundo uma rotina. Entre outras capacidades, ele pode ler um conjunto de regras e compara-las com o tráfego da rede. Quando um padrão é reconhecido, a atividade suspeita é registrada, e dependendo do nível crítico, havera o bloqueio. Esse filtro bloqueara apenas conexões que estejam em ataque, as demais maquinas (clients) e servidores críticos não serão bloqueados. Se as tentativas de conexão entre os dois ou mais hosts parar, o bloqueio é desativado automaticamente após 10min. Esse sistema é formado por base em scripts, os quais podem ser alterados de acordo com suas necessidades. Existe uma ótima documentação feita pelo Fabricio Bortoluzzi, disponível em: http://mail.dep.ufscar.br/pub/bridge/. Junto a este encontra-se um servidor bridge em disco, que fiz em Março de 2002 para suprir a necessidade de um firewall em um dos Lab. do DEP. O documento citado é de Abril de 2002. Snort: The Open Source Network Intrusion Detection System, http://www.snort.org/ From: "Alexandre Bensi {'aledon'}" 11/7/01 12:22 PM Subject: Instalando um servidor Bridge + NAT To: NONONO ;) Vamos lá internalta, digamos que seu servidor tenha: ed0 - 200.x.x.1 / 255.255.255.224 ed1 - 192.168.0.1 / 255.255.255.0 gateway - 200.x.x.2 dns - 200.x.x.3 E o cliente pcX: IP 192.168.0.10 Netmask 255.255.255.0 Gateway 192.168.0.1 DNS 200.x.x.3 So lembrando as divisões ;) Classe De Rede Netmask Endereco De Rede A 255.0.0.0 10.0.0.0 - 10.255.255.255 B 255.255.0.0 172.16.0.0 - 172.31.255.255 C 255.255.255.0 192.168.0.0 - 192.168.255.255 No servidor coloque os seguintes caracteres no kernel: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options BRIDGE options IPDIVERT options TCP_DROP_SYNFIN #drop TCP packets with SYN+FIN options TCP_RESTRICT_RST #restrict emission of TCP RST Configuracao do Servidor: edit> /etc/rc.conf natd_enable="YES" natd_interface="ed0" natd_flags="-l -f /etc/natd.conf" gateway_enable="YES" firewall_enable="YES" firewall_type="OPEN" network_interfaces="ed0 ed1 lo0" ifconfig_ed0="inet 200.x.x.1 media netmask 255.255.255.224" ifconfig_ed1="inet 192.168.0.1 netmask 255.255.255.0" defaultrouter="200.x.x.2" hostname="bsdbox" /sbin/ipfw -f flush /sbin/ipfw add divert natd all from any to any via ed0 /sbin/ipfw add pass all from any to any Configuracao das Estacoes clientes: rem> exemplo de configuracao rem> IP: 192.168.0.2 rem> Netmask: 255.255.255.0 rem> Gateway: 192.168.0.1 Instruindo o sistema a trabalhar com Bridge, /etc/sysctl.conf: net.link.ether.bridge=1 net.link.ether.bridge_ipfw=1 sysctl -w net.inet.ip.forwarding=1 Pronto, é pra funcionar. -- Atenciosamente, Alexandre Bensi {'aledon'} System/Network Administrator ********************************************** De: Bernardo Silveira Para: Raul Cc: linux-br@bazar.conectiva.com.br, linuxabc@yahoogroups.com, linuxall@yahoogrupos.com.br Assunto: Re: (linux-br) proxy Data: 23 Oct 2002 15:30:59 -0200 Caro Raul, O Kazaa é mesmo o terror de quem administra uma rede e quer uma velocidade decente. Para evitar que ele seja utilizado, barre a porta 1024 e a porta 1080 - a primeira, sendo bloqueada, vai deixar que os usuários se conectem à rede do Kazaa e procurem arquivos, mas vai impedir que eles baixem os mesmos, já a 1080, vai impedir a maneira mais utilizada para burlar essa regra, que seria uma SOCKS proxy. Tudo isso poderia ser feito com a ajuda do iptables, que seria instalado no gateway da sua empresa. Recomendo que você leia http://www.geocities.com/patola_br/tutoriais/firewall/ para ter uma idéia de como é simples burlar regras de firewall ou de proxy. ********************************************** De: Marcus Lima Responder-a: Marcus Lima Para: Osmany Washington , Rodrigo Ferreira Santos Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Duvidas no Firewall Data: 17 Jan 2003 10:14:08 -0200 > Até onde eu sei, qualquer firewall vem "tudo bloqueado por default"... > Não vejo nenhuma vantagem em usar o Mandrake por causa disto. Não é verdade. O Conectiva por exemplo não tem regras de firewall (O que eu prefiro porque me força a gerar as regras, com isso eu sempre tenho certeza do que está acontecendo, diferente de firewalls prontos). Mas lembrando que *todas as distros* usam o mesmo Kernel (Linux) e o netfilter está no Kernel, não existe uma distro melhor que a outra para fazer um firewall linux... o que vai existir são profissionais que irão configurar este Kernel e esta distro para ficar o mais seguro (tanto em segurança de invasão quanto em segurança de disponibilidade). > Se for para colocar no aspecto de configuração para usuário que não > entende nada de IPTABLES ou IPCHAINS, recomendo uma boa leitura nos > documentos referente aos serviços/protocolos que se deseja ultilizar > através do firewall e usar, como por exemplo na distro SuSE, o > SuSEFirewall2. Eu aconselho aprender a usar o iptables. Claro que isso requer um conhecimento de TCP/IP avançado. > Nele, como coloquei como exemplo, o usuário só coloca as portas que > deseja ultilizar e habilitar, sem necessidade de conhecimentos mais > profundos no IPTABLES. Isso é péssimo!!! Se é desejavel uma segurança profissional (quer dizer, você está em ambiente de trabalho e não em casa), é melhor a pessoa ter profundos conhecimentos de iptables. E não só, como também: Kernel, TCP/IP avançado, Scanners, IDS, Logs, Crackers, Sniffers, DoS, entre outros... - Marcus Lima. ********************************************** De: Marcus Lima Responder-a: Marcus Lima Para: CRangel-linux , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) firewall e navegação Data: 16 Jan 2003 09:54:51 -0200 > Apos rodar, no slack 8.1, um firewal que inseri em /etc/rc.d/rc.firewall, > firewall esse que funciona blz, nao consigo mais acessar nenhum site, ou > inciar o sim, amsn, irc, muito menos receber ou enviar e-mails. A conexão a > internet consigo fazer rapidamente e sem nenhum problema, a questão está na > navegação. Inseri regras para fechar as principais portas e coloquei os > direitos de execução com o comando chmod 755 rc.firewall. O que pode estar > impedindo a navegação ? O Firewall!!! Um bom teste... Ative o Roteamento e ative o NAT, se sua navegação funcionar significa que suas regras estão erradas! "Uma armadilha no mundo dos firewalls é que a segurança pode ser configurada tão rigorosamente que realmente pode prejudicar o processo de rede." - Segurança Máxima, Autor desconhecido. O que geralmente digo aos meus alunos é que devem criar as regras em tempo real, quer dizer, ir inserindo as regras em memória e depois de tudo pronto e aprovado gravar estas regras em arquivo... Para isso existe os comandos: iptables-save > rc.firewall (Salva o que você fez neste arquivo rc.firewall) e iptables-restore < rc.firewall (Restaura o que você gravou no arquivo rc.firewall) Lembrando que neste arquivo somente terá as regras e ele não é um script shell. Boa Sorte, Marcus Lima. ********************************************** De: Jorge Godoy Para: Sérgio Villela Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) DNZ Data: 26 Jan 2003 08:41:47 -0200 Sérgio Villela writes: > Alguém poderia me passar alguns endereços sobre DNZ em linux??? DNZ? Ou DMZ? Se for sobre DMZ leia documentos sobre firewall e segurança de redes. -- Godoy. ********************************************** ******************************************************************* Fwall - Ferramenta de Config de Firewall (Free Software) --------------------------------------------------------------------- Colaboração: Edinaldo La-Roque Com apenas uma linha de comando e com poucos conhecimentos, voce pode: 1) Criar complexos scripts de firewall baseados em IPchains, Bash, Perl, etc. 2) Bloquear ou Liberar acesso a servicos imediatamente com um unico comando 3) Selecionar modulos (plug-ins) a partir de um menu 4) Ativar/desativar de forma permanente o firewall. Obs: - Para configuracao incial, execute: fwall -s ou edite /etc/fwall.conf. - Para help, execute: fwall -h Exemplos de perfis de firewalls gerados pelo Fwall: - Servidor de Email: fwall -P E -G -R - Servidor DNS e clientes TELNET e FTP: fwall -P Dtf -G -R -Servidor HTTP, DNS e FTP: fwall -P HDF -G -R Para selecionar/desselecionar modulos, nao inclua -G -R (aparecerá um menu de selecao de modulos). Atencao: - O binário, o fonte em C e a documentacao (fwall.doc) estao anexados a este email. - O Fwall foi compilado no CL 5.1. O fwall é free e está sendo desenvolvido por: http://www.conectividade.com.br Comentarios e sugestoes para melhorias do fwall serao esperadas e bem aceitas ! --------------------------------------------------------------- As mensagens da lista Dicas-L são veiculadas diariamente para 12404 assinantes. Para sair ou assinar a lista Dicas-L, consulte o documento que se encontra em http://www.Dicas-l.com.br/FAQ.html. ********************************************** De: Ronaldo Saheki Para: José Carlos Colzani Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) [Iptables] - Qual o objetivo da chain FORWARD Data: 28 Feb 2003 19:05:33 -0300 On Wed, 2003-02-26 at 22:41, José Carlos Colzani wrote: > Ola pessoal.... Olá José, Como vai? > Eu ja andei brincando com firewall, fazendo redirecionamento, etc... > ja li varias documentacoes.. :)) Caminho certo! As documentações são na maioria das vezes as melhores referencias! (melhor que livro, algumas vezes). > Mas ainda nao consegui compreender direito, na pratica, qual o objetivo da > chain FORWARD ! Sei que ela faz repasse de pacotes... Mas oque e isso na > pratica ? > Eu acho que e assim, me corrijam por favor.... Bem, então vamos ver se posso te esclarecer, e se a sua idéia tá certa.. :) > Computador A e Computador B > > * A e firewall e esta ligado na internet fazendo NAT. > * B é cliente de A e navega na internet etc.... > Input e tudo que entra em A certo ? > Output e tudo que sai de A certo ? > Forward seria o que entra direto para B sem passar por A ? > ou seria o que entra em A com destino a B ? No netfilter (IpTables), Forward é o que entra no "A" (vem da internet para a sua rede) e o destino é "B". Forward é grosseiramente a idéia de "passar a diante". O "A" é a única máquina que recebe pacotes da internet, e ela seria responsável por passar a diante (FORWARD) os pacotes que são para outras máquinas da rede. Isso é importante, pq normalmente o Firewall fica no seu ROTEADOR (que divide a rede interna, com a Internet, por exemplo). Logo: * o INPUT, é a regra para os pacotes provenientes de outra máquina e que tem um processo local da sua máquina como destino, em outras palavrás, vem da rede, e tem a MÁQUINA onde o firewall está rodando como DESTINO (caso ele além de firewall ofereça algum serviço) * o OUTPUT é a regra dos pacotes que saíram do processo local da máquina e tem como destino outra máquina (que não seja localhost), em outras palavras são os pacotes GERADOS pela sua máquina, que vai entrar na rede. * o FORWARD é a regra dos pacotes que são provenientes de uma máquina, e que tem o destino uma outra máquina, cujo roteamento depende do seu firewall. Em outras palavras, os pacotes que vêm da internet, vai para o seu firewall, mas tem outra máquina da rede como destino, ou vice-versa. As cadeias de INPUT, OUTPUT e FORWARD, estão íntimamente ligadas com as decisões de ROTEAMENTO do pacote, e por isso que eu disse anteriormente, o firewall fica no seu roteador. :))) > Se por exemplo eu barra no INPUT de A a porta 22 isto vai barrar tambem a > porta 22 do B ? Não, isso seria FORWARD. Para falar a verdade, caso não haja nenhum serviço em A, o ideal seria que todos os pacotes da regra INPUT do seu firewall que viessem de fora da sua rede (-i ppp0) fossem DROPados. A maioria das regras é sobre FORWARD mesmo. :))) > Nao sei se me entenderam, eu sempre me virei com meus firewalls caseiros > com ipchains, com iptables to apanhando um poco mas ta dando pro > gasto, so que me surgiu agora esta duvida, sera que a maquina B esta > realmente sergura trabalhando nas regras so no INPUT de A ou > preciso mecher nesse bendito FORWARD ? Bem, como você sua NAT, se você não colocou nenhuma regra para PREROUTING para enviar pacotes para a máquina "B", o acesso DIRETO de fora para "B" é 'teoricamente' ZERO. Por exemplo, o "A" é o representante de "B" PARA internet (empresta o seu IP), mas pacotes VINDOS da internet com destino o IP válido de A, não tem como chegar em "B" (desde que você não tenha feito gambiarras para o firewall refazer a rota e enviar para "B", etc). > Nos meus firewalls cadeiros costumo sempre manter a INPUT como DROP, e abro > somente as portas acima de 1024, ou seja, as portas abaixo disso ficam > fechadas. > Nossa, tomara que nao confunda a cuca de algum iniciante ai.... Hahahaa... sem querer ser chato, mas acho que esse tipo de mensagem é ideal para iniciante aprender um pouco sobre firewall, e não para confundir a cuca. :)) > Agradeco desde ja... > Abracos... Saudações, Ronaldo Saheki ********************************************** De: Hamacker Para: "Renato Q. Todorov - "Webmaster Jet Sites Cc: Linux-br Assunto: Re: (linux-br) Bloquear Kazaa Data: 12 Mar 2003 14:31:37 -0300 Voce tá pensando no firewall apenas como roteador e aí fica dificil discutir, porque em redes grandes, duvido de-o-dó que alguem faria mascaramento completo e faria segurança somente na ponta (ie. firewall). Aqui em nossa rede, temos um programa, todo montado em scripts bash (TUI) que dá grande flexibilidade em nossa rede usando um mixto de proxy e roteamento. Algumas vezes, por exemplo, programas da receita querem comunicar-se diretamente com seus servidores, não tem jeito, o nosso firewall vai barra-los, aí então o usuario contata o CPD que por meio de programas com menus interativos faz a liberação no ato e os revoga num horario programado. Tenho aqui alguns usuarios que precisam de telnet para contatar o b2b do departamento de compras da volksvagem então para eles existem IPs fixos passados por DHCP e roteamento controlado. Outras vezes temos senhas com prazo de validade para acessos pontuais. Os downloads e mail-anexos executaveis são barrados, no entanto, o usuario tem uma ferramenta especifica para fazer a solicitacao de tais com a segurança do anti-virus+auditoria, e tem muitas outras coisas mais (mail,ssh,samba,backup,...) que se fosse falar seria cortado pela moderação. Acho a flexibilidade do Linux (acho q deve ser do Unix tambem) uma grande vantagem a ponto de apenas munidos de ferramentas livres conseguir fazer coisas do nosso jeito, coisas que nem mesmo softwares comerciais caros conseguem fazer. To até pensando em se sobrar um tempo criar minha propria distribuição já com um monte de coisa que já aprendí com Linux. []'s Renato Q. Todorov - Webmaster Jet Sites wrote: Claro que não. O firewall deve fazer parte de uma boa solução pra isso sim. A solução ideal (_IMHO_) é a combinação de Firewall+Proxy+Relatórios. Isso inibe que o usuário "faça a festa" na sua rede. Se alguém tiver alguma outra solução melhor, poste também. Mas acho que o firewall é imprescindível. Gerenciar os desktops também é uma alternativa, porém praticamente inviável numa rede de médio/grande porte. É melhor inibir logo na entrada. ********************************************** De: Renato Q. Todorov - Webmaster Jet Sites Para: Hamacker Cc: Linux-br Assunto: Re: (linux-br) Bloquear Kazaa Data: 12 Mar 2003 14:51:20 +0000 On Wed, 2003-03-12 at 17:31, Hamacker wrote: Voce tá pensando no firewall apenas como roteador e aí fica dificil discutir, porque em redes grandes, duvido de-o-dó que alguem faria mascaramento completo e faria segurança somente na ponta (ie. firewall). Não estou pensando só no roteamento. É claro que nenhuma rede grande o firewall é tão básico quanto o que estamos falando. Aqui faço o controle por ips ou MAC da placa quando necessário, tudo via shell scripts também. Isso quebra um galhão, não sei o que seria de nós se não tivessemos esse tipo de ferramenta (bash, php, perl, python...) ... Tenho aqui alguns usuarios que precisam de telnet para contatar o b2b do departamento de compras da volksvagem então para eles existem IPs fixos passados por DHCP e roteamento controlado. Outras vezes temos senhas com prazo de validade para acessos pontuais. Os downloads e mail-anexos executaveis são barrados, no entanto, o usuario tem uma ferramenta especifica para fazer a solicitacao de tais com a segurança do anti-virus+auditoria, e tem muitas outras coisas mais (mail,ssh,samba,backup,...) que se fosse falar seria cortado pela moderação. ... Com certeza, não podemos radicalizar com o negócio e fechar tudo de uma vez. Quanto mais flexivel for o sistema de firewall, mais controle o administrador terá e melhor será o sistema. Para toda regra há uma excessão, e com firewall não é diferente, principalmente quando o seu chefe QUER usar o kazaa mas não quer que o resto use... vc vai falar não pra ele? hehehe Acho a flexibilidade do Linux (acho q deve ser do Unix tambem) uma grande vantagem a ponto de apenas munidos de ferramentas livres conseguir fazer coisas do nosso jeito, coisas que nem mesmo softwares comerciais caros conseguem fazer. Nem fale cara.. há alguns dias atrás tive que mexer com um firewall em Windows 2000.. que desgraça... O software até que era bonzinho, tinha um monitor de pacotes (tipo tcpdump) com GUI, até que era legal.. mas muito limitado... você sente que não tem o mesmo controle em cima do sistema como nos *nix da vida... Um abraço ********************************************** De: Marcus Lima Responder-a: Marcus Lima Para: Vladimir Geraseev Junior , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Firewall Transparente sem Bridge??? Data: 19 Mar 2003 18:33:31 -0300 Se quiser fazer referencia a pacotes que entram por uma interface: -i eth0 (por exemplo) Se quiser fazer referencia a pacotes que saem por uma interface: -o eth0 (por exemplo) - Marcus Lima. ********************************************** De: Alberto J. Azevedo Responder-a: linux-br@bazar.conectiva.com.br Para: Lista Conectiva Linux Assunto: (linux-br) Re: Tutorial de Firewall Data: 11 Apr 2003 10:33:49 -0300 Vitor Alexandre S. Marinho (vitor@jamyrvasconcellos.com.br) wrote: > Pessoal, onde posso conseguir bons tutorias de firewall? > Dependendo do enfoque que vc procura, acredito que vc va gostar muito de um tutorial que se encontra disponível no site de meu projeto Security Experts. O endereço é http://www.securityexperts.com.br {}'s ********************************************** De: Cleber P. de Souza Para: 'Carlos A Silva' , linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) Acesso RECEITANET usando Squid / Firewall !!! (XL) Data: 14 Apr 2003 13:24:49 -0200 Para usar o Receitanet siga estas instruções que estão contidas no próprio site da Receita Federal: Permitir conexão inicial na porta 3456, tipo TCP com direção externa. PORT: 3456 TYPE: TCP DIRECTION: OUTBOUND Permitir conexões subsequentes para qualquer porta com direção interna. PORT: 0 TYPE: TCP DIRECTION: INBOUND Falow, **** Cleber P. de Souza Cia. Metalgraphica Paulista -----Mensagem original----- De: linux-br@bazar.conectiva.com.br [mailto:linux-br@bazar.conectiva.com.br] Em nome de Carlos A Silva Enviada em: segunda-feira, 14 de abril de 2003 10:34 Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) Acesso RECEITANET usando Squid / Firewall !!! (XL) Pessoal, Nas estações Windows que utilizam-se da autenticação de senha (SQUID) na porta 3128 para acessar a internet, o RECEITANET e mais um montão de softwares (INSS, FGTS, CEF) não funcionam...Alguém conhece alguma configuração especial que deva ser usada no IPCHAINS do Firewall ou no SQUID prá isso funcionar ??? ********************************************** De: Helder Jean Para: Rogério Alves Tortosa Cc: 'linux-br' Assunto: Re: (linux-br) Liberar porta no firewall em determinado horario Data: 10 May 2003 13:30:21 -0300 Rogério Alves Tortosa wrote: > Olá Lista, > > Como fazer no IPTABLES alguns usuários da rede tenham acesso a internet > somente a partir das 17:00 hs e outros o dia inteiro ? > > Agradeço atenção de todos > > Rogério A. Tortosa > Você pode ou fazer um script (ou mais) rodando em horário determinado pelo cron, para adicionar e remover as regras desejadas. Ou então vai na página do netfilter (www.netfilter.org) e aplica um patch do patch-o-matic para habilitar regras por hora, no próprio iptables. Fica a seu critério. []'s ********************************************** De:  William da Rocha Lima Para:  Augusto Flavio , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)netfilter/iptables Data:  Sat, 12 Jul 2003 00:22:06 -0300 Neste artigo você saberá a importância do firewall, softwares de firewall para Linux, firewalls conforme o kernel, Regras de firewall, Políticas do IPtables, exemplos do firewall, redirecionamento correto de portas, para você que tenha algum problema com redirecionamento como de smtp e ele fica com relay aberto. Usando String match para bloquear kazaa lite e deseja evitar que worms com código arbitrários que usam o comando cmd.exe, Ruleset semi pronto para usar. Firewall: http://www.linuxit.com.br/modules.php?name=Sections&op=viewarticle&artid=21 ==================== William da Rocha Lima ********************************************** De:  robson@dryport.com.br Para:  thiarlles@camaquanet.com.br Cc:  Redes-l@listas.ansp.br Assunto:  Re: [Redes-l] Firewall!!!!! Data:  Wed, 30 Jul 2003 10:05:28 -0300 (BRT) primeiro você tem que ter habilitado a opção de log no seu firewall se for ipchains a opção é -l , se for iptables LOG --level 6 depois utilizar o comando tail -f /var/log/messages e analisar as entradas. robson > Olá lista bom dia! > Gostaria de saber se algum de voce~s sabem me dizer como faço pra saber > se meu firewall(um pc separado)está sendo invadido?Como faço pra > reconhecer os logs de menbros estranhos tentando atacar o sitema? ********************************************** De:  zgrp unknow Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Configuração_Portsentry Data:  Mon, 8 Sep 2003 11:08:23 -0300 (ART) Olá, Não utilize o portsentry, alem de ele ser simplesmente um detector de portscan, ainda pode ser facilmente "enganado" por atacantes .... O proprio Match-o-matic prove uma solução melhor que o portsentry. Não é 100%, mas perto do portsentry... ;) T+ ********************************************** De:  zgrp unknow Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Melhor FireWall Data:  Mon, 15 Sep 2003 09:25:56 -0300 (ART) A melhor distribuição é a que vc domina. ;) Se vc não conhecer ou tiver preferencia por nenhuma eu indicaria Debian (www.debian.org) e o Conectiva (www.conectiva.com.br), mas CUIDADO o CL9 ta cheio de BUG, a não ser o CL9upd que eu ainda nao consegui fazer download para testar...! :/ [ ]'s ********************************************** De:  Marcos Pitanga Para:  vitor@jamyrvasconcellos.com.br, Lista Linux Br Assunto:  Re: (linux-br)Sistemas IDS Data:  Fri, 26 Sep 2003 23:19:29 -0300 SNORT Tripwire Portsentry Prelude LSTAT AIDE etc... []´s []´s Marcos Pitanga Linux Clusters Specialist ----- Original Message ----- From: "Vitor Alexandre S. Marinho" To: "Lista Linux Br" Sent: Friday, September 26, 2003 1:43 PM Subject: (linux-br)Sistemas IDS > Alguem conhece sistemas IDS que possa ser implementado por Linux? > Consultei o da Symantec mas pra custo inicial gira em torno de R$ 50.000,00 > > Valeu a todos > > Vitor ********************************************** De:  pitanga Para:  André Silva Coelho de Oliveira Cc:  Lista Linux Br Assunto:  Re: (linux-br)Sistemas IDS Data:  29 Sep 2003 11:36:27 -0300 Em Seg, 2003-09-29 às 11:16, André Silva Coelho de Oliveira escreveu: > Bom dia, > >       Marcos, qual é a vantagem de eu ter um sistema IDS instalado? Já não me basta > ter um firewall implantado protegendo minha rede? Quem disse que um firewall protege totalmente sua rede... posso muito bem fazer tunneling pela sua porta http e passar comandos por ele e entrar no seu sistema... Fazer um bufferoverflow no seu FTP, DNS etc... é um firewall nem vai dar conta que está sob ataque pois o tráfego aparentemente é "Legal". e seu firewall nem vai perceber isso, e pode usar filter packet ou statefull que de nada adianta , ele não olha o conteúdo do pacote. >       Pelo que li e entendi, um IDS detecta um intruso ou um ataque, o bloqueia e > faz um contra-ataque. Esou muito errado? Com um IDS os pacotes são analisados e checados na incidência de assinaturas de ataques, e a partir dali vc pode gerar alertas ou torna-los reativos acoplados ao firewall.. Tire a imagem que o firewall é um único ser em um perímetro de defesa... abs Marcos Pitanga Linux Clusters Specialist ********************************************** De:  Frederico Vaz Para:  'Gustavo { Ozzy }' , '_ Linux Br' Assunto:  RES: (linux-br)Firewall (IRC, MIRC...), Squid (Cache_dir)... Data:  Tue, 28 Oct 2003 00:45:32 -0300 > Gustavo { Ozzy } escreveu em: > segunda-feira, 27 de outubro de 2003 12:40 > Gostaria de saber como acrescentar ao meu firewall, regras que proibam os > usuários de utilizarem programas como irc, mirc, e derivados. Tenho um > servidor linux rodando iptables e squid, esse servidor compartilha o > speedy Neste caso eu adoto uma solução que pode ser considerada simplista e radical, porem muito eficaz. Todo trafego de saída é bloqueado e apenas o que interessa para a empresa é liberado (www, ftp, trafego em portas especificas de softwares proprietários utilizados pela empresa, https, gopher, etc.) > cache_mem    32 mb = define quanto de memória eu tenho instalado no meu > micro, ou qto de memória eu aloco só para o squid? cache_mem define a quantidade limite de memória física alocada para o processo squid. Este tamanho pode variar em até duas ou três vezes dependendo da necessidade de memória do proxy (depois retorna para o tamanho limite). A memória é utilizada para objetos em transito, Buffer de escrita/leitura, "HOT Objects", Metadados, Cache DNS, Cache IP, etc. > cache_dir ufs /var/squid 80 16 32 = o q são esses valores respectivamente? UFS --> padrão de armazenamento de objetos (existe também aufs e diskd). 80 --> Tamanho limite para armazenamento de objetos no disco. 16 --> cache L1 => Primeiro nivel de diretórios criados no cache. 32 --> cache L2 => Segundo nivel de diretórios criados no cache. Para maiores informações consultar a documentação do squid (www.squid-cache.org)   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br ********************************************** De:  zgrp unknow Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)tutorial sobre guardian mais detalhado Data:  Mon, 20 Oct 2003 13:16:58 -0300 (ART) Olá, Vc pode baixar um shell script que faz download, instala e configura o guardian, para quem nao tem pouca noção de linux e segurança pode ser uma "boa opção". http://www.linhadecodigo.com.br/codigos.asp?id_codigo=371&sub=36 Caso contrario leia a documentação do guardian que la explica como instala. Cuidado ainda para nao ser vitima de um ataque DOS devido a sua configuração do snort. Sobre segurança e ataques básicos eu deixo o seguinte artigo como leitura "Hacking & Forensics" que é em Portugues e foi escrito pelo Clube Dos Mercenarios ( http://cdm.frontthescene.com.br ) No artigo vc vera como acontece um ataque e uma analise depois do ataque... http://www.frontthescene.com.br/artigos/Wendel-Junior-Enec2003.pdf falow ********************************************** De:  Tiago Cruz Para:  qrd Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Firewall Data:  Fri, 06 Feb 2004 12:37:39 -0200 Em Qui, 2004-02-05 às 13:09, qrd escreveu: > Prezados Amigos: Olá qrd   > Tenho instalado um servidor de internet (firewall) instalado > aqui na empresa. Os regras estão nos arquivos squid e cftk. Não sei o que sr um 'cftk' > Eu não estou familiarizado c/ configurações de um fw e > gostaria de ajuda dos amigos mais experientes. Não sou muito experiente não... > Qual é mais utilizado ? Firewall? Acredito que seja o IPTABLES que acompanha a série 2.4 do linux > Onde posso encontrar explicações sobre a configurações de fw > (criação de regras e etc) ? Na internet ou em livros especializados. Acabei de escrever um artigo com exemplos práticos. http://www.linuxrapido.linuxdicas.com.br/modules.php?name=Sections&op=viewarticle&artid=71 Se não ajudar, no final do mesmo tem vários links como referência. -- Abraços,   Tiago Cruz Org. King de Contab. S/C Ltda. Linux User # 282636 http://www.linuxrapido.linuxdicas.com.br Mandrake Linux i18n Team ********************************************** De:  Luciano França Rocha Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)regras do iptables Data:  Wed, 11 Feb 2004 09:29:47 -0200 Eu recomendo a todos o uso do BASTILLE... ele nao gera apenas o firewall como te faz um questionario que demora cerca de uns 30 minutos para ser respondido sobre varios pontos de segurança, ele aumenta e muito a segurança de um servidor alem de gerar as regras de firewall q vc especificar no questionario... muito bom... Em Terça 10 Fevereiro 2004 16:54, Tiago Cruz escreveu: > Em Seg, 2004-02-09 às 16:37, Rafael Nery escreveu: > > Olá! > > Olá > > > Não consigo entender muito bem iptables... > > Alguém poderia me esclarecer... > > Conheço ótimas documentações em pt_BR > > > Que regras que faço  para proteger a rede interna... Para que os usuários > > possam navegar e receber e-mails em todas as estações. Somente  1 máquina > > n poderá ter acesso a internet que seria 192.168.1.10 > ********************************************** De:  Brunhara Para:  Maycon , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Verificar segurança em firewall Data:  Wed, 17 Mar 2004 19:56:12 -0300 http://www.securitymetrics.com/portscan.adp http://scan.sygatetech.com/ http://www.hackerwatch.org/probe/ http://www.grandi.net/fire_test.htm http://www.webpromo-inc.com/mbd/portscanning.asp http://www.auditmypc.com/freescan/prefcan.asp ********************************************** De:  Adilson Oliveira Para:  Mano Elno Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)firewall q linux Data:  Fri, 19 Mar 2004 00:00:04 -0300 Mano Elno escreveu: > rh, suse, cl ou qual distribuicao utilizar para implementas um firewall? > somente o servico de firewall para monitorar varias redes. > pois pretendo instalar os servicos em outro servidor:  serv. de email, > webmail, antivirus, vpn e etc.... > Olá. Sem entrar no mérito de "melhor distro" (flame na certa) nem nas opiniões do seu consultor. Sou muito fã (e contribuinte) do IPCOP. http://ipcop.org. []s Adilson. ********************************************** De:  Jorge Godoy Para:  linux-br@bazar2.conectiva.com.br Cc:  samuel Oliveira Assunto:  Re: (linux-br)Ajuda Regras Iptables Data:  Mon, 19 Apr 2004 15:58:57 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Monday 19 April 2004 13:25, samuel Oliveira wrote: > Tenho que fazer um firewal aqui na empresa que trabalho ... tenho > um servidor com 5 placas de redes e 4 ips fixos. tenho que fazer um > firewal e redirecionar as conexões de entrada e saida E NÃO TO > CONSEGUINDO FAZER NADA ... ... > Peço Ajuda a todos... pois nosso servidor Firewall foi roubado da > empresa e a pessoa que fez esses servidor não trabalha mais aqui... Samuel, Minha recomendação é que contratem um consultor para o serviço. Um firewall de uma empresa é algo sério demais para contribuições sem responsabilidade e/ou para experiências. O custo de um consultor, com certeza absoluta, é menor que o valor das informações que vocês estão tentando proteger. - -- Godoy.     -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) ********************************************** De:  h4sh@globo.com Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br)fork() bomb : dica Data:  Thu, 29 Apr 2004 14:11:09 -0300  Nao lembro se ja falei sobre isso aqui na lista, mas la vai: O uso do fork() em perl ou C pode ser usado pra derrubar a maquina facilmente se ela nao estiver protegida.  Um loop eterno com fork() ira consumir toda a memoria e cpu da maquina.  Existem duas solucoes: 1) usando o limits.conf #mais complicado de configurar 2) Carregando um modulo do kernel que cuida disso, maiores informacoes e download desse modulo podem ser encontrados no site http://rexgrep.tripod.com/rexfbd.htm.  Flw ********************************************** De:  sergiol Para:  Linux Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)[Squid] ip nao autorizado no relatorio do sarg Data:  Thu, 6 May 2004 14:01:57 -0300 (BRT) Roald Na realiadade você é mais um contribuinte para o SPAM. A lógica do Firewall é fechar tudo e abrir só necessário (tudo bem que alguns não adotam esse método). No caso a porta 25 deve está aberta para acesso externo e algum spammer está usando sua maquina para enpestiar a rede de Spam. Feche todas as portas de acesso a sua maquina e só abra as necessarias (Ex.:ssh) e com autenticação. Provavelmente deve ter algum serviço de email (sendmail,postfix) instalado na sua maquina. Se você não usa como servidor de email, desinstale o serviço. Lembre que as portas 3128(Squid) e 8080(http-proxy) também são usadas para envio de Spam. Como falei, o ideal é fechar as portas de entrada por acesso externo à sua rede e abrindo só as necessárias. Sérgio ********************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Barrar definitivamente o MSN com IPTables Data:  Wed, 19 May 2004 21:28:24 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Elias Andrade - Suporte técnico - Litoral On Line wrote: >       Radical :-), bloqueia a porta do MSN. Usando o Iptraf aqui ele me >mostra ela sendo a "5190". > >Em Qua, 2004-05-19 às 16:44, Leonardo Pinto escreveu: >> Prezados Companheiros, Essa é a do ICQ. E devo lembrá-los que o ICQ funciona em _qualquer_ porta. Portanto, o único jeito é bloquear os servidores (caso do MSN também). Melhor solução: coloque nas políticas de uso da sua rede que esses programas não são permitidos. Aí faça checagens de tráfego periódicas e suspenda a conta e conexão de quem for pego usando. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint:     E067 918B B660 DBD1 105C  966C 33F5 F005 6EF4 5358 ********************************************** De:  Dicas-L-Owner@unicamp.br Assunto:  [Dicas-L] XFwall - Solução Profissional de Firewall para Linux Data:  Sun, 8 Aug 2004 02:50:15 -0300                Curso Qmail Seguro Para Corporações         http://www.4linux.com.br/treinamento/qmail_414.php                   telefone: (11) 3889-0108 ---------------------------------------------------------------               Introdução à Arquitetura TCP/IP                Campinas, 28 de agosto de 2004            GNU Solutions: http://www.gnus.com.br                  telefone: (19) 3231 4511 ---------------------------------------------------------------   XFwall - Solução Profissional de Firewall para Linux   ==================================================== O XFwall é código maduro e bem testado, adotado por empresas privadas e órgãos do governo como solução profissional de firewall para Linux em ambiente KDE. O projeto foi iniciado há 4 anos atrás por Edinaldo La-Roque, Diretor de Soluções da StarLink Conectividade Ltda (http://www.starlinux.com.br/tutorial_01/la-roque.html) e a partir de 22 de julho de 2004, o software foi liberado sob a GNU/GPL. O XFwall tem basicamente 2 modos de operação:         1) Baseado em Perfil de Máquina         =============================== Neste modo, após a configuração inicial, basta pressionar Ctrl-P e selecionar os itens desejados para um servidor Internet ou estação de trabalho.         2) Configuração Personalizada         ============================= Neste modo, um pouco mais complexo (e completo), é necessário selecionar o item "j" em Ctrl-P, e então:      Ctrl-I - Cadastro de placas de rede      Ctrl-S - Cadastro de portas e protocolos      Ctrl-A - Cadastro de endereços      Ctrl-R - Regras personalizadas E assim por diante ... Alguns links: - Anúncio (http://sourceforge.net/forum/forum.php?forum_id=394611) - Download (http://sourceforge.net/projects/xfwall/) - Tutorial Básico (somente acesso discado) (http://www.starlinux.com.br/tutorial_01) - Screenshots (http://www.starlinux.com.br/tutorial_01/xfwall.html) -------------------------------------------------------------------- Colabore com a Dicas-L. Publique seu comentário sobre esta mensagem em http://www.Dicas-l.com.br/dicas-l/20040808.php --------------------------------------------------------------------           :::::PHP-GTK Criando Aplicações Gráficas com PHP:::::              http://www.novateceditora.com.br/livros/phpgtk            http://www.temporeal.com.br/produtos.php?id=168331 -------------------------------------------------------------------------------                        :::::Portal PHP-GTK:::::                       http://www.php-gtk.org.br ------------------------------------------------------------------------------- -------------------------------------------------------------------- As mensagens da lista Dicas-L são veiculadas diariamente para 25413 assinantes.        Todas as mensagens da Dicas-L ficam armazenadas em                http://www.Dicas-l.com.br/dicas-l/ A redistribuição desta e outras mensagens da lista Dicas-L pode ser feita livremente, desde que o conteúdo, inclusive esta nota, não sejam modificados. -------------------------------------------------------------------- ********************************************** De:  Thiago Macieira Para:  Claudio Polegato Junior Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Bloquear internet para um aplicativo Data:  Mon, 11 Oct 2004 21:22:15 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Claudio Polegato Junior wrote: >Olá pessoal, > >  Estou com o seguinte desafio: Bloquear o acesso à internet por um > aplicativo (navegador e ftp principalmente). Ou melhor, permitir acesso > apenas por alguns aplicativos, eliminando o uso de programas não > autorizados a usar internet. Você precisa do SELinux. E configurá-lo não vai ser fácil. Boa sorte. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info ********************************************** De:  Jorge Godoy Para:  ls Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Squid + Snort Data:  Fri, 05 Nov 2004 19:14:48 -0200 "ls" writes: > Algum problema em se montar um firewall (iptabels) utilizando as ferramentas > squid e snort em conjunto? > Perderia a caracteristica de firewall? IMNSHO, você pode continuar chamando de firewall se quiser, mas não o é a partir do momento que a máquina passa a desempenhar outra função. Um firewall é um firewall.  Só.  Não tem servidor de email, não tem servidor proxy, não roda IDS, não faz outras funções além das de firewall. Quanto mais serviços, mais pontos de falha, maiores as possibilidades de explorar-se algo neles e conseguir acesso não autorizado à rede. Sds, -- Godoy.     ********************************************** ********************************************** **********************************************