http://www.zago.eti.br/firewall/diversos.txt FAQ com mensagens diversas sobre firewall, ainda não classificadas. As mensagens sobre os problemas com iptables e kernel no CL9 foram para o FAQ: http://www.zago.eti.br/firewall/iptables-cl9.txt Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. neste arquivo FAQ mensagens diversas a serem movidas para FAQ mais apropiado ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux ******************************************************** Segurança, spam e problemas correlatos envolvendo speedy da Telefonica use o e-mail: security@telesp.net.br ******************************************************** http://www.dicas-l.com.br/dicas-l/20050304.php Data de Publicação: 04/03/2005 Configurando Ntop 3.1 a partir do código fonte. SO: Debian Gnu/Linux 3.0 R4, Kernel 2.4.29 ******************************************************** ******************************************************** De:  Evandro Responder-a:  Evandro Para:  Carlos A Silva , linux-br@bazar.conectiva.Com.Br Assunto:  Re: (linux-br)Software de Detecção de Invasão ! (XL) Data:  Sat, 30 Aug 2003 08:50:06 -0500 Oi, Tripwire nao é ferramente de detecçao de invasao. Ela deve ser usada pra buscar alteraçoes nos arquivos do sistema operativo. Te recomendo snort, shadow, hostsentry. Pode tentar nessus tambem pra buscar falhas de segurança. []s Evandro. > Pessoal, alguém indica uma boa ferramenta de detecção de invasão p/ linux semelhante ao tripwire? ******************************************************** De:  Marcus Lima Responder-a:  marcuslima@marcuslima.eti.br Para:  Gilberto Nunes Ferreira , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Liberar protocolo IPSEC Data:  Tue, 9 Sep 2003 22:10:58 -0300 Uma Luz? iptables -A INPUT -p udp --dport 500 -j ACCEPT iptables -A INPUT -p 50 -j ACCEPT iptables -A INPUT -p 51 -j ACCEPT Os protocolos 50 e 51 têm nome e IPsec não é um protocolo e sim uma família de protocolos como o TCP/IP. (Na verdade é uma implementação de segurança sobre o protocolo IP) Ah sim, eles são respectivamente ESP (Encapsulating Security Payload) e AH (Authentication Header) Protocol. Veja mais em: http://www.ietf.org/rfc/rfc2401.txt?number=2401 RFC 2401 - Security Architecture for the Internet Protocol Att, Marcus Lima Consultor de Segurança Aker Security Solutions - Regional RJ/ES www.aker.com.br --- ******************************************************** De:  Gustavo Andreoni Vieira d'Almeida Para:  Raynilson Closbel Martins , linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)Configuracao de Firewall Data:  Wed, 10 Sep 2003 21:10:15 -0300 >  Estou configurando um firewall em linux aqui na > empresa, mas estou com alguns probleminhas. Ok  Aqui na > empresa ha um servidor (server1)que fica na rede > interna. Ha varios clientes que conectam pela Internet > neste server1 (eu configurei o firewall iptables para > fazer nat). Normal, fica transparente. >  Eu estou configurando o firewall para que somente os > IPs dos clientes possam se conectar neste server, mas > infelismente ha alguns cliente que utilizam Ips > dinamicos para a conexao com a Internet. Ops, entao use os dns da conexao desses clientes, tambem tenho esse problema assim: iptables -A FORWARD -s dsl.telecom.net.br -d 200.200.200.xxx -p tcp --dport xx -j ACCEPT iptables -A PREROUTING -s dsl.telecom.net.br -p tcp --dport xx -j DNAT --to 192.168.0.1 iptables -A POSTROUTING -d 192.168.0.1 -p tcp --sport xx -j SNAT --to-source dsl.telecom.net.br >  Gostaria de saber se ha como eu fazer uma > configuracao de firewall por usuario, ou seja, quando > determinado usuario fornecer seu login e senha, a > porta do firewall e liberada e o usuario consegue > realizar a conexao. >  Se alguem puder me indicar qualquer tipo de solucao > eu agradeco. Gustavo Andreoni Vieira d' Almeida gus_valmeida@uol.com.br ICQ:136922243 ******************************************************** De:  Martin Fallon Para:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Vulnerabilidade no OpenSSH (CAN-2003-0693) Data:  Fri, 19 Sep 2003 12:57:10 -0300 (ART)  --- Michel Angelo da Silva Pereira escreveu: >        Bem, me lembro a alguns meses atrás da bagunça que > foi a divulgação da > falha do Apache, a RedHat saiu na frente e divulgou > para a comunidade > com um patch que não era o oficial. >       Acho que um órgão como o CERT devia coordenar esse > tipo de avisos que > possam causar sérios danos, como foi o caso do bug > no Cisco e os RPCs da > Microsoft. > > t+ > Como vai, senhores? O que muitas vezes ocorre com falhas e vulnerabilidades é que determinado grupo(um polonês, por exemplo) descobre uma falha e começa a discutir em underground e com o fabricante(mantenedor), mas acontece que emails/dados circulando na net são capturados por terceiros(empresa de segurança IS*, por exemplo) e essas empresas visando promoção, correm contra o tempo e divulgam a falha como sendo descobertas por elas. Outro fator que deve ser discutido é o poder dado a "orgãos" como CERT, MITRE e etc. Muitas vezes, as falhas são inicialmente repassadas para estes orgãos e especula-se que os mesmos repassam para governos(o do EUA, por exemplo), sendo a falha usada para espionagem/grampo e etc. De qualquer modo, muitos analistas tem optado pelo lei do "8 ou 80", ou divulgam para as massas ou não divulgam para ninguém. Particularmente, creio que se deve contactar os fabricantes apenas e dar um prazo limite para solução do problema(jamais ultrapassar 2/3 dias). Se o fabricante não se posicionar, repassar pras massas e tornar manifesto a falta de preocupação por parte do fabricante. Um Cordial Abraço, Martin Fallon. Clube dos Mercenários. http://cdm.frontthescene.com.br/ ******************************************************** De:  Andreas Para:  bragalinux Cc:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Net Bus Data:  Wed, 5 Nov 2003 17:10:01 -0200 On Wed, Nov 05, 2003 at 02:58:54PM -0200, bragalinux wrote: > Ao dar um nmap na minha máquina ele me apresentou as seguintes resposta: > > 135; filtered; tcp; loc-srv >  136; filtered; tcp; profile > 137; filtered; tcp; netbios-ns >  138; filtered; tcp; netbios-dgm > 139; filtered; tcp; netbios-ssn >  12345; filtered; tcp; NetBus >  12346; filtered; tcp; NetBus > > Existe Net bus para Linux? > Alguém poderia me explicar como tirar esse resultado do nmap? É prática comum de alguns provedores filtrarem essas portas. Você rodou esse nmap remotamente, a partir da internet? No mais, o nmap está dizendo que a porta está no terceiro estado: filtrada. Não consegue se conectar nela, mas também não recebe um erro de conexão recusada. O pacote caiu num buraco negro. É o que aparece quando se usa uma regra DROP no iptables, ou REJECT sem --reject-with tcp-reset. ******************************************************** De:  sedrez@tecgraf.puc-rio.br Para:  Cleyton Luiz Scherer Cc:  Lista Linux-br Assunto:  RE: (linux-br)=?iso-8859-1?Q?_conex=F5es?= NAT ativas no iptables Data:  Wed, 12 Nov 2003 18:22:43 -0200 (BRST) On 05-Nov-2003 Cleyton Luiz Scherer wrote: > Existe algum comando no iptables que lista as conexões com NAT ativas, > similar ao que o iptachais -m fazia ?" iptstate, funciona como o top. Veja no freshmeat.net ou no rpmfind.net. --Sedrez ******************************************************** De:  Luciano Viana Para:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] IPTables: lentidãono serviçoPOP3 Data:  Fri, 24 Oct 2003 18:24:17 -0300     Olá a todos,     Eu tinha esse problema também, então descobri que a demora estava associada com o tempo que o servidor de e-mail levava para resolver o host de um ip inválido, das máquinas internas. Então criei uma zona de ip reverso pra cada faixa de ips internos no servidor de dns (1.168.192.in-addr.arp.rev), sem lista de hosts mesmo, apenas para informar que o ip 192.168.1.1, por exemplo, de uma máquina cliente que esteja acessando o servidor de e-mail, não possui host associado a ele e pronto.     Espero ter ajudado,     Um abraço,     Luciano Viana. ----- Original Message ----- From: "Marcio Silveira Costa" To: "Andreas" ; Sent: Friday, October 24, 2003 1:22 PM Subject: Re: [seguranca] IPTables: lentidãono serviçoPOP3 > Em Sex, 2003-10-24 às 14:12, Andreas escreveu: > > On Fri, Oct 24, 2003 at 12:08:15PM -0200, Marcio Silveira Costa wrote: > > > Todos os serviços rodam bem, exceto o POP3, que depois que apliquei um > > > script de iptables, ficou muito lento (demora uns 30 segundos para > > > baixar - conecta imediatamente, mas só faz o download das mensagens após > > > esse tempo). > > > > Você deve estar bloqueando as consultas de DNS do servidor. > > > Não... > Na verdade, depois que liberei o auth >  > iptables -A FORWARD -p tcp --dport 113 -j ACCEPT > > Ficou bem rápido para usuários externos, mas para a rede interna a > lentidão persistiu, até que comentei a linha: >  > iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -p tcp --dport 110 > -j ACCEPT > > Aí então ficou rápido também para a rede interna. Porém eu preciso > mascarar o POP3 pois alguns usuários precisam acesso externo ao POP3. > > Não seria algum módulo específico? > > Pensando ... ******************************************************** De:  Miguel Figueiredo Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Redirect no iptables Data:  16 Dec 2003 22:34:03 -0300 Em Ter, 2003-12-16 às 06:58, Vinicius Tiburcio escreveu: > > Agora lá vai o problema, todas as portas conectam de uma máquina remota > menos a 5900. Vinicius, As regras parecem ok. Pergunta: O que vc está tentando usar na 5900? Dependendo da aplicação, o problema pode estar no retorno( SNAT ou MASQUERADE ) Tive uns problemas com o X, que coloca o nome da host dentro do pacote, estragando com qualquer tentiva de NAT. [],s -- Miguel Figueiredo ******************************************************** De:  Miguel Figueiredo Para:  Lista Linux-BR Assunto:  Re: (linux-br) Servidor HTTP em conexão ADSL Data:  15 Dec 2003 09:25:46 -0200 Max, O que vc está usando para fazer port forwarding? iptables? O que eu recomendo fazer no seu caso seria DNAT.. Na entrada: # iptables -t nat -A PREROUTING -p tcp --dport 6080 -d 200.216.85.xxx -j DNAT --to 192.168.254.1:6080 Na saida: # iptables -t nat -A POSTROUTING -p tcp --sport 6080 -s 192.168.254.1 -j SNAT --to 200.216.85.xxx Provavelmente isso deve resolver a questao. [],s Miguel Figueiredo ******************************************************** De:  Jorge Godoy Para:  Thiago Macieira , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Negar cópia de arquivo ! Chmod ? Data:  Mon, 22 Dec 2003 14:07:48 -0200 On Monday 22 December 2003 13:50, Thiago Macieira wrote: > Aí você só precisa fechar o arquivo antes de abrir o destino. Dos 3500 usuários da lista, quantos você acha que conseguiriam fazer isso antes de você comentar a respeito? ;-) Após o seu comentário, quantos você acha que vão procurar documentação a respeito e vão conseguir fazer funcionar numa máquina que teoricamente estaria decepada de vários recursos para programação? Ou quantos vão conseguir gerar cópias estaticamente ligadas de programas para fazer isso? ;-) Percebe como o universo já se reduz? Meus comentários continuam abaixo. > Não adianta. A não ser que a proteção esteja no software. Aí você > precisa de um sistema de DRM para certificar-se que o programa > abrindo o arquivo está autorizado a abri-lo porque não vai permitir > que o usuário o copie. Sim, é verdade, mas mesmo proteções em hardware são burláveis, quem dirá proteções em software. O que faz-se é o mesmo que fazemos colocando chaves tetra em nossas portas: dificultar. Com as questões acima já sabemos que o universo reduz-se bastante. Nunca vamos impedir (pode-se dizer que se o ladrão quiser entrar ele pode derrubar a parede), mas vamos tornar a coisa bem difícil e/ou demorada, de modo que seja algo rastreável. Arquivos cujo conteúdo não devem ser acessador por pessoas não autorizadas devem, IMHO, ser criptografados e de preferência estar em uma unidade de armazenamento protegida (principalmente contra acesso físico tanto à unidade quanto à máquina). Sds, -- Godoy.     ******************************************************** De:  zgrp unknow Para:  Lista-Linux-BR Lista Assunto:  Re: (linux-br)Vunerabilidades encontradas pelo Nessus Data:  Tue, 9 Dec 2003 14:07:27 -0300 (ART) Marco, Esse "alerta" do Nessus se da pelo motivo que ele realmente não checa a vulnerabilidade, apenas compara a versão do banner mostrado com sua "base de dados". Isso não significa que os updates da conectiva estão "desatualizados", se vc procurar os advisorys da conectiva vc verá a correção para o mesmo. Quando ao banner, ele te aconselha a não dar tanta informação quando OS, servidor web, versão, modulo, etc. Pra isso adicione a seguinte tag no http.conf "ServerTokens Prod". Informaçõs de Hacking Etico http://cdm.frontthescene.com.br (melhor scene brasileira na minha opinião). falow ******************************************************** De:  Jorge Godoy Para:  apta Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Servidor de Email Data:  Mon, 20 Oct 2003 12:25:09 -0200 "apta" writes: > Não tenho nenhum erro de DNS e o firewall não gera registro de bloqueio Não gera por não estar configurado ou não gera por não existir? Se for o primeiro caso, configure-o para obter os registros, como já deveria ter sido feito. Se for o segundo caso, seu problema parece ser outro, mas ainda relacionado a DNS (talvez alguma configuração ruim no servidor para o qual você faz forward ou problemas de conectividade que estão colocando uma latência muito alta nestes pacotes... aumente a prioridades deles). Neste caso, ainda, o firewall pode apenas estar atrasando um pouco mais os pacotes e levando-os ao extremo. Experimente mudar a ordem das regras também. Sds, -- Godoy.     ******************************************************** De:  Vinicius Settembre Para:  Linux-Br (E-mail) Assunto:  (linux-br)Fw: Problema com RedHat9 - Iptables Data:  Thu, 16 Oct 2003 18:24:24 -0300 Pessoal da Lista, Resolvi este problema com a seguinte regra: iptables -A INPUT -i lo -j ACCEPT Esta regra pode deixar de alguma forma minha rede vunerável?? Obrigado, Vinicius. ----- Original Message ----- From: "Vinicius Settembre" To: "Linux-Br (E-mail)" Sent: Thursday, October 16, 2003 4:48 PM Subject: Problema com RedHat9 - Iptables > Pessoas, > > Estou com o seguinte problema, por favor > veja se alguem pode me ajudar. > > Instalei um redhat9 com interface grafica, > e tenho um script meu de configuração > do iptables, quando rodo este script com as > regras de POLICE (estão drop) a interface grafica > não levanta, ai quando executo comentando somente > as linhas de POLICE DROP ele inicia normalmente. > > Alguem sabe oq pode ser?? > > Já tentei desativar o firewall grafico dele e mesmo > assim não funciona. > > Alguem já passou por este problema?? > > Este firewall grafico dele é confiavel? > > Obrigado, > Vinicius. ******************************************************** De:  Daniel A. Melo Para:  Lucas "Francisco A. Junior Cc:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Checklist Data:  03 Sep 2003 18:48:03 -0300 http://www.cert.org/tech_tips/usc20_full.html []'s -- Daniel A. Melo Consultor em Segurança da Tecnologia da Informação MCSO - Modulo Certified Security Officer Em Qua, 2003-09-03 às 18:07, Lucas Francisco A. Junior escreveu: > Caros Amigos, > >     Estou querendo obter um checklist com procedimentos administrativos para > o aumento da segurança na utilização de serviços de rede no Linux, como > HTTP(apache), DNS(bind) , FTP(proftpd, SMTP(postfix/Sendmail), etc ... >    Sites com dicas e procedimentos serao de muita ajuda, além de tutoriais > ou fontes de consulta. ******************************************************** De:  zgrp unknow Para:  seguranca@distro2.conectiva.com.br Cc:  Luciana De Martino Nogueira Assunto:  Re: [seguranca] Keylogger Data:  Mon, 15 Sep 2003 17:24:56 -0300 (ART) Luciana, >Sim, eu sei disso, mas ouvi falar que estes > programas podem chegar > diretamente da internet em nossas máquinas sem que > saibamos disso. Como eu disse alguns podem disponibilizar as teclas capturadas via e-mail, icq, SMS, e até mesmo se atualizar. > Gostaria de saber justamente se há como bloquear > isso. Não existe uma regra especifica, o que vc pode fazer é ter uma regra baseada em DROP e liberar o que for extremamente necessario, dificultando esse tipo de atualização. Porem dependendo do nivel tecnico do hacker isso sera inutil. > Gostaria de saber se > eles utilizam uma porta específica para serem > instalados diretamente da > Internet, Com certeza não. Exceto que vc esteja falando de algum keylogger publico q algum script kiddie utilizou e nem mesmo mudou as portas, endereço, (coisas triviais)... :P >sem autorização explícita do usuário, > entende? Existem programas que se aproveitão de falhas para instalar programas apos um ataque bem sussedido. Mas não é muito comun para usuarios finais de linux. =] Mantem sua maquina atualizada resolve esse probelma... Da uma olhada nesse papel sobre ataques e defesa do clube dos mercenarios http://cdm.frontthescene.com.br/artigos/Wendel-Junior-Enec2003.pdf Falow ******************************************************** De:  Denny Roger Para:  Luciana De Martino Nogueira , seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Keylogger Data:  Tue, 16 Sep 2003 09:17:16 -0300 Cara Luciana, esses software são identificados pelo software de antivírus. Atualmente é possível vc integrar uma solução de antivírus ao firewall. Dessa forma, o firewall estaria junto com o antivírus eliminando softwares maliciosos. Um keylogger funciona em uma porta específica, ou seja, o desenvolvedor do software irá definir qual a porta de comunicação para acesso remoto na máquina vítima ou envio do arquivo txt gerado. Ministro palestra de segurança e demonstro na prática como os crackers utilizam um software (keylogger) para capturar textos. Acredito que o seu firewall esteja configurado com regras de portas que vc realmente utiliza. O maior problema não é o acesso externo, o maior problema é o acesso ou utilização dos recursos da sua rede pelo funcionario interno. Sites sobre esse assunto: www.batori.com.br www.velasco.com.br www.informabr.com.br Abraços, Denny Roger www.batori.com.br (11) 3105 5638 ----- Original Message ----- From: "Luciana De Martino Nogueira" To: Sent: Monday, September 15, 2003 3:34 PM Subject: Re: [seguranca] Keylogger > Sim, eu sei disso, mas ouvi falar que estes programas podem chegar > diretamente da internet em nossas máquinas sem que saibamos disso. Além > disso, eles podem tb chegar por email, no meio de outros programas e serem > instalados em nossas máquinas. > > Gostaria de saber justamente se há como bloquear isso. Gostaria de saber se > eles utilizam uma porta específica para serem instalados diretamente da > Internet, sem autorização explícita do usuário, entende? ******************************************************** De:  zgrp unknow Para:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Keylogger Data:  Tue, 16 Sep 2003 12:19:35 -0300 (ART) Denny Roger, Eu discordo da sua opinião, tendo em vista que pesoas que utilizão programas com portas defaults, keyloogers conhecidos sao script kiddies e os mesmos podem ser facilmente barrados onde o servidor tem o minimo de seguranca (servidor atualizado + firewall). Se vc se refere a hackers isso não conseguirá impedir o mesmo tendo em vista que os anti-virus trabalhão com assinaturas que podem facilmente ser passados. Os keyloggers nao sao obirgados a utilizar uma porta padrao, existem keyloggers q utilizão de tuning http quebrando por completo a suas regras de firewall... ;) Ainda eh possivel mofificar a assinatura de keyloggers conhecidos para se passar o seu AV. Como ja citei no Clube Dos Mercenarios voce encontra muito mais informacoes... http://cdm.frontthescene.com.br Abracos. ******************************************************** De:  Andreas Para:  NetCrusher Cc:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Bloqueando a conexao Data:  Mon, 17 Nov 2003 10:18:16 -0200 On Mon, Nov 17, 2003 at 09:51:05AM -0200, NetCrusher wrote: > Tem jeito de fazer com que algum firewall, ou até mesmo o próprio iptables > permita que somente o IP que está NATeado tenha permissão de enviar e receber > os pacotes bloqueando a conexão de outros computadores que estão na rede? Talvez isso aqui possa ajudar (limite de número de conexões simultâneas): http://www.netfilter.org/documentation/HOWTO//netfilter-extensions-HOWTO-3.html#ss3.5 Existem outras técnicas, melhores e piores, mas não conheço módulos do netfilter que as implementem: - se basear no TTL (facilmente burlável do lado do cliente, no entanto). Hmm, esse   acho que tem módulo para o netfilter. - se basear no campo IPID do protocolo IP. Saiu um paper há alguns meses usando essa   técnica para descobrir máquinas "NATeadas". Ah, achei: http://www.research.att.com/~smb/papers/fnat.pdf   "A Technique for Counting NATted Hosts". - range de portas de origem. No linux 2.2 (2.4 acho que não é mais assim), conexões   NATeadas usavam um range fixo de portas de origem (que também era configurável, ou seja,   burlável). ******************************************************** De:  Adalberto de Freitas Camargo Para:  redes-l@listas.ansp.br Assunto:  Fw: [Redes-l] Broadcast Data:  Thu, 4 Dec 2003 16:09:54 -0200 ------------------------------------------------------------ Informamos que, devido às mudanças no projeto ANSP da FAPESP, manteremos esta lista até o dia 5 de janeiro de 2004. Entre em contato conosco para quaisquer comentários por meio da própria lista ou pelo e-mail moderador@ansp.br. ------------------------------------------------------------- Eu acho que a palavra "pacote" está causando muita confusão nesta lista. Os pacotes de informação no nível de enlace (camada 2 do modelo OSI) são denominados QUADROS e os pacotes de informação no nível de rede (camada 3 do modelo OSI) são denominados DATAGRAMAS. Para a sua transmissão em um enlace, um datagrama precisa estar inserido em um ou mais quadros compatíveis com o enlace utilizado.   Voltando para o assunto broadcast, existem dois tipos distintos: os quadros broadcast e os datagramas broadcast.   Os quadros broadcast operam no nível de enlace (camada 2 do modelo OSI) e consistem em quadros onde o endereço MAC destino está preenchido com todos os bits em nível 1. Como por definição todos os nós dentro do enlace devem receber e processar os quadros broadcast, todos os equipamentos de rede que operam na camada 2 (hubs e switches) o replicam para todas as portas ativas. Dessa forma, a ocorrência de um quadro broadcast impede qualquer outro tráfego dentro do enlace e força todas as estações a pararem o processamento atual para processar o quadro de broadcast, afetando o desempenho não só da rede mas também das estações e servidores a ela conectados. Como esses quadros são válidos apenas no nível de enlace, equipamentos de rede que operam na camada 3 do modelo OSI como os roteadores não os processam.   Já os datagramas broadcast são pacotes de informação destinados a todos os hosts de uma determinada rede IP, independente da sua localização ou do tipo de enlace utilizado. Esses datagramas possuem o campo endereço IP destino preenchido com todos os bits da porção host em nível 1 (lembrando que o endereço IP tem uma porção rede e uma porção host, que são identificadas pela máscara de sub-rede). Esses datagramas broadcast são bem menos frequentes e são processados e roteados por roteadores. Uma vez que chegam à rede destino são inseridos em quadros broadcast compatíveis com os enlaces utilizados para chegar à todas as estações e servidores.   Nas discussões que acompanhei nesta lista, todas as referências a broadcast estavam associadas ao nível de enlace. Espero ter ajudado a esclarecer um pouco esse assunto.   Atenciosamente, Adalberto de F. Camargo __________________________ Banco Industrial do Brasil S.A. Masterway Telecom Ltda. Engenheiro Consultor ( (11) 3049-9828 + adalberto@bancoindustrial.com.br ******************************************************** De:  Kilson Arruda Responder-a:  Kilson Arruda Para:  Cleyton Luiz Scherer , Lista Conectiva Assunto:  Re: (linux-br)iptables: parar tudo Data:  Mon, 19 Jan 2004 17:07:08 -0300 > > Como comando do iptables deve ser usado para derrubar todas as conexões > INPUT e FORWARD, mesmo as que já estão em andamento ? Acho que deve funcionar: iptables -P INPUT DROP iptables -P FORWARD DROP -- Kilson Arruda linux User # 228238 ******************************************************** ******************************************************** De:  William da Rocha Lima Responder-a:  William da Rocha Lima Para:  Cristiano Pavin , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Problemas com Iptables + Squid Data:  Fri, 6 Feb 2004 18:08:32 -0200 Caro Cristiano Tente fazer o procedimento que segue no link abaixo: http://www.linuxit.com.br/modules.php?name=Sections&op=viewarticle&artid=32 Para fazer nat. E caso tenha algum problema remova o iptables 1.2.9 e volte para a versão antiga. falou, []. -- William da Rocha Lima wrochal@linuxit.com.br www.linuxit.com.br ******************************************************** ******************************************************** ******************************************************** De:  Artur Coutinho Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)problemas com kurumim Data:  Mon, 1 Mar 2004 21:55:07 -0300 Em Segunda 01 Março 2004 11:11, jamanta44 escreveu: ... > Uso a maquina como firewall e servidor de internet, > ativando o iptables e compartilhando a conecção. > O problema eh que depois que entro no kde como root e > começo a fazer qualquer coisa, o computador começa a > parar de abrir as coisas. Por exemplo, quando clico no link > Home do desktop, fica uns 2 ou 3 min para abrir. Coisas > assim. Olá jamanta44, Tive um problema semelhante e o colega Thiago Macieira descobriu, era uma linha do iptables que estava derrubando (DROP) tudo o que não era NAT. Veja se no seu firewall tem algum bloqueio indesejado, pra fazer um teste, desabilite todos os bloqueios e veja se funciona. Sds, -- Artur de Paula Coutinho - Santa Rita do Sapucai - MG www.meusitelinux.cjb.net - arturcoutinho@bol.com.br    Linux Registered User# 140972 - ICQ 59870067 ******************************************************** De:  Fabiano Carlos Heringer Para:  linux-br Assunto:  Re: (linux-br)Bloqueando redes P2P Data:  Tue, 16 Mar 2004 00:03:18 -0300 Opa marcelo, eu utilizei umas das regras que está como de exemplo não deu nenhum erro, aparece quando dou um iptables -L ...ou seja, a regra está OK.... só q simplesmente ele nao barra, continua do mesmo jeito utilizando kazaa, etc... iptables -A FORWARD -m p2p -j DROP algo +- assim, tentei colocar para INPUT e OUTPUT também e nada... tem como vc me passar sua sintaxe? obrigado > Ola Fabiano. > o que deu errado com o  iptables-p2p,  eu ultizo aqui com sucesso. ******************************************************** De:  Carlos Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Verificar segurança em firewall Data:  Wed, 17 Mar 2004 17:21:25 -0300 >Bom dia,   >  Estou com uma dúvida, configurei um firewall linux com CL 8 e gostaria > de saber como eu faço para saber se a máquina está segura e se as portas > certas estão fechadas.    > Agradeço desde já a atenção. Existem diversas ferramentas de verificacao de seguranca em um sistema linux. Para verificar se as portas corretas estao abertas voce pode usar o nmap, que é o mais popular portscanner *nix. Um exemplo de sintaxe que pode ser utilizada para essa verificacao é a seguinte : nmap -sS -P0 -O 127.0.0.1 -sS = realiza um stealth scan , a verificaçao ocorre pelo modo half-open connection. -P0 =  realiza o portscan sem pingar. -O = Tenta advinhar o sistema operacional remoto O nmap possui dezenas de opcoes, "man nmap" para saber mais. Outra boa ferramenta é o Iptraf. Deixe um terminal aberto com o iptraf rodando, ele monitora o trafego da maquina por interface ,portas, protocolos, pacotes, etc... A saideira pode ser o NESSUS, exelente ferramenta de verificacao de seguranca, bem completa. Inclui a verificacao dos bugs mais conhecidos, ultimas vulnerabilidades, etc.. . A ferramenta pode fazer um scan completo em uma maquina remota gerando um documento com tudo que for potencialmente perigoso a maquina e inclusive sugere solucoes para os problemas encontrados. Vale a pena testar, pode escanear uma subnet inteira em busca de vulnerabilidades e funciona no modo cliente-servidor. Por ser uma ferramenta muito ampla sugiro que voce busque algum bom tutorial sobre o Nessus antes de tentar. Espero ter ajudado . ******************************************************** De:  Fábio Para:  Ricardo Pereira - FADISMA Cc:  linux-br@bazar2.conectiva.com.br Assunto:  RE: (linux-br)iptables e DENY Data:  Fri, 26 Mar 2004 19:22:27 -0300 Fala Ricardo, Use DROP O Deny era usado no Ipchains, com o Iptables, virou DROP. Abraços, Fábio ******************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Controle de conexão discada (Modem) Data:  Mon, 16 Aug 2004 19:37:53 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Anderson J. da Silva wrote: >boa Tarde >  Eu uso o conectiva 9 com 80% dos programas dos quatro cds > instalados, tenho uma pergunta de iniciante agora: qual programa eu > executo para controlar minha conexão? eu só uso o linux pra desktop, > no windows eu uso o ATGUARD, que me diz as portas abertas e aonde > elas estão conectadas, tanto TCP quanto UDP, e tambem tem > possibilidade de colocar regras para trafego netstat, lsof e fuser Todos de linha de comando. O ksysguard é capaz de mostrar conexões abertas também, mas ele é só uma interface gráfica para o lsof. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: ******************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)ethereal Data:  Wed, 3 Nov 2004 11:27:28 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Anderson Alves de Albuquerque wrote: >  existe alguma maneira de executar o ethereal em modo texto ? tethereal - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info ******************************************************** De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br Cc: Alexandre Chaves Fonseca Assunto: Re: (linux-br)Kernel 2.6.11 + CONFIG_IP_NF_NAT_LOCAL Data: Mon, 7 Mar 2005 20:24:36 -0300 Alexandre Chaves Fonseca wrote: >Eu usava uma função recente do kernel de fazer nat nas conexoes > originadas localmente... Não me lembro de ter visto isso. Deve ser algo muito recente. >Mas no kentel 2.6.11 eles tiraram isso.... dei uma olhada no google e > nao achei ninguem perguntando "e agora, o q eu faço ?" Porque, provavelmente, quase ninguém usava, já que existiu por somente algumas versões do kernel. >com isso.. pergunto para vcs.... alguem jah contornou isso ? (pensei em >redirecionar via dnat na chain OUTPUT e depois fazer um snat na chain >postrouting para o meu ip na eth0, senao o pacote sairia com src > 127.0.0.1 e nao voltaria nunca para cah.. mas.. nao deu certo) Use um roteador exclusivamente para NAT. Não use serviços nele. Outra opção é usar a tabela mangle em conjunto com roteamento avançado, que especifica o IP de origem do pacote. Dê uma olhada: www.lartc.org -- Thiago Macieira - thiago (AT) macieira (DOT) info ******************************************************** De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Traceroute Data: Fri, 8 Apr 2005 00:23:03 -0300 Ronald Anchite Guedes wrote: >Preciso bloquear as respostas do comando tracerouter ou tracert de meus >clientes de rede, como devo proceder? posso bloquear no meu firewall mas >ele bloqueia tb o ping? Alguem tem uma solucao? O traceroute envia pacotes UDP para uma porta aleatória alta, geralmente na casa de 33000. E ele fica esperando respostas ICMP TTL Expired. Quando ele recebe um ICMP Port Unreachable, sabe que chegou ao destino. Já o tracert.exe do Windows envia ICMP Echo Request e fica esperando ICMP TTL Expired. Quando ele recebe o ICMP Echo Reply, sabe que chegou ao destino. Para você bloquear as respostas traceroute/tracert do, você tem as seguintes opções: 1) bloqueie todo ICMP TTL Expired no seu firewall. Note que isso pode atrapalhar casos legítimos de erro, mas é incomum. Note que ainda assim os traceroute/tracert vão conseguir mostrar o número de saltos, mas essa informação é também fácilmente obtida por outros meios (inclusive passivos). 2) bloqueie todo ICMP Port Unreachable. Esse afeta só os Linux e é claramente uma pedida ruim, pois qualquer UDP usado será afetado, inclusive DNS. 3) bloqueie todo ICMP Echo Reply. Esse só afeta os Windows, mas por outro lado também bloqueia o ping nos dois sistemas. Qual é o problema que você está tentando resolver? -- Thiago Macieira - thiago (AT) macieira (DOT) info PGP/GPG: 0x6EF45358; fingerprint: E067 918B B660 DBD1 105C 966C 33F5 F005 6EF4 5358 3. Ac seo woruld wearð geborod, swá se Scieppend cweað "Gewurde Unix" and wundor fremede and him "Unix" genemned, þæt is se rihtendgesamnung. ******************************************************** ******************************************************** ********************************************************