Valeu Sinval, Estou fazendo mais algumas alterações de acordo com os vocês todos me falaram assim que o eu terminar e fazer teste com as novas regras eu posto aqui para verificação.
mais uma vez obrigado, -- Adauto Serpa Tecnólogo em Informática Jabber: [EMAIL PROTECTED] Email: [EMAIL PROTECTED] MSN: [EMAIL PROTECTED] 2008/10/14 Sinval Júnior <[EMAIL PROTECTED]>: > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > Esta regra irá aceitar conexões(INPUT) que possuem estado "--state" , > conexões já estabelecidas (ESTABLISHED) e relacionada(RELATED) que informa > mensagens de erro etc... É importante pois imagine que alguém esteja > conectado via FTP(baixando um arquivo de 3 GB e falte apenas 10%) e você > resolve mudar alguma regra, ou algo do tipo. > > iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > Esta regra irá aceitar conexões(OUTPUT) que possuem estado "--state" > ,conexões já estabelecidas (ESTABLISHED) e relacionada(RELATED) que informa > mensagens de erro etc... É importante pois imagine que alguém esteja > conectado via FTP(baixando um arquivo de 3 GB e falte apenas 10%) e você > resolve mudar alguma regra, ou algo do tipo e NEW(novas) irá aceitar novas > coneçãos de saída já que o policiamento padrão definimos no e-mail anterior > boqueia tudo. > > > > 2008/10/14 Adauto Serpa <[EMAIL PROTECTED]> >> >> Sinval, >> >> Gostei da sua explicação. Realmente assim acredique fique bem seguro. >> Sou iniciante com iptables e tenho duvida com relação a esses duas >> regras: >> >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> >> Pra que servem ? >> >> desde já agradeço, >> >> -- >> Adauto Serpa >> Tecnólogo em Informática >> Jabber: [EMAIL PROTECTED] >> Email: [EMAIL PROTECTED] >> MSN: [EMAIL PROTECTED] >> >> 2008/10/13 Sinval Júnior <[EMAIL PROTECTED]>: >> > Audo você não especificou policiamento padrão sendo assim o Iptables >> > aceitará tudo que não foi bloqueado. Firewall permissivo é mais difícil >> > de >> > administrar e agente sempre acaba deixando algo aberto. >> > >> > Veja como ficaria melhor. >> > >> > #Regras padrão >> > iptables -P INPUT DROP >> > iptables -P OUTPUT DROP >> > iptables -P FORWARD DROP >> > #Agora é libere apenas o necessário >> > iptables -A INPUT -i lo -j ACCEPT >> > >> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> > iptables-A INPUT -p icmp --icmp-type echo-request -j ACCEPT >> > >> > iptables -A OUTPUT -o lo -j ACCEPT >> > iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> > >> > E assim por diante. >> > >> > 2008/10/13 Adauto Serpa <[EMAIL PROTECTED]> >> >> >> >> Boa tarde Pessoal, >> >> >> >> Escrevi um script shell para Firewall com base na net >> >> e ele está me atendendo bem para administração de >> >> serviços internos, porém estou preocupado com a segurança dele externa. >> >> >> >> Gostaria de saber se meu Firewall oferece um bom nível de proteção ou >> >> o que falta nele para a administração interna e externa de serviços. >> >> >> >> Segue em anexo minhas regras do iptables, obrigado. >> >> >> >> >> >> -- >> >> Adauto Serpa >> >> Tecnólogo em Informática >> >> Jabber: [EMAIL PROTECTED] >> >> Email: [EMAIL PROTECTED] >> >> MSN: [EMAIL PROTECTED] >> > >> > >> > >> > -- >> > +===============================+ >> > #!/usr/bin/env python >> > print "Sinval Júnior" >> > print "[EMAIL PROTECTED]" >> > +===============================+ >> > +NÃO USE DROGAS!!! USE GNU/LINUX!!! + >> > +===============================+ >> > >> > >> >> >> -- >> To UNSUBSCRIBE, email to [EMAIL PROTECTED] >> with a subject of "unsubscribe". Trouble? Contact >> [EMAIL PROTECTED] >> > > > > -- > +===============================+ > #!/usr/bin/env python > print "Sinval Júnior" > print "[EMAIL PROTECTED]" > +===============================+ > +NÃO USE DROGAS!!! USE GNU/LINUX!!! + > +===============================+ > > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
