Re: (linux-br) Iptables

Rodrigo Ferreira Santos Thu, 13 Mar 2003 04:54:29 -0800

Na verdade eu preciso fechar portas abertas tipo oque esta abaixo:
Port       State       Service                 Owner
21/tcp     open        ftp                     
80/tcp     open        http                    
111/tcp    open        sunrpc                  
139/tcp    open        netbios-ssn             
443/tcp    open        https                   
631/tcp    open        cups                    
3306/tcp   open        mysql                   
6000/tcp   open        X11                     
10000/tcp  open        snet-sensor-mgmt


Este � meu micro, parece uma janela panoramica , n�o acha ? bom como a minha todo  a 
nossa rede esta assim, � claro que nem todos usam mysql, apache mas as outras
maquinas ficam com o X11 aberto cups e outros, bom eu dei uma olha nos modelos e estou 
usando o seguinte:
# Generated by iptables-save v1.2.4 on Wed Mar 12 15:46:35 2003
*filter
:INPUT DROP [378:55176]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [78:11790]
:block - [0:0]
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 21 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 80 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 111 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 111 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 139 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 139 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 443 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 631 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 631 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 3306 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 6000 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 6000 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 10000 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 10000 -j DROP
-A INPUT -j block
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j 
ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A FORWARD -m unclean -j DROP
-A FORWARD -j block
-A block -m state --state RELATED,ESTABLISHED -j ACCEPT
-A block -i ! eth0 -m state --state NEW -j ACCEPT
-A block -j DROP
COMMIT
# Completed on Wed Mar 12 15:46:35 2003

Ser� que esta bom voc� tem alguma sugest�o, lembo que este esquema e para proteger em 
uma intranet com 1700 maquinas com varias subredes, mas a rede que fa�o 
parte tem aproximadamente 500 maquinas , sendo que umas 80 est�o em laboratorios para 
uso de alunos isto � o que me preocupa..

Cordialmente
Rodrigo

Em Quinta 13 Mar�o 2003 02:03, resposta de e-mail:
> Oi Rodrigo,
>
> Primeiramente, deve-se saber o que voc� deseja proteger. Por acaso voc�
> quer algo mastigado? Algo para executar e j� estar protegido? Se sim,
> existem diversos site que fazem script em bash para gerar um script do
> iptables.
>
> Ricardo Guedes
>
>
>

-- 
  _
 �v�      Rodrigo Ferreira Santos
/(_)\     Piu - Programa de Informatiza��o da UNEMAT
 ^ ^      [EMAIL PROTECTED]





Assinantes em 13/03/2003: 2225
Mensagens recebidas desde 07/01/1999: 204031
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
            mailto:[EMAIL PROTECTED]

Re: (linux-br) Iptables

Responder a