Re: Dúvidas sobre Roteador com Iptables
Provavelmente sim ... Mas o que são estas 4 placas de rede ? Pela minha experiência profisional, boas placas de rede fazem uma diferença brutal na performance de roteadores/gateways/proxys ... Fábio Rabelo Em 27 de abril de 2012 09:57, Moksha Tux gova...@gmail.com escreveu: A princípio inciarei os testes em um quad core com 2 GB de RAM e depois esse firewall e roteador rodarão em um servidor HP com six core e 16 GB de RAM com 4 NICs. Acredito que essa configuração esteja sobrando não acha? Moksha Em 26 de abril de 2012 22:46, Fábio Rabelo fa...@fabiorabelo.wiki.brescreveu: Se o Sr. tiver o hardware adequado, não vejo nenhum problema ... Fábio Rabelo Em 26 de abril de 2012 18:59, Moksha Tux gova...@gmail.com escreveu: Grande Fábio! Estou sériamente enclinado a usar esta solução mas preciso saber do senhor se este ambiente suporta um grande fluxo de dados pois a coisa no trabalho é punk pro o senhor ter uma idéia é uma unidade de uma grande universidade e o que eu estou pretendendo fazer sei que serei chamado de maluco pelo senhor e demais colegas de profissão mas é substituir o PF do Unix OpenBSD para o Iptables rodando em Debian por ordens do meu superior hierárquico devido a facilidade de administração. O que o senhor acha disto? Moksha Em 26 de abril de 2012 13:30, Fábio Rabelo fa...@fabiorabelo.wiki.brescreveu: Isto mesmo ... Eu uso a mais de 10 anos, o desenvolvedor principal do shorewall é um profissional de segurança, ele precisava de uma ferramenta que lhe permitisse administrar uma grande quantidade de firewalls/gateways/proxys sem ser obrigado a perder horas depurando os scripts manuais, e que lhe permitisse realizar o trabalho remotamente . O Sr. administra servidores remotamente ? já ocorreu de se travar sem acesso a um servidor em que o Sr. estava fazendo alguma modificação ? Eu sim, e descobri o shorewall exatamente depois de uma situação destas ... Fábio Rabelo Em 26 de abril de 2012 13:06, Moksha Tux gova...@gmail.com escreveu: Ah! Sim agora entendi, ele é um pacote cujo a finalidade é trabalhar entre o iptables e o admin como o senhor mesmo explicou e possui uma interface que torna tanto a dministração quanto a implementação do firewall mais amigável. Não seria isso então? Moksha Em 26 de abril de 2012 12:19, Fábio Rabelo fa...@fabiorabelo.wiki.brescreveu: Não, o Shorewall não é um apliance, é um front-end . Ele fica entre o iptables e o administrador da rede, facilita em muito a administração qdo existem muitas regras do iptables . Eu uso geralmente o webmin para gerenciar o shorewall . O Shorewall pode ser instalado em qualquer distribuição ! Fábio Rabelo Em 26 de abril de 2012 11:19, Moksha Tux gova...@gmail.comescreveu: Muito obrigado Fábio pela resposta! Eu já andei considerando sim alguns appliance como o próprio Untangle que já é Debian, o endian e o pfsense, mas tenho o desejo de dominar a administração e implementação de roteadores/firewalls em iptables na mão mesmo mas confesso que essas soluções não estão descartadas. Será que para uma rede de aproximadamente 2500 usuários e mais de 3000 pontos de rede e com um link de internet de 1Gb o shorewall suportaria numa boa sem pedir arrego? Claro, considerando que ele será instalado em um servidor robusto também. O shorewall é um appliance também? Baseado em que distribuição? Moksha Em 26 de abril de 2012 10:40, Fábio Rabelo fa...@fabiorabelo.wiki.br escreveu: Bom dia ... Se o Sr. considera difícil o uso direto do iptables, o Sr. poderia considerar um front-end ! Eu uso o shorewall : http://shorewall.net/ http://people.connexer.com/~roberto/debian/ um simples apt-get install shorewall-perl e já estará instalado . E para manter um número muito grande de regras, ele é uma verdadeira mão na massa !!! Fábio Rabelo Em 25 de abril de 2012 22:56, Moksha Tux gova...@gmail.comescreveu: Boa noite queridos amigos! Estou construindo um roteador com iptables para o trabalho mas antes estou colhendo bastante informações pois não considero esta ferramenta fácil mas já estou tendo algum exito a miha dúvida é a seguinte... por ser um roteador devo prestar atenção nas regras INPUT que no caso seria relacionado ao próprio host (sistema) e FORWARD que trataria dos pacotes vão atravessar este host, sendo assim, as regras de proteção eu devo implementá-las tanto em INPUT quanto em FARWARD ex: *#== # REGRAS PARA PROTEÇÃO #== ## INPUT # CONTRA PING DA MORTE iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # ACEITANDO CONEXÕES iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # CONTRA PORTCAN OCULTO iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP # ACEITANDO CONEXÕES iptables -A INPUT -m state --state
Re: Dúvidas sobre Roteador com Iptables
São 4 placas GB Ethernet da broadcom muito boas por sinal Em 27 de abril de 2012 10:09, Fábio Rabelo fa...@fabiorabelo.wiki.brescreveu: Provavelmente sim ... Mas o que são estas 4 placas de rede ? Pela minha experiência profisional, boas placas de rede fazem uma diferença brutal na performance de roteadores/gateways/proxys ... Fábio Rabelo Em 27 de abril de 2012 09:57, Moksha Tux gova...@gmail.com escreveu: A princípio inciarei os testes em um quad core com 2 GB de RAM e depois esse firewall e roteador rodarão em um servidor HP com six core e 16 GB de RAM com 4 NICs. Acredito que essa configuração esteja sobrando não acha? Moksha Em 26 de abril de 2012 22:46, Fábio Rabelo fa...@fabiorabelo.wiki.brescreveu: Se o Sr. tiver o hardware adequado, não vejo nenhum problema ... Fábio Rabelo Em 26 de abril de 2012 18:59, Moksha Tux gova...@gmail.com escreveu: Grande Fábio! Estou sériamente enclinado a usar esta solução mas preciso saber do senhor se este ambiente suporta um grande fluxo de dados pois a coisa no trabalho é punk pro o senhor ter uma idéia é uma unidade de uma grande universidade e o que eu estou pretendendo fazer sei que serei chamado de maluco pelo senhor e demais colegas de profissão mas é substituir o PF do Unix OpenBSD para o Iptables rodando em Debian por ordens do meu superior hierárquico devido a facilidade de administração. O que o senhor acha disto? Moksha Em 26 de abril de 2012 13:30, Fábio Rabelo fa...@fabiorabelo.wiki.brescreveu: Isto mesmo ... Eu uso a mais de 10 anos, o desenvolvedor principal do shorewall é um profissional de segurança, ele precisava de uma ferramenta que lhe permitisse administrar uma grande quantidade de firewalls/gateways/proxys sem ser obrigado a perder horas depurando os scripts manuais, e que lhe permitisse realizar o trabalho remotamente . O Sr. administra servidores remotamente ? já ocorreu de se travar sem acesso a um servidor em que o Sr. estava fazendo alguma modificação ? Eu sim, e descobri o shorewall exatamente depois de uma situação destas ... Fábio Rabelo Em 26 de abril de 2012 13:06, Moksha Tux gova...@gmail.com escreveu: Ah! Sim agora entendi, ele é um pacote cujo a finalidade é trabalhar entre o iptables e o admin como o senhor mesmo explicou e possui uma interface que torna tanto a dministração quanto a implementação do firewall mais amigável. Não seria isso então? Moksha Em 26 de abril de 2012 12:19, Fábio Rabelo fa...@fabiorabelo.wiki.br escreveu: Não, o Shorewall não é um apliance, é um front-end . Ele fica entre o iptables e o administrador da rede, facilita em muito a administração qdo existem muitas regras do iptables . Eu uso geralmente o webmin para gerenciar o shorewall . O Shorewall pode ser instalado em qualquer distribuição ! Fábio Rabelo Em 26 de abril de 2012 11:19, Moksha Tux gova...@gmail.comescreveu: Muito obrigado Fábio pela resposta! Eu já andei considerando sim alguns appliance como o próprio Untangle que já é Debian, o endian e o pfsense, mas tenho o desejo de dominar a administração e implementação de roteadores/firewalls em iptables na mão mesmo mas confesso que essas soluções não estão descartadas. Será que para uma rede de aproximadamente 2500 usuários e mais de 3000 pontos de rede e com um link de internet de 1Gb o shorewall suportaria numa boa sem pedir arrego? Claro, considerando que ele será instalado em um servidor robusto também. O shorewall é um appliance também? Baseado em que distribuição? Moksha Em 26 de abril de 2012 10:40, Fábio Rabelo fa...@fabiorabelo.wiki.br escreveu: Bom dia ... Se o Sr. considera difícil o uso direto do iptables, o Sr. poderia considerar um front-end ! Eu uso o shorewall : http://shorewall.net/ http://people.connexer.com/~roberto/debian/ um simples apt-get install shorewall-perl e já estará instalado . E para manter um número muito grande de regras, ele é uma verdadeira mão na massa !!! Fábio Rabelo Em 25 de abril de 2012 22:56, Moksha Tux gova...@gmail.comescreveu: Boa noite queridos amigos! Estou construindo um roteador com iptables para o trabalho mas antes estou colhendo bastante informações pois não considero esta ferramenta fácil mas já estou tendo algum exito a miha dúvida é a seguinte... por ser um roteador devo prestar atenção nas regras INPUT que no caso seria relacionado ao próprio host (sistema) e FORWARD que trataria dos pacotes vão atravessar este host, sendo assim, as regras de proteção eu devo implementá-las tanto em INPUT quanto em FARWARD ex: *#== # REGRAS PARA PROTEÇÃO #== ## INPUT # CONTRA PING DA MORTE iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # ACEITANDO CONEXÕES iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # CONTRA PORTCAN OCULTO iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m
Qual é a forma correta de permitir o uso de sudo?
Olá, Estive adicionando um usuário no grupo sudo através do gerenciador gráfico. Após reiniciar a máquina conferi o arquivo /etc/sudoers e vi que não teve alteração, porem o usuário agora tem acesso ao comando sudo. Gostaria de saber qual o arquivo que define os usuários que podem utilizar o sudo, e qual a forma correta de permitir o uso de sudo para algum usuário. Alguem pode ajudar? abraço. John.
Re: Qual é a forma correta de permitir o uso de sudo?
É esse arquivo mesmo, só que o grupo deve estar liberado dessa maneira: %sudo ALL=NOPASSWD: ALL quando é *% *sudo, quer dizer o grupo inteiro para liberar só usuarios, adicione assim gabriel ALL=(ALL) ALL Atenciosamente, *Gabriel Ricardo.* www.tinotapa.com.br Em 27 de abril de 2012 16:20, John DeRose hax0...@gmail.com escreveu: Olá, Estive adicionando um usuário no grupo sudo através do gerenciador gráfico. Após reiniciar a máquina conferi o arquivo /etc/sudoers e vi que não teve alteração, porem o usuário agora tem acesso ao comando sudo. Gostaria de saber qual o arquivo que define os usuários que podem utilizar o sudo, e qual a forma correta de permitir o uso de sudo para algum usuário. Alguem pode ajudar? abraço. John.
Re: Qual é a forma correta de permitir o uso de sudo?
Ah entendi :) Como no arquivo está %sudo ALL=NOPASSWD: ALL então nada precisou ser alterado, já que eu adicionei o usuário ao grupo sudo. Obrigado! abraço. Em 27 de abril de 2012 16:41, Gabriel Ricardo gricard...@gmail.comescreveu: É esse arquivo mesmo, só que o grupo deve estar liberado dessa maneira: %sudo ALL=NOPASSWD: ALL quando é *% *sudo, quer dizer o grupo inteiro para liberar só usuarios, adicione assim gabriel ALL=(ALL) ALL Atenciosamente, *Gabriel Ricardo.* www.tinotapa.com.br Em 27 de abril de 2012 16:20, John DeRose hax0...@gmail.com escreveu: Olá, Estive adicionando um usuário no grupo sudo através do gerenciador gráfico. Após reiniciar a máquina conferi o arquivo /etc/sudoers e vi que não teve alteração, porem o usuário agora tem acesso ao comando sudo. Gostaria de saber qual o arquivo que define os usuários que podem utilizar o sudo, e qual a forma correta de permitir o uso de sudo para algum usuário. Alguem pode ajudar? abraço. John.
Re: Qual é a forma correta de permitir o uso de sudo?
Eu trocaria o DEVE estar liberado por PODE estar liberado. On 04/27/2012 04:41 PM, Gabriel Ricardo wrote: É esse arquivo mesmo, só que o grupo deve estar liberado dessa maneira: %sudo ALL=NOPASSWD: ALL quando é *_% _*sudo, quer dizer o grupo inteiro para liberar só usuarios, adicione assim gabrielALL=(ALL) ALL Atenciosamente, */Gabriel Ricardo./* www.tinotapa.com.br http://www.tinotapa.com.br Em 27 de abril de 2012 16:20, John DeRose hax0...@gmail.com mailto:hax0...@gmail.com escreveu: Olá, Estive adicionando um usuário no grupo sudo através do gerenciador gráfico. Após reiniciar a máquina conferi o arquivo /etc/sudoers e vi que não teve alteração, porem o usuário agora tem acesso ao comando sudo. Gostaria de saber qual o arquivo que define os usuários que podem utilizar o sudo, e qual a forma correta de permitir o uso de sudo para algum usuário. Alguem pode ajudar? abraço. John.
Re: Qual é a forma correta de permitir o uso de sudo?
Olá, Aproveitando... A diferença entre essas definições: ALL=NOPASSWD: ALL ALL=(ALL) ALL Seria que a primeira permite sudo sem digitar a senha do usuário e a outra requer a senha? abraço Em 27 de abril de 2012 17:56, Molinero cybercro...@gmail.com escreveu: Eu trocaria o DEVE estar liberado por PODE estar liberado. On 04/27/2012 04:41 PM, Gabriel Ricardo wrote: É esse arquivo mesmo, só que o grupo deve estar liberado dessa maneira: %sudo ALL=NOPASSWD: ALL quando é *% *sudo, quer dizer o grupo inteiro para liberar só usuarios, adicione assim gabriel ALL=(ALL) ALL Atenciosamente, *Gabriel Ricardo.* www.tinotapa.com.br Em 27 de abril de 2012 16:20, John DeRose hax0...@gmail.com escreveu: Olá, Estive adicionando um usuário no grupo sudo através do gerenciador gráfico. Após reiniciar a máquina conferi o arquivo /etc/sudoers e vi que não teve alteração, porem o usuário agora tem acesso ao comando sudo. Gostaria de saber qual o arquivo que define os usuários que podem utilizar o sudo, e qual a forma correta de permitir o uso de sudo para algum usuário. Alguem pode ajudar? abraço. John.
Outras Dúvidas sobre Roteador com Iptables
Queridos amigos! escrevendo o meu script de firewall me deparei com uma inquietante dúvida... Quando eu declaro uma regra de redirecionamento com DNAT e SNAT e especificando as portas somente isso já seria o suficiente para eu estabelecer a conexão ou eu sou obrigado a liberar esta conexão pelo filtro também? Ex: # Para liberar o WWW da DMZ para a WAN iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100 iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100 Será que eu também teria que criar uma regra na chain FORWARD liberando essa conexão? Abraços, Moksha
Re: Outras Dúvidas sobre Roteador com Iptables
Se a política padrão no seu script for DROP para as regras de forward, ou se tiver alguma regra bloqueando, sim, precisa liberar com uma regra de filter. Eden Caldas Consultor de TI e...@linuxfacil.srv.br (81) 9747 (81) 9653 7220 LINUX FÁCIL – Consultoria e Serviços em TI Em 27 de abril de 2012 18:34, Moksha Tux gova...@gmail.com escreveu: Queridos amigos! escrevendo o meu script de firewall me deparei com uma inquietante dúvida... Quando eu declaro uma regra de redirecionamento com DNAT e SNAT e especificando as portas somente isso já seria o suficiente para eu estabelecer a conexão ou eu sou obrigado a liberar esta conexão pelo filtro também? Ex: # Para liberar o WWW da DMZ para a WAN iptables -t nat -A PREROUTING -p tcp -i $wan -d 200.100.100.100 -m multiport --dport 80,3306 -j DNAT --to-destination 172.100.100.100 iptables -t nat -A POSTROUTING -p tcp -s 172.100.100.100 -d 0/0 -m multiport --dport 80,3306 -o $dmz -j SNAT --to-source 200.100.100.100 Será que eu também teria que criar uma regra na chain FORWARD liberando essa conexão? Abraços, Moksha
