Firewall iptables

[Danilo Augusto]

Instalei um iptables e estou tendo problemas.
Aparece a mensagem:
ip_conntrack table is full
packet is dropped
Depois de um certo tempo acontece isso,alguem ja passou por isso?

Valeu.

-- 
Danilo Augusto Vicente Lara
[EMAIL PROTECTED]
Cel.: 61 9994-1361

firewall - iptables

[Caio Ferreira]

All

O script de firewall do gateway da rede de casa esta assim :

#!/bin/bash


IPTABLES=/sbin/iptables


# recover IPs
ETH0IP=`ifconfig eth0 | grep "inet addr:" | sed 's/.*inet addr://' |
cut -d ' ' -f 1`
ETH1IP=`ifconfig eth1 | grep "inet addr:" | sed 's/.*inet addr://' |
cut -d ' ' -f 1`


# clean all possible old mess
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F


# masquerading
$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward


# closing ALL INPUT
$IPTABLES -P INPUT DROP


# port forward
for PROTO in tcp udp ; do
# opening important ports


# ftp - for remote support
$IPTABLES -A INPUT -i eth0 -p $PROTO --dport 21 -j ACCEPT

done

Quando eu tento rodar o script aparece a seguinte mensagem de erro :

Bad argument `21'
Try `iptables -h' or 'iptables --help' for more information.

Eu chequei o comando e aparentemente esta correto. Alguem teria alguma
ideia do por que esta aparecendo essa mensagem de erro ?!?!?!?

Desde ja agradeco pela ajuda.


 .''`.   Caio Abreu Ferreira
: :'  :  GNU/Linux Debian
`. `'`   Gnupg ID 0x01186BE1
  `-

Firewall - IPTables

[Gustavo Goulart]

 Olá lista,

   Estou precisando bloquear o MSN em minha rede a pedido dos donos da empresa, 
tenho milhões de regras no squid para o bloqueio do mesmo e já uso a seguinte 
regra no IPTables:

iptables -I FORWARD -s 192.168.0.0/25 -p tcp --dport 1863 -j DROP

 Mesmo assim o desgraçado continua funcionando, alguem poderia ajudar ?

Onde consigo um bom exemplo de firewalls com iptables para uma máquina com 
3 placas de rede

  eth0 - wan
  eth1 - dnz
  eth2 - lan

Agradeço ajudas .



##
# Gustavo V. Goulart #
# Rio de Janeiro - RJ#
# Linux Debian Etch  #
##


  Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Firewall IPTABLES

[Marcelo Laia]

Ola,

Estou configurando algumas regras IPTABLES, com base no farto material
que encontrei na internet, e estou com umas duvidas.

Eu peguei varios scripts e fui montando o meu.

Agora, estou com uma duvida, pois o modelo que estou seguindo diz para
usar a seguinte regra:

#  verificar os serviços em execuçao com o comando nmap localhost e
# nmap -sU localhost e habilita-los conforme abaixo

iptables -A INPUT -p tcp -m multiport --dports
21,22,80,111,113,139,445 -j ACCEPT

iptables -A INPUT -p udp -m multiport --dports 111,137,138 -j ACCEPT

No meu caso, os comandos acima retornaram:

$ nmap localhost

Starting Nmap 4.62 ( http://nmap.org ) at 2009-02-03 23:15 BRST
Interesting ports on localhost (127.0.0.1):
Not shown: 1708 closed ports
PORT STATE SERVICE
25/tcp   open  smtp
111/tcp  open  rpcbind
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
631/tcp  open  ipp
8118/tcp open  privoxy
9050/tcp open  tor-socks

$ sudo nmap -sU localhost

Starting Nmap 4.62 ( http://nmap.org ) at 2009-02-03 23:17 BRST
Interesting ports on localhost (127.0.0.1):
Not shown: 1481 closed ports
PORT STATE SERVICE
111/udp  open|filtered rpcbind
123/udp  open|filtered ntp
137/udp  open|filtered netbios-ns
138/udp  open|filtered netbios-dgm
631/udp  open|filtered unknown
858/udp  open|filtered unknown
5353/udp open|filtered zeroconf

Trata-se do meu laptop, portanto, muitos desses servicos eu nao tenho,
mas alguns sim, tenho.

Que eu saiba, eu utilizo o Tor com FoxyProxy (complemento do Firefox)
e, acredito, o smtp, pois eu configurei o exim para enviar emails pelo
gmail (smarthost).

No final, o script tem essa regra:

iptables -A INPUT -p tcp --syn -j DROP

Em sendo assim, pergunto:

Terei que liberar todas aquelas portas la em cima?

Muito obrigado

-- 
Marcelo Luiz de Laia
Jaboticabal - SP - Brazil

Please avoid sending me Word or PowerPoint attachments.
See:
http://www.gnu.org/philosophy/no-word-attachments.html
http://www.gnu.org/philosophy/no-word-attachments.pt-br.html


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: Firewall iptables

[Christian Lyra]

Oi,

O firewall está te dizendo exatamente o que está acontecendo :-). A 
tabela 
onde ele faz o tracking das conexões está cheia! coloque no seu script de 
firewall o seguinte:

echo "65535" > /proc/sys/net/ipv4/ip_conntrack_max

Isso vai deixar a tabela no tamanho máximo (4 vezes maior que o 
padrão!). Tem 
um patch tb que faz com que as entradas nessa tabela expirem mais 
rapidamente... mas eu não sei onde esse patch está (alquem sabe?)


On Wednesday 28 May 2003 11:49, Danilo Augusto wrote:
> Instalei um iptables e estou tendo problemas.
> Aparece a mensagem:
> ip_conntrack table is full
> packet is dropped
> Depois de um certo tempo acontece isso,alguem ja passou por isso?
>
-- 
Christian Lyra
POP-PR - RNP

http://lyra.soueu.com.br
http://wecanstopspam.org

  In the beginning was the Tao. The Tao gave birth to Space and Time. 
Therefore Space and Time are Yin and Yang of programming. 
The Tao Of Programing

Re: Firewall iptables

[Fabiano F. Siqueira]

Olá,

  Tem esse patch no patch-o-matic do iptables

Abraço

On Wed, 28 May 2003 12:29:21 -0300
Christian Lyra <[EMAIL PROTECTED]> wrote:

> Oi,
> 
>   O firewall está te dizendo exatamente o que está acontecendo :-). A 
> tabela 
> onde ele faz o tracking das conexões está cheia! coloque no seu script de 
> firewall o seguinte:
> 
> echo "65535" > /proc/sys/net/ipv4/ip_conntrack_max
> 
>   Isso vai deixar a tabela no tamanho máximo (4 vezes maior que o 
> padrão!). Tem 
> um patch tb que faz com que as entradas nessa tabela expirem mais 
> rapidamente... mas eu não sei onde esse patch está (alquem sabe?)
> 
> 
> On Wednesday 28 May 2003 11:49, Danilo Augusto wrote:
> > Instalei um iptables e estou tendo problemas.
> > Aparece a mensagem:
> > ip_conntrack table is full
> > packet is dropped
> > Depois de um certo tempo acontece isso,alguem ja passou por isso?
> >
> -- 
> Christian Lyra
> POP-PR - RNP
> 
> http://lyra.soueu.com.br
> http://wecanstopspam.org
> 
>   In the beginning was the Tao. The Tao gave birth to Space and Time. 
> Therefore Space and Time are Yin and Yang of programming. 
>   The Tao Of Programing
> 
> 
> -- 
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
> 


-- 
+--+
|  Fabiano F. Siqueira[EMAIL PROTECTED]  |
|  DN Conectividade   Analista de Suporte  |
+--+
|  Public GPG KeyID   0xC0AD7129   |
|  Keyserver  wwwkeys.eu.pgp.net   |
+--+


pgp6p5Q7igOti.pgp
Description: PGP signature

Re: firewall - iptables

[Eduardo Augusto Pinto]

Voce tem que colocar -p tcp 

EX:

Voce colocou assim : 

$IPTABLES -A INPUT -i eth0 -p $PROTO --dport 21 -j ACCEPT

tem que fazer assim:

$IPTABLES -A INPUT -i eth0 -p tcp $PROTO --dport 21 -j ACCEPT


---
Eduardo Augusto Pinto 
Linux User: #335173
Debian GNU/Linux
[EMAIL PROTECTED]


- Original Message - 
From: "Caio Ferreira" <[EMAIL PROTECTED]>
To: "debian-user-portuguese" 
Sent: Monday, April 26, 2004 5:42 PM
Subject: firewall - iptables


All

O script de firewall do gateway da rede de casa esta assim :

#!/bin/bash
 
   
IPTABLES=/sbin/iptables
 
   
# recover IPs
ETH0IP=`ifconfig eth0 | grep "inet addr:" | sed 's/.*inet addr://' |
cut -d ' ' -f 1`
ETH1IP=`ifconfig eth1 | grep "inet addr:" | sed 's/.*inet addr://' |
cut -d ' ' -f 1`
 
   
# clean all possible old mess
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
 
   
# masquerading
$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
 
   
# closing ALL INPUT
$IPTABLES -P INPUT DROP
 
   
# port forward
for PROTO in tcp udp ; do
# opening important ports
 
   
# ftp - for remote support
$IPTABLES -A INPUT -i eth0 -p $PROTO --dport 21 -j ACCEPT

done

Quando eu tento rodar o script aparece a seguinte mensagem de erro :

Bad argument `21'
Try `iptables -h' or 'iptables --help' for more information.

Eu chequei o comando e aparentemente esta correto. Alguem teria alguma
ideia do por que esta aparecendo essa mensagem de erro ?!?!?!?

Desde ja agradeco pela ajuda.

 
 .''`.   Caio Abreu Ferreira
: :'  :  GNU/Linux Debian
`. `'`   Gnupg ID 0x01186BE1
  `-

Firewall - Iptables - TCC

[Pedro -]

Pessoal,

Estou comecando a procurar artigos sobre firewall utilizando iptables 
´para fazer meu TCC, estou com um pouco de dificuldade para encontrar 
TCC's na area ja achei alguns mais preciso de mais fontes. Alguem sabe 
aonde posso buscar, tem alguma dica ou qualquer coisa que possa ajudar. 
Talvez alguma funcionalidade interessante que possa ser abordada no TCC 



Obrigado desde já.


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4db9591a.9010...@gmail.com

Problema - Firewall IPTABLES

[pedro almeida]

Pessoal,

Estou configurando um firewall na empresa e estou a procura de uma padrao
para poder configurar. Algumas dicas utilizadas, regras que necessitem estar
presente, algumas praticas utilizadas, como conexoes somente ja
estabelecidas, bloquei de syn flood.

Alguem poderia me dar uma ajuda e dicas.



Att,
Pedro

Re: Firewall - IPTables

[Eduardo Lagares]

Gustavo, 



Por acaso vc tem uma ACL para bloquear gateway.dll?



Quando o msn não consegue conectar pela 1863, ele vai pelo proxy.



Eduardo Lagares

--- Em qui, 27/11/08, Gustavo Goulart <[EMAIL PROTECTED]> escreveu:
De: Gustavo Goulart <[EMAIL PROTECTED]>
Assunto: Firewall - IPTables
Para: debian-user-portuguese@lists.debian.org
Data: Quinta-feira, 27 de Novembro de 2008, 16:17

 Olá lista,

   Estou precisando bloquear o MSN em minha rede a pedido dos donos da empresa,
tenho milhões de regras no squid para o bloqueio do mesmo e já uso a seguinte
regra no IPTables:

iptables -I FORWARD -s 192.168.0.0/25 -p tcp --dport 1863 -j DROP

 Mesmo assim o desgraçado continua funcionando, alguem poderia ajudar ?

Onde consigo um bom exemplo de firewalls com iptables para uma máquina com
3 placas de rede

  eth0 - wan
  eth1 - dnz
  eth2 - lan

Agradeço ajudas .



##
# Gustavo V. Goulart #
# Rio de Janeiro - RJ#
# Linux Debian Etch  #
##


  Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]




  Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com

Re: Firewall - IPTables

[Thiago Silveira Alexandre]

da uma pesquisada no layer 7

2008/11/27 Eduardo Lagares <[EMAIL PROTECTED]>

> Gustavo,
>
> Por acaso vc tem uma ACL para bloquear gateway.dll?
>
> Quando o msn não consegue conectar pela 1863, ele vai pelo proxy.
>
> Eduardo Lagares
>
> --- Em *qui, 27/11/08, Gustavo Goulart <[EMAIL PROTECTED]>*escreveu:
>
> De: Gustavo Goulart <[EMAIL PROTECTED]>
> Assunto: Firewall - IPTables
> Para: debian-user-portuguese@lists.debian.org
> Data: Quinta-feira, 27 de Novembro de 2008, 16:17
>
>
>  Olá lista,
>
>Estou precisando bloquear o MSN em minha rede a pedido dos donos da 
> empresa,
> tenho milhões de regras no squid para o bloqueio do mesmo e já uso a seguinte
> regra no IPTables:
>
> iptables -I FORWARD -s 192.168.0.0/25 -p tcp --dport 1863 -j DROP
>
>  Mesmo assim o desgraçado continua funcionando, alguem poderia ajudar ?
>
> Onde consigo um bom exemplo de firewalls com iptables para uma máquina com
> 3 placas de rede
>
>   eth0 - wan
>   eth1 - dnz
>   eth2 -
>  lan
>
> Agradeço ajudas .
>
>
>
> ##
> # Gustavo V. Goulart #
> # Rio de Janeiro - RJ#
> # Linux Debian Etch  #
> ##
>
>
>   Veja quais são os assuntos do momento no Yahoo! +Buscados
> http://br.maisbuscados.yahoo.com
>
>
> --
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact
> [EMAIL PROTECTED]
>
>
> --
> Veja quais são os assuntos do momento no Yahoo! + Buscados: Top 
> 10<http://br.rd.yahoo.com/mail/taglines/mail/*http://br.maisbuscados.yahoo.com/>-
> Celebridades<http://br.rd.yahoo.com/mail/taglines/mail/*http://br.maisbuscados.yahoo.com/celebridades/>-
> Música<http://br.rd.yahoo.com/mail/taglines/mail/*http://br.maisbuscados.yahoo.com/m%C3%BAsica/>-
> Esportes<http://br.rd.yahoo.com/mail/taglines/mail/*http://br.maisbuscados.yahoo.com/esportes/>
>



-- 
Thiago Silveira Alexandre

Re: Firewall - IPTables

[Flávio R. Lopes]

Ola Gustavo
Cara sofri no começo, mas num é só essa porta pra barrar o MSNtem um 
porrada de sites onde eles ficam hospedando os servidores para 
autenticação dos usuarios.
Eu criei uma solução (alguns Scripts) que se utilizam da ferramenta 
"nslookup" para localizar os IP's dos Servidores, filtra-los e incluir 
estes IP's que foram pegos no meu Firewall negando (DROP) o acesso a eles:


"iptables -A FORWARD -s ip_da_estacao -d ip_capturado -j DROP"

Experimente o seguinte comando: "nslookup www.hotmail.com"

Vc notará que aparecerá alguns Ip's. São a eles que eu bloqueei o acesso.
No caso da regra acima eu faço o bloqueio por estações. Nada impede de 
vc ajudar isso para toda sua rede ou por "range" de Ip's.




Gustavo Goulart escreveu:

 Olá lista,

   Estou precisando bloquear o MSN em minha rede a pedido dos donos da empresa, 
tenho milhões de regras no squid para o bloqueio do mesmo e já uso a seguinte 
regra no IPTables:

iptables -I FORWARD -s 192.168.0.0/25 -p tcp --dport 1863 -j DROP

 Mesmo assim o desgraçado continua funcionando, alguem poderia ajudar ?

Onde consigo um bom exemplo de firewalls com iptables para uma máquina com 
3 placas de rede

  eth0 - wan
  eth1 - dnz
  eth2 - lan

Agradeço ajudas .



##
# Gustavo V. Goulart #
# Rio de Janeiro - RJ#
# Linux Debian Etch  #
##


  Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com


  



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

RE: Firewall - IPTables

[Jef Lui]

 
 
Pelo squid é moleza, se colocar "login.live" na lista de sites bloqueados, o 
msn não vai autenticar e obviamente bloqueia também o hotmail.
Jeflui.> Date: Fri, 28 Nov 2008 09:19:22 -0200> From: [EMAIL PROTECTED]> CC: 
debian-user-portuguese@lists.debian.org> Subject: Re: Firewall - IPTables> To: 
debian-user-portuguese@lists.debian.org> > Ola Gustavo> Cara sofri no começo, 
mas num é só essa porta pra barrar o MSNtem um > porrada de sites onde eles 
ficam hospedando os servidores para > autenticação dos usuarios.> Eu criei uma 
solução (alguns Scripts) que se utilizam da ferramenta > "nslookup" para 
localizar os IP's dos Servidores, filtra-los e incluir > estes IP's que foram 
pegos no meu Firewall negando (DROP) o acesso a eles:> > "iptables -A FORWARD 
-s ip_da_estacao -d ip_capturado -j DROP"> > Experimente o seguinte comando: 
"nslookup www.hotmail.com"> > Vc notará que aparecerá alguns Ip's. São a eles 
que eu bloqueei o acesso.> No caso da regra acima eu faço o bloqueio por 
estações. Nada impede de > vc ajudar isso para toda sua rede ou por "range" de 
Ip's.> > > > Gustavo Goulart escreveu:> > Olá lista,> >> > Estou precisando 
bloquear o MSN em minha rede a pedido dos donos da empresa, tenho milhões de 
regras no squid para o bloqueio do mesmo e já uso a seguinte regra no 
IPTables:> >> > iptables -I FORWARD -s 192.168.0.0/25 -p tcp --dport 1863 -j 
DROP> >> > Mesmo assim o desgraçado continua funcionando, alguem poderia ajudar 
?> >> > Onde consigo um bom exemplo de firewalls com iptables para uma máquina 
com 3 placas de rede> >> > eth0 - wan> > eth1 - dnz> > eth2 - lan> 
>> > Agradeço ajudas .> >> >> >> > ##> > # 
Gustavo V. Goulart #> > # Rio de Janeiro - RJ #> > # Linux Debian Etch #> > 
##> >> >> > Veja quais são os assuntos do momento 
no Yahoo! +Buscados> > http://br.maisbuscados.yahoo.com> >> >> > > > > -- > To 
UNSUBSCRIBE, email to [EMAIL PROTECTED]> with a subject of "unsubscribe". 
Trouble? Contact [EMAIL PROTECTED]> 
_
Conheça o Windows Live Spaces, a rede de relacionamentos do Messenger!
http://www.amigosdomessenger.com.br/

Re: Firewall - IPTables

[jmhenrique]

On Friday 28 November 2008 14:26:42 Jef Lui wrote:
> Pelo squid é moleza, se colocar "login.live" na lista de sites bloqueados,
> o msn não vai autenticar e obviamente bloqueia também o hotmail. Jeflui.>
> Date: Fri, 28 Nov 2008 09:19:22 -0200> From: [EMAIL PROTECTED]>
> CC: debian-user-portuguese@lists.debian.org> Subject: Re: Firewall -
> IPTables> To: debian-user-portuguese@lists.debian.org> > Ola Gustavo> Cara
> sofri no começo, mas num é só essa porta pra barrar o MSNtem um >
> porrada de sites onde eles ficam hospedando os servidores para >
> autenticação dos usuarios.> Eu criei uma solução (alguns Scripts) que se
> utilizam da ferramenta > "nslookup" para localizar os IP's dos Servidores,
> filtra-los e incluir > estes IP's que foram pegos no meu Firewall negando
> (DROP) o acesso a eles:> > "iptables -A FORWARD -s ip_da_estacao -d
> ip_capturado -j DROP"> > Experimente o seguinte comando: "nslookup
> www.hotmail.com"> > Vc notará que aparecerá alguns Ip's. São a eles que eu
> bloqueei o acesso.> No caso da regra acima eu faço o bloqueio por estações.
> Nada impede de > vc ajudar isso para toda sua rede ou por "range" de Ip's.>
> > > > Gustavo Goulart escreveu:> > Olá lista,> >> > Estou precisando
> bloquear o MSN em minha rede a pedido dos donos da empresa, tenho milhões
> de regras no squid para o bloqueio do mesmo e já uso a seguinte regra no
> IPTables:> >> > iptables -I FORWARD -s 192.168.0.0/25 -p tcp --dport 1863
> -j DROP> >> > Mesmo assim o desgraçado continua funcionando, alguem poderia
> ajudar ?> >> > Onde consigo um bom exemplo de firewalls com iptables para
> uma máquina com 3 placas de rede> >> > eth0 - wan> > eth1 - dnz> >
> eth2 - lan> >> > Agradeço ajudas .> >> >> >> >
> ##> > # Gustavo V. Goulart #> > # Rio de

Olá. 

aqui tem uma boa lista para um bloqueio mais seletivo e eficiente do msn.

http://support.microsoft.com/kb/927847/pt

[ ]s, Henry.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Firewall - IPTables

[Rafael]

Bom na minha rede tenho um proxy/firewall com squid e iptables
bloqueio o msn da seguinte forma
no squid
acl msn_web url_regex webmessenger.msn.com
acl msn url_regex -i /gateway/gateway.dll imagine-msn.com/messenger
ADSAdClient31.dll imagine-msn.com/messenger rad.msn.com gateway.dll
messenger.msn.com login.passport.net login.passport.com
loginnet.msn.com hotmail.msn.com e-messenger.net loginnet.passport.com
login.hotmail.com messenger.hotmail.com rad.msn.com ak.englishtonw.com
c.msn.com storage.msn.com cp.inil.match.com

http_access deny msn_web
http_access deny msn

e no firewall

#Bloqueando o MSN Messenger
iptables -A INPUT -s 192.168.5.0/24 -p tcp -d 1863 -j DROP
iptables -A FORWARD -s 192.168.5.0/24 -p tcp -d 1863 -j DROP

no fim do script do firewall vai essa aqui assim só vai liberar o q
seu firewall estiver liberando e bloqueara o resto sendo assim vai ter
q liberar tudo na mão como a porta 3128 do squid caso tenha o apache
instalado liberar a porta 80

#Garante que o FIREWALL permitira apenas pacotes de conexões, já
iniciadas
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Firewall IPTABLES

[Fabiano Pires]

On Tue, Feb 3, 2009 at 11:45 PM, Marcelo Laia  wrote:

> Ola,
>
> Estou configurando algumas regras IPTABLES, com base no farto material
> que encontrei na internet, e estou com umas duvidas.
>
> Eu peguei varios scripts e fui montando o meu.
>

Use os scripts como base, mas APRENDA iptables. Saiba o que você está
fazendo ... Muita informação na internet está simplesmente errada ...

Agora, estou com uma duvida, pois o modelo que estou seguindo diz para
> usar a seguinte regra:
>
> #  verificar os serviços em execuçao com o comando nmap localhost e
> # nmap -sU localhost e habilita-los conforme abaixo
>
> iptables -A INPUT -p tcp -m multiport --dports
> 21,22,80,111,113,139,445 -j ACCEPT
>
> iptables -A INPUT -p udp -m multiport --dports 111,137,138 -j ACCEPT
>
> No meu caso, os comandos acima retornaram:
>
> $ nmap localhost
>
> Starting Nmap 4.62 ( http://nmap.org ) at 2009-02-03 23:15 BRST
> Interesting ports on localhost (127.0.0.1):
> Not shown: 1708 closed ports
> PORT STATE SERVICE
> 25/tcp   open  smtp
> 111/tcp  open  rpcbind
> 139/tcp  open  netbios-ssn
> 445/tcp  open  microsoft-ds
> 631/tcp  open  ipp
> 8118/tcp open  privoxy
> 9050/tcp open  tor-socks
>
> $ sudo nmap -sU localhost
>
> Starting Nmap 4.62 ( http://nmap.org ) at 2009-02-03 23:17 BRST
> Interesting ports on localhost (127.0.0.1):
> Not shown: 1481 closed ports
> PORT STATE SERVICE
> 111/udp  open|filtered rpcbind
> 123/udp  open|filtered ntp
> 137/udp  open|filtered netbios-ns
> 138/udp  open|filtered netbios-dgm
> 631/udp  open|filtered unknown
> 858/udp  open|filtered unknown
> 5353/udp open|filtered zeroconf
>
> Trata-se do meu laptop, portanto, muitos desses servicos eu nao tenho,
> mas alguns sim, tenho.
>

Se você executou o nmap no seu note e ele retornou isso, então vc tem todos
esses serviços no notebook (talvez não saiba de alguns, mas estão todos lá
...)


>
> Que eu saiba, eu utilizo o Tor com FoxyProxy (complemento do Firefox)
> e, acredito, o smtp, pois eu configurei o exim para enviar emails pelo
> gmail (smarthost).
>

Quanto as portas, vamos lá:
111: portmap (vc utiliza NFS?)
123: NTP
137/138/139/445: samba
631: cups (sistema de impressão)
8118: privoxy
9050: tor
5353: zeroconf (configurações de rede)

Desconheço o serviço da porta 858. Execute o comando

fuser -vn udp 858

para descobrir qual o programa associado a essa porta.



> No final, o script tem essa regra:
>
> iptables -A INPUT -p tcp --syn -j DROP
>
> Em sendo assim, pergunto:
>
> Terei que liberar todas aquelas portas la em cima?
>

Depende da configuração do resto do script. Talvez tenha de liberar nem que
seja para localhost, ou algo vai quebrar ...


>
> Muito obrigado
>

De nada.


>
> --
> Marcelo Luiz de Laia
> Jaboticabal - SP - Brazil
>
> --
Fabiano Pires
LPIC-2
http://pragasdigitais.blogspot.com/
Livrando você da escória da Internet!

Re: Firewall IPTABLES

[Allison Vollmann]

Em 4/2/2009 01:56, Fabiano Pires escreveu:
On Tue, Feb 3, 2009 at 11:45 PM, Marcelo Laia > wrote:


Ola,

Estou configurando algumas regras IPTABLES, com base no farto material
que encontrei na internet, e estou com umas duvidas.

Eu peguei varios scripts e fui montando o meu.


Use os scripts como base, mas APRENDA iptables. Saiba o que você está 
fazendo ... Muita informação na internet está simplesmente errada ...


Agora, estou com uma duvida, pois o modelo que estou seguindo diz para
usar a seguinte regra:

#  verificar os serviços em execuçao com o comando nmap localhost e
# nmap -sU localhost e habilita-los conforme abaixo

iptables -A INPUT -p tcp -m multiport --dports
21,22,80,111,113,139,445 -j ACCEPT

iptables -A INPUT -p udp -m multiport --dports 111,137,138 -j ACCEPT

No meu caso, os comandos acima retornaram:

$ nmap localhost

Starting Nmap 4.62 ( http://nmap.org ) at 2009-02-03 23:15 BRST
Interesting ports on localhost (127.0.0.1):
Not shown: 1708 closed ports
PORT STATE SERVICE
25/tcp   open  smtp
111/tcp  open  rpcbind
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
631/tcp  open  ipp
8118/tcp open  privoxy
9050/tcp open  tor-socks

$ sudo nmap -sU localhost

Starting Nmap 4.62 ( http://nmap.org ) at 2009-02-03 23:17 BRST
Interesting ports on localhost (127.0.0.1):
Not shown: 1481 closed ports
PORT STATE SERVICE
111/udp  open|filtered rpcbind
123/udp  open|filtered ntp
137/udp  open|filtered netbios-ns
138/udp  open|filtered netbios-dgm
631/udp  open|filtered unknown
858/udp  open|filtered unknown
5353/udp open|filtered zeroconf

Trata-se do meu laptop, portanto, muitos desses servicos eu nao tenho,
mas alguns sim, tenho.


Se você executou o nmap no seu note e ele retornou isso, então vc tem 
todos esses serviços no notebook (talvez não saiba de alguns, mas 
estão todos lá ...)



Que eu saiba, eu utilizo o Tor com FoxyProxy (complemento do Firefox)
e, acredito, o smtp, pois eu configurei o exim para enviar emails pelo
gmail (smarthost).


Quanto as portas, vamos lá:
111: portmap (vc utiliza NFS?)
123: NTP
137/138/139/445: samba
631: cups (sistema de impressão)
8118: privoxy
9050: tor
5353: zeroconf (configurações de rede)

Desconheço o serviço da porta 858. Execute o comando

fuser -vn udp 858

para descobrir qual o programa associado a essa porta.



No final, o script tem essa regra:

iptables -A INPUT -p tcp --syn -j DROP

Em sendo assim, pergunto:

Terei que liberar todas aquelas portas la em cima?


Depende da configuração do resto do script. Talvez tenha de liberar 
nem que seja para localhost, ou algo vai quebrar ...



Muito obrigado


De nada.


--
Marcelo Luiz de Laia
Jaboticabal - SP - Brazil

--
Fabiano Pires
LPIC-2
http://pragasdigitais.blogspot.com/
Livrando você da escória da Internet!


Isso depende da sua politica de firewall, neste caso para a tabela 
filter, por padrão ele tem a política ACCEPT ou seja ele vai aceitar 
tudo o que você não bloqueia, se você usar a política DROP, ele vai 
bloquear tudo e deixar passar somente o que você especifica.


Para definir o policiamento basta utilizar o argumento P seguido da 
regra desejada, ie:


# iptables -t filter -P INPUT ACCEPT  [ ou DROP ]

Por padrão o policy é ACCEPT então você não precisa liberar as portas 
pois já estão liberadas. ( se você quer mais segurança use o 
policiamento DROP para rejeitar tudo e liberar somente o necessário, 
assim se tiver algum serviço malicioso na maquina ele terá mais 
obstáculos para causar um problema )


A[]'s


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Administrar firewall (IPtables) remotamente

[lobosamurai]

Pessoal,

Quero criar um sistema de
administração remota de firewall via Web.

É o seguinte:
No servidor possui Apache+PHP e banco
de dados Firebird com informações
sobre IP de computadores e quero
administrar o firewall remotamente (é
um bridge+iptables sem monitor/sem
teclado) através do site deste
servidor dando permissão para
ativar/desativar acesso à Internet aos
IP's das máquinas.
Como é que posso fazer o servidor
conectar ao bridge remotamente e
manipular permissão de acesso com
iptables?

Você conhece alguns jeitos ou tem
outra alternativa ou precisa de
algumas programas ou utilitários para
intermediar comunicação/conexão entre
servidor Apache+PHP e bridge?

Na falta deste, ainda uso conexão SSH
e aplico manualmente regras do
IPTables. As coisas têm que ser
administrada de forma interativa. Taí
o uso de Web no lugar citado.

Agradeço quem me ajudar,

Cláudio Juliano
"Matrix rulez
- He's back, Mr. Smith!
- Oh, no!"
[EMAIL PROTECTED]


__
Seleção de Softwares UOL.
10 softwares escolhidos pelo UOL para você e sua família.
http://www.uol.com.br/selecao

Virtualização de Firewall IPtables

[Anacleto Junior]

Bom dia colegas da Lista,


Aqui onde trabalho estamos planejando a migração do iptables para uma
máquina virtual (VirtualBox) como objetivo de liberar a máquina física para
um serviço mais exigente e também atualização do sistema operacional (vamos
por o Lenny).

Algumas dúvidas me surgiram quanto à isso, já que sou o "Linux Guy" do
departamento, eu que vou ter que fazer isso. Aqui vão elas:


   - Na situação atual, meu firewall tem 2 placas de rede, uma local (ex:
   faixa 192) e uma WAN (ex faixa 10). Como devo configurar no VirtualBox o uso
   dessas placas? Seria melhor criar alias para as interfaces?
   - Nesta mesma máquina virtual, imaginei colocar o Squid também. Quais
   problemas eu enfrentaria colocando o proxy junto ao firewall virtualizado?
   Seria melhor isolar?

Quem puder me ajudar eu agradeço.

-- 
Anacleto Júnior
Linux User: #447388
http://www.anacletojr.info

Re: Firewall - Iptables - TCC

[paulo bruck]

Em 28 de abril de 2011 09:10, Pedro -  escreveu:

> Pessoal,
>
> Estou comecando a procurar artigos sobre firewall utilizando iptables ´para
> fazer meu TCC, estou com um pouco de dificuldade para encontrar TCC's na
> area ja achei alguns mais preciso de mais fontes. Alguem sabe aonde posso
> buscar, tem alguma dica ou qualquer coisa que possa ajudar. Talvez alguma
> funcionalidade interessante que possa ser abordada no TCC 
>


que tal na propria fonte??
http://netfilter.org

lá tem MUITA doc sobre o iptables80)

[]s

Obrigado desde já.
>

>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/4db9591a.9010...@gmail.com
>
>

Re: Firewall - Iptables - TCC

[Thiago Henrique]

Cara, não procurei sobre este assunto lá, mas, será que o site 
zemoleza.com não tem?


Dá uma olhada lá, é bem possível que tenha.

PS.: A Muitos professores olham se seu TCC não foi copiado deste site, 
então, nada de imprimir um trabalho já feito hein! =)


Em 28-04-2011 09:24, paulo bruck escreveu:



Em 28 de abril de 2011 09:10, Pedro - > escreveu:


Pessoal,

Estou comecando a procurar artigos sobre firewall utilizando
iptables ´para fazer meu TCC, estou com um pouco de dificuldade
para encontrar TCC's na area ja achei alguns mais preciso de mais
fontes. Alguem sabe aonde posso buscar, tem alguma dica ou
qualquer coisa que possa ajudar. Talvez alguma funcionalidade
interessante que possa ser abordada no TCC 



que tal na propria fonte??
http://netfilter.org

lá tem MUITA doc sobre o iptables80)

[]s

Obrigado desde já.



-- 
To UNSUBSCRIBE, email to

debian-user-portuguese-requ...@lists.debian.org

with a subject of "unsubscribe". Trouble? Contact
listmas...@lists.debian.org 
Archive: http://lists.debian.org/4db9591a.9010...@gmail.com

Re: Firewall - Iptables - TCC

[Alexandre Pereira Bühler]

http://www.netfilter.org/documentation/index.html
http://pt.wikipedia.org/wiki/Netfilter
http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htm
http://www.4shared.com/document/AxONbt9V/Tcc_-_Seguranca_Em_Redes_Linux.html
http://www.trabalhosfeitos.com/ensaios/Tcc-Seguranca-Em-Redes-Linux/7614.html
Procure por roteamento avançado com múltiplos links ou roteamento 
avançado com balanceamento de carga.
Com o iptables e mais algumas configurações consegui colocar dois links 
de internet no mesmo firewall de forma que tudo que fosse (terminal 
service porta /3389/) saísse pelo link A e o resto pelo link B.
Como você sabe, se simplesmente ligasse os dois links no firewall tudo 
sairia somente por um deles. Eu precisava de um link somente para o 
terminal service, mas deixar minha intranet e dmz atrás do mesmo firewall.

Acho um assunto interessante.





Em 28/04/2011 09:10, Pedro - escreveu:

Pessoal,

Estou comecando a procurar artigos sobre firewall utilizando iptables 
´para fazer meu TCC, estou com um pouco de dificuldade para encontrar 
TCC's na area ja achei alguns mais preciso de mais fontes. Alguem sabe 
aonde posso buscar, tem alguma dica ou qualquer coisa que possa 
ajudar. Talvez alguma funcionalidade interessante que possa ser 
abordada no TCC 



Obrigado desde já.





--
Alexandre Pereira Bühler
Técnico Eletroeletrônica - Senai - MG
Linux User: 397.546
Colunista: www.delphisophp.com
Owner: http://br.groups.yahoo.com/group/freepascal/
Liberdade é essencial. Use GNU/Linux.
Legalize os softwares de sua empresa

Simão&   Bühler Ltda (Infobrindes)
Instalação, manutenção, venda de servidores e computadores com GNU/Linux.
http://www.simaoebuhler.com.br
Hardware! Acesse, veja e tenha produtos com qualidade, garantia e nota fiscal.
http://www.simaoebuhler.com.br/loja
alexan...@simaoebuhler.com.br
Telefone: (41) 3538-5428

Infobrindes (Simão&   Bühler Ltda)
Brindes e material promocional.
http://www.infobrindes.com.br
alexan...@infobrindes.com.br
Telefone: (41) 3532-5428

Re: Firewall - Iptables - TCC

[Alexandre Pereira Bühler]

Esqueci de uma coisa. Muita gente acha que iptables e netfilter é a 
mesma coisa, mas não é.

Coloque esta diferença no seu tcc.


Em 28/04/2011 09:10, Pedro - escreveu:

Pessoal,

Estou comecando a procurar artigos sobre firewall utilizando iptables 
´para fazer meu TCC, estou com um pouco de dificuldade para encontrar 
TCC's na area ja achei alguns mais preciso de mais fontes. Alguem sabe 
aonde posso buscar, tem alguma dica ou qualquer coisa que possa 
ajudar. Talvez alguma funcionalidade interessante que possa ser 
abordada no TCC 



Obrigado desde já.





--
Alexandre Pereira Bühler
Técnico Eletroeletrônica - Senai - MG
Linux User: 397.546
Colunista: www.delphisophp.com
Owner: http://br.groups.yahoo.com/group/freepascal/
Liberdade é essencial. Use GNU/Linux.
Legalize os softwares de sua empresa

Simão&   Bühler Ltda (Infobrindes)
Instalação, manutenção, venda de servidores e computadores com GNU/Linux.
http://www.simaoebuhler.com.br
Hardware! Acesse, veja e tenha produtos com qualidade, garantia e nota fiscal.
http://www.simaoebuhler.com.br/loja
alexan...@simaoebuhler.com.br
Telefone: (41) 3538-5428

Infobrindes (Simão&   Bühler Ltda)
Brindes e material promocional.
http://www.infobrindes.com.br
alexan...@infobrindes.com.br
Telefone: (41) 3532-5428



--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4db973fd.10...@simaoebuhler.com.br

Re: Firewall - Iptables - TCC

[pedro almeida]

Pessoal,

Obrigado pela ajuda, estou procurando um problema para inserir o iptables.
Talvez ele com mais algo IDS ou n sei...
Está parte está pegando estou com algumas ideias mais esta meio complicado
escolher...Aceito sugestoes.

Alexandre achei bem interessante a sua ideia. Vou pesquisar.

Em 28 de abril de 2011 11:04, Alexandre Pereira Bühler <
alexan...@simaoebuhler.com.br> escreveu:

> Esqueci de uma coisa. Muita gente acha que iptables e netfilter é a mesma
> coisa, mas não é.
> Coloque esta diferença no seu tcc.
>
>
>
> Em 28/04/2011 09:10, Pedro - escreveu:
>
>> Pessoal,
>>
>>
>> Estou comecando a procurar artigos sobre firewall utilizando iptables
>> ´para fazer meu TCC, estou com um pouco de dificuldade para encontrar TCC's
>> na area ja achei alguns mais preciso de mais fontes. Alguem sabe aonde posso
>> buscar, tem alguma dica ou qualquer coisa que possa ajudar. Talvez alguma
>> funcionalidade interessante que possa ser abordada no TCC 
>>
>>
>> Obrigado desde já.
>>
>>
>>
>
> --
> Alexandre Pereira Bühler
> Técnico Eletroeletrônica - Senai - MG
> Linux User: 397.546
> Colunista: www.delphisophp.com
> Owner: http://br.groups.yahoo.com/group/freepascal/
> Liberdade é essencial. Use GNU/Linux.
> Legalize os softwares de sua empresa
>
> Simão&   Bühler Ltda (Infobrindes)
> Instalação, manutenção, venda de servidores e computadores com GNU/Linux.
> http://www.simaoebuhler.com.br
> Hardware! Acesse, veja e tenha produtos com qualidade, garantia e nota
> fiscal.
> http://www.simaoebuhler.com.br/loja
> alexan...@simaoebuhler.com.br
> Telefone: (41) 3538-5428
>
> Infobrindes (Simão&   Bühler Ltda)
> Brindes e material promocional.
> http://www.infobrindes.com.br
> alexan...@infobrindes.com.br
> Telefone: (41) 3532-5428
>
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/4db973fd.10...@simaoebuhler.com.br
>
>

Re: Firewall - Iptables - TCC

[Sandro Wambier]

Olá Pedro!

Um assunto interessante também é firewall na camada de aplicação, procure
por Iptables Layer 7

Abraço.

Sandro

Em 28 de abril de 2011 19:49, pedro almeida escreveu:

> Pessoal,
>
> Obrigado pela ajuda, estou procurando um problema para inserir o iptables.
> Talvez ele com mais algo IDS ou n sei...
> Está parte está pegando estou com algumas ideias mais esta meio complicado
> escolher...Aceito sugestoes.
>
> Alexandre achei bem interessante a sua ideia. Vou pesquisar.
>
> Em 28 de abril de 2011 11:04, Alexandre Pereira Bühler <
> alexan...@simaoebuhler.com.br> escreveu:
>
> Esqueci de uma coisa. Muita gente acha que iptables e netfilter é a mesma
>> coisa, mas não é.
>> Coloque esta diferença no seu tcc.
>>
>>
>>
>> Em 28/04/2011 09:10, Pedro - escreveu:
>>
>>> Pessoal,
>>>
>>>
>>> Estou comecando a procurar artigos sobre firewall utilizando iptables
>>> ´para fazer meu TCC, estou com um pouco de dificuldade para encontrar TCC's
>>> na area ja achei alguns mais preciso de mais fontes. Alguem sabe aonde posso
>>> buscar, tem alguma dica ou qualquer coisa que possa ajudar. Talvez alguma
>>> funcionalidade interessante que possa ser abordada no TCC 
>>>
>>>
>>> Obrigado desde já.
>>>
>>>
>>>
>>
>> --
>> Alexandre Pereira Bühler
>> Técnico Eletroeletrônica - Senai - MG
>> Linux User: 397.546
>> Colunista: www.delphisophp.com
>> Owner: http://br.groups.yahoo.com/group/freepascal/
>> Liberdade é essencial. Use GNU/Linux.
>> Legalize os softwares de sua empresa
>>
>> Simão&   Bühler Ltda (Infobrindes)
>> Instalação, manutenção, venda de servidores e computadores com GNU/Linux.
>> http://www.simaoebuhler.com.br
>> Hardware! Acesse, veja e tenha produtos com qualidade, garantia e nota
>> fiscal.
>> http://www.simaoebuhler.com.br/loja
>> alexan...@simaoebuhler.com.br
>> Telefone: (41) 3538-5428
>>
>> Infobrindes (Simão&   Bühler Ltda)
>> Brindes e material promocional.
>> http://www.infobrindes.com.br
>> alexan...@infobrindes.com.br
>> Telefone: (41) 3532-5428
>>
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmas...@lists.debian.org
>> Archive: http://lists.debian.org/4db973fd.10...@simaoebuhler.com.br
>>
>>
>


-- 
*Wambier.net - Tecnologia e Serviços*
*Be free, use Linux*

Re: Firewall - Iptables - TCC

[Rafael Henrique da Silva Correia]

Boa noite Pedro...

Meu tcc será baseado em Firewalls distribuídos, também utilizando 
Iptables veja mais no meu blog...


http://abraseucodigo.blogspot.com/2011/03/firewalls-distribuidos.html

Se interessar me contate pois tenho material sobre o assunto :D
Logo (quando me sobrar tempo) postarei mais coisas sobre Firewalls 
distribuídos no meu blog.


Flw!
Espero que te dê uma luz! :D


Em 28-04-2011 19:49, pedro almeida escreveu:

Pessoal,

Obrigado pela ajuda, estou procurando um problema para inserir o 
iptables. Talvez ele com mais algo IDS ou n sei...
Está parte está pegando estou com algumas ideias mais esta meio 
complicado escolher...Aceito sugestoes.


Alexandre achei bem interessante a sua ideia. Vou pesquisar.

Em 28 de abril de 2011 11:04, Alexandre Pereira Bühler 
mailto:alexan...@simaoebuhler.com.br>> 
escreveu:


Esqueci de uma coisa. Muita gente acha que iptables e netfilter é
a mesma coisa, mas não é.
Coloque esta diferença no seu tcc.



Em 28/04/2011 09:10, Pedro - escreveu:

Pessoal,


Estou comecando a procurar artigos sobre firewall utilizando
iptables ´para fazer meu TCC, estou com um pouco de
dificuldade para encontrar TCC's na area ja achei alguns mais
preciso de mais fontes. Alguem sabe aonde posso buscar, tem
alguma dica ou qualquer coisa que possa ajudar. Talvez alguma
funcionalidade interessante que possa ser abordada no TCC 


Obrigado desde já.




-- 
Alexandre Pereira Bühler

Técnico Eletroeletrônica - Senai - MG
Linux User: 397.546
Colunista: www.delphisophp.com 
Owner: http://br.groups.yahoo.com/group/freepascal/
Liberdade é essencial. Use GNU/Linux.
Legalize os softwares de sua empresa

Simão&   Bühler Ltda (Infobrindes)
Instalação, manutenção, venda de servidores e computadores com
GNU/Linux.
http://www.simaoebuhler.com.br
Hardware! Acesse, veja e tenha produtos com qualidade, garantia e
nota fiscal.
http://www.simaoebuhler.com.br/loja
alexan...@simaoebuhler.com.br 
Telefone: (41) 3538-5428

Infobrindes (Simão&   Bühler Ltda)
Brindes e material promocional.
http://www.infobrindes.com.br
alexan...@infobrindes.com.br 
Telefone: (41) 3532-5428



-- 
To UNSUBSCRIBE, email to

debian-user-portuguese-requ...@lists.debian.org

with a subject of "unsubscribe". Trouble? Contact
listmas...@lists.debian.org 
Archive: http://lists.debian.org/4db973fd.10...@simaoebuhler.com.br





--
Rafael Henrique da Silva Correia
http://abraseucodigo.blogspot.com

Administrador de Sistemas Linux
Certificado pela LPIC - 101
ID: LPI000160699

Res: Firewall - Iptables - TCC

[Anacleto Pavão]

Caro Alexandre.


De uma olhadinha em um livro:

Titulo: Dominando Linux Firewall Iptables
Autor: Urubatan Neto.
Edição: Edito4ra Viência Moderna Ltda. 2004

Apesar de ser um livro técnico você irá encontrar bastante coisa interessante. 
Boa sorte.





De: Sandro Wambier 
Para: pedro almeida 
Cc: alexan...@simaoebuhler.com.br; debian-user-portuguese@lists.debian.org
Enviadas: Segunda-feira, 2 de Maio de 2011 14:32:26
Assunto: Re: Firewall - Iptables - TCC

Olá Pedro!

Um assunto interessante também é firewall na camada de aplicação, procure por 
Iptables Layer 7

Abraço.

Sandro 


Em 28 de abril de 2011 19:49, pedro almeida  escreveu:

Pessoal,
>
>Obrigado pela ajuda, estou procurando um problema para inserir o iptables. 
>Talvez ele com mais algo IDS ou n sei...
>Está parte está pegando estou com algumas ideias mais esta meio complicado 
>escolher...Aceito sugestoes. 
>
>
>Alexandre achei bem interessante a sua ideia. Vou pesquisar.
>
>
>Em 28 de abril de 2011 11:04, Alexandre Pereira Bühler 
> escreveu:
>
>
>Esqueci de uma coisa. Muita gente acha que iptables e netfilter é a mesma 
>coisa, 
>mas não é.
>>Coloque esta diferença no seu tcc.
>>
>>
>>
>>Em 28/04/2011 09:10, Pedro - escreveu:
>>
>>Pessoal,
>>>
>>>
>>>Estou comecando a procurar artigos sobre firewall utilizando iptables ´para 
>>>fazer meu TCC, estou com um pouco de dificuldade para encontrar TCC's na 
>>>area ja 
>>>achei alguns mais preciso de mais fontes. Alguem sabe aonde posso buscar, 
>>>tem 
>>>alguma dica ou qualquer coisa que possa ajudar. Talvez alguma funcionalidade 
>>>interessante que possa ser abordada no TCC 
>>>
>>>
>>>Obrigado desde já.
>>>
>>>
>>>
>
>
>-- 
>Alexandre Pereira Bühler
>Técnico Eletroeletrônica - Senai - MG
>Linux User: 397.546
>Colunista: www.delphisophp.com
>Owner: http://br.groups.yahoo.com/group/freepascal/
>Liberdade é essencial. Use GNU/Linux.
>Legalize os softwares de sua empresa
>
>Simão&   Bühler Ltda (Infobrindes)
>Instalação, manutenção, venda de servidores e computadores com GNU/Linux.
>http://www.simaoebuhler.com.br
>Hardware! Acesse, veja e tenha produtos com qualidade, garantia e nota fiscal.
>http://www.simaoebuhler.com.br/loja
>alexan...@simaoebuhler.com.br
>Telefone: (41) 3538-5428
>
>Infobrindes (Simão&   Bühler Ltda)
>Brindes e material promocional.
>http://www.infobrindes.com.br
>alexan...@infobrindes.com.br
>Telefone: (41) 3532-5428
>
>
>
>
>-- 
>To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
>
Archive: http://lists.debian.org/4db973fd.10...@simaoebuhler.com.br
>
>
>


-- 
Wambier.net - Tecnologia e Serviços
Be free, use Linux

Re: Problema - Firewall IPTABLES

[Eden Caldas]

Oi

Aqui tem exemplos e um script inicial.
http://linuxfacil.org/wiki/doku.php?id=referencia:iptables

Eden Caldas
Consultor de TI
e...@linuxfacil.srv.br
(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI


Em 26 de setembro de 2011 19:16, pedro almeida escreveu:

> Pessoal,
>
> Estou configurando um firewall na empresa e estou a procura de uma padrao
> para poder configurar. Algumas dicas utilizadas, regras que necessitem estar
> presente, algumas praticas utilizadas, como conexoes somente ja
> estabelecidas, bloquei de syn flood.
>
> Alguem poderia me dar uma ajuda e dicas.
>
>
>
> Att,
> Pedro
>

Re: Problema - Firewall IPTABLES

[paulo bruck]

Boa noite

Em 26 de setembro de 2011 19:16, pedro almeida escreveu:

> Pessoal,
>
> Estou configurando um firewall na empresa e estou a procura de uma padrao
> para poder configurar. Algumas dicas utilizadas, regras que necessitem estar
> presente, algumas praticas utilizadas, como conexoes somente ja
> estabelecidas, bloquei de syn flood.
>
> Alguem poderia me dar uma ajuda e dicas.
>
>
>
sim leia o melhor tutorial sobre iptables que eu já lí.

http://www.frozentux.net/documents/iptables-tutorial/

ats



>
> Att,
> Pedro
>

Ajuda com Firewall Iptables

[Adauto Serpa]

Boa tarde Pessoal,

Escrevi um script shell para Firewall com base na net
e ele está me atendendo bem para administração de
serviços internos, porém estou preocupado com a segurança dele externa.

Gostaria de saber se meu Firewall oferece um bom nível de proteção ou
o que falta nele para a administração interna e externa de serviços.

Segue em anexo minhas regras do iptables, obrigado.


-- 
Adauto Serpa
Tecnólogo em Informática
Jabber: [EMAIL PROTECTED]
Email:  [EMAIL PROTECTED]
MSN:   [EMAIL PROTECTED]


firewall
Description: Binary data

Re: Administrar firewall (IPtables) remotamente

[Danilo Augusto]

Será que o webmin nao te ajuda.

Em Seg, 2003-05-26 às 10:00, lobosamurai escreveu:
> Pessoal, 
> 
> Quero criar um sistema de
> administração remota de firewall via Web.
> 
> É o seguinte:
> No servidor possui Apache+PHP e banco
> de dados Firebird com informações
> sobre IP de computadores e quero
> administrar o firewall remotamente (é
> um bridge+iptables sem monitor/sem
> teclado) através do site deste
> servidor dando permissão para
> ativar/desativar acesso à Internet aos
> IP's das máquinas.
> Como é que posso fazer o servidor
> conectar ao bridge remotamente e
> manipular permissão de acesso com
> iptables?
> 
> Você conhece alguns jeitos ou tem
> outra alternativa ou precisa de
> algumas programas ou utilitários para
> intermediar comunicação/conexão entre
> servidor Apache+PHP e bridge?
> 
> Na falta deste, ainda uso conexão SSH
> e aplico manualmente regras do
> IPTables. As coisas têm que ser
> administrada de forma interativa. Taí
> o uso de Web no lugar citado.
> 
> Agradeço quem me ajudar,
> 
> Cláudio Juliano
> "Matrix rulez
> - He's back, Mr. Smith!
> - Oh, no!"
> [EMAIL PROTECTED]
> 
>  
> __
> Seleção de Softwares UOL.
> 10 softwares escolhidos pelo UOL para você e sua família.
> http://www.uol.com.br/selecao

Re: Administrar firewall (IPtables) remotamente

[lobosamurai]

Webmin não atende pois o modelo a
utilizar é contrário.
Tipo qualquer computador acessa
servidor web que este configura o
bridge remoto. então eu ou alguem
acessa qualquer pc via web e o
servidor conecta e configura o bridge.
Webmin seria servidor web que fica
dentro do bridge e é uma falha de
segurança. O que quero é o servidor
web comunicando com bridge remotamente.

> SerÃ&iexl; que o webmin nao te ajuda.
>
> Em Seg, 2003-05-26 Ã s 10:00, lobosamurai escreveu:
> > Pessoal,
> >
> > Quero criar um sistema de
> > administração remota de firewall via Web.
> >
> > É o seguinte:
> > No servidor possui Apache+PHP e banco
> > de dados Firebird com informações
> > sobre IP de computadores e quero
> > administrar o firewall remotamente (é
> > um bridge+iptables sem monitor/sem
> > teclado) através do site deste
> > servidor dando permissão para
> > ativar/desativar acesso à Internet aos
> > IP's das mÃ&iexl;quinas.
> > Como é que posso fazer o servidor
> > conectar ao bridge remotamente e
> > manipular permissão de acesso com
> > iptables?
> >
> > Você conhece alguns jeitos ou tem
> > outra alternativa ou precisa de
> > algumas programas ou utilitÃ&iexl;rios para
> > intermediar comunicação/conexão entre
> > servidor Apache+PHP e bridge?
> >
> > Na falta deste, ainda uso conexão SSH
> > e aplico manualmente regras do
> > IPTables. As coisas têm que ser
> > administrada de forma interativa. Taí
> > o uso de Web no lugar citado.
> >
> > Agradeço quem me ajudar,
> >
> > ClÃ&iexl;udio Juliano
> > "Matrix rulez
> > - He's back, Mr. Smith!
> > - Oh, no!"
> > [EMAIL PROTECTED]
> >
> >
> > __
> > Seleção de Softwares UOL.
> > 10 softwares escolhidos pelo UOL para você e sua família.
> > http://www.uol.com.br/selecao
>
>
>
> --
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
>
>


__
Seleção de Softwares UOL.
10 softwares escolhidos pelo UOL para você e sua família.
http://www.uol.com.br/selecao

Re: Administrar firewall (IPtables) remotamente

[Fábio Rabelo]

lobosamurai wrote:

Webmin não atende pois o modelo a
utilizar é contrário.
Tipo qualquer computador acessa
servidor web que este configura o
bridge remoto. então eu ou alguem
acessa qualquer pc via web e o
servidor conecta e configura o bridge.
Webmin seria servidor web que fica
dentro do bridge e é uma falha de
segurança. O que quero é o servidor
web comunicando com bridge remotamente.


Webmin só se torna uma falha de segurança se não for usado acesso via 
ssl, q é default no Debian, mas NÃO é default em nenhuma outra 
distribuição, mas é possível configurá-lo p/usar ssl em qualquer uma !

E é claro, não se esqueça de desabiliar o acesso do root no Webmin ;- )

Fábio Rabelo

Re: Administrar firewall (IPtables) remotamente

[lobosamurai]

Fábio,

Não tem problema. Sei aplicar regras
para permitir acesso à Internet para
algumas máquinas. Só queria saber se
existe alguns serviços para rodar no
bridge para receber conexão do
servidor web para ativar/desativar
acesso ou se existem ferramentas
adequadas para isso. Webmin pode até
servir, mas a administração remota via
web não deve ser no bridge e sim em
computador separado.

Desculpe ter mandado mensagem
diretamente para você. Era para a
lista. E sou novato na lista (entrei
nesse mês). Não entendi o
funcionamento do envio. Acidente acontece.

Cláudio Juliano

>
>
> lobosamurai wrote:
> > Vou pensar em Webmin... mas são 2 pc: servidor web e bridge
> >
> > mostrando de acordo com esquema:
> >
> >  ||   |--|   |--|
> >  |Web |---|switch|---|bridge|-Internet
> >  ||   |--|   |--|
> >  |
> > ||--|
> > ||  |
> > |---| |---| |---|
> > |estação| |estação| |estação|
> > |---| |---| |---|
> >
> > eu quero acessar na estação local o servidor web que tem um módulo de 
> > acesso ao bridge que situa em outro computador (estação --> servidor --> 
> > bridge). Não é computador que tem bridge+web, pois o servidor web possui 
> > outros módulos acesso como as notícias, cadastros, etc. e não se deve ficar 
> > no bridge que está no computador separado. Aí quero saber se tem como o 
> > servidor emitir alguns comandos ao bridge para manipular regras do IPTables 
> > para permitir acesso à Internet as estações. Precisa de um serviço rodando 
> > no bridge para receber comandos emitidos pelo servidor web.
> >
> > Cláudio Juliano
>
> Não é bem a minha área, tem gente akí na lista q conhece BEM mais q eu
> sobre o assunto, mas não seria o caso de usar um DMZ p/o servidor web,
> isolando assim a rede local do servidor web e da internet ?!?
>
> Fábio Rabelo
>
>


__
Seleção de Softwares UOL.
10 softwares escolhidos pelo UOL para você e sua família.
http://www.uol.com.br/selecao

Re: Virtualização de Firewall IPtables

[Bruno Ayub]

Bom dia Anacleto!



Eu sou bem cético em relação à virtualização dos hosts de infraestrutura.
Enquanto firewalls de mercado como Checkpoint, Cisco (ASA, FWSM), etc custam
uma quantia considerável, firewalls que rodam em Linux e OpenBSD custam
basicamente o equivalente ao hardware que eles estão instalados.

Considerando que você vai migrar o firewall para uma máquina virtual,
implica em uma economia de hardware. Me desculpe a expressão, mas é uma
economia porca. Tudo em função da importância do elemento na rede e mais
ainda em função do custo/benefício que a solução livre entrega.

Se ainda insistir em migrar, sugiro que deixe ao menos o proxy fora dessa
estrutura. Evite dores de cabeça!



Boa sorte!



2010/12/16 Anacleto Junior 

> Bom dia colegas da Lista,
>
>
> Aqui onde trabalho estamos planejando a migração do iptables para uma
> máquina virtual (VirtualBox) como objetivo de liberar a máquina física para
> um serviço mais exigente e também atualização do sistema operacional (vamos
> por o Lenny).
>
> Algumas dúvidas me surgiram quanto à isso, já que sou o "Linux Guy" do
> departamento, eu que vou ter que fazer isso. Aqui vão elas:
>
>
>- Na situação atual, meu firewall tem 2 placas de rede, uma local (ex:
>faixa 192) e uma WAN (ex faixa 10). Como devo configurar no VirtualBox o 
> uso
>dessas placas? Seria melhor criar alias para as interfaces?
>- Nesta mesma máquina virtual, imaginei colocar o Squid também. Quais
>problemas eu enfrentaria colocando o proxy junto ao firewall virtualizado?
>Seria melhor isolar?
>
> Quem puder me ajudar eu agradeço.
>
> --
> Anacleto Júnior
> Linux User: #447388
> http://www.anacletojr.info
>
>


-- 
Bruno Ayub.

Re: Virtualização de Firewall IPtables

[Eden Caldas]

Também não recomendo virtualizar firewall. Compra um hardware de servidor do
mais barato que tem e coloca ele lá. Ou então deixa em máquina montada
mesmo, só que a atenção nela vai ser o dobro e fique preparado para
surpresas.


Em 16 de dezembro de 2010 10:10, Bruno Ayub  escreveu:

> Bom dia Anacleto!
>
>
>
> Eu sou bem cético em relação à virtualização dos hosts de infraestrutura.
> Enquanto firewalls de mercado como Checkpoint, Cisco (ASA, FWSM), etc custam
> uma quantia considerável, firewalls que rodam em Linux e OpenBSD custam
> basicamente o equivalente ao hardware que eles estão instalados.
>
> Considerando que você vai migrar o firewall para uma máquina virtual,
> implica em uma economia de hardware. Me desculpe a expressão, mas é uma
> economia porca. Tudo em função da importância do elemento na rede e mais
> ainda em função do custo/benefício que a solução livre entrega.
>
> Se ainda insistir em migrar, sugiro que deixe ao menos o proxy fora dessa
> estrutura. Evite dores de cabeça!
>
>
>
> Boa sorte!
>
>
>
> 2010/12/16 Anacleto Junior 
>
> Bom dia colegas da Lista,
>>
>>
>> Aqui onde trabalho estamos planejando a migração do iptables para uma
>> máquina virtual (VirtualBox) como objetivo de liberar a máquina física para
>> um serviço mais exigente e também atualização do sistema operacional (vamos
>> por o Lenny).
>>
>> Algumas dúvidas me surgiram quanto à isso, já que sou o "Linux Guy" do
>> departamento, eu que vou ter que fazer isso. Aqui vão elas:
>>
>>
>>- Na situação atual, meu firewall tem 2 placas de rede, uma local (ex:
>>faixa 192) e uma WAN (ex faixa 10). Como devo configurar no VirtualBox o 
>> uso
>>dessas placas? Seria melhor criar alias para as interfaces?
>>- Nesta mesma máquina virtual, imaginei colocar o Squid também. Quais
>>problemas eu enfrentaria colocando o proxy junto ao firewall virtualizado?
>>Seria melhor isolar?
>>
>> Quem puder me ajudar eu agradeço.
>>
>> --
>> Anacleto Júnior
>> Linux User: #447388
>> http://www.anacletojr.info
>>
>>
>
>
> --
> Bruno Ayub.
>

Re: Virtualização de Firewall IPtables

[Bruno Silva]

acredito que tudo dependa do tamanho da infraestrutura.
Se existe algum tipo de aplicação crítica no meio do caminho, com certeza
você não gostaria de ter problemas com esse firewall, nem com algum
dispositivo de rede que possa afetar essa aplicação. é sempre importante
lembrar do bom e velho ditado: o barato pode sair caro.
 2010/12/16 Anacleto Junior 

> Bom dia colegas da Lista,
>
>
> Aqui onde trabalho estamos planejando a migração do iptables para uma
> máquina virtual (VirtualBox) como objetivo de liberar a máquina física para
> um serviço mais exigente e também atualização do sistema operacional (vamos
> por o Lenny).
>
> Algumas dúvidas me surgiram quanto à isso, já que sou o "Linux Guy" do
> departamento, eu que vou ter que fazer isso. Aqui vão elas:
>
>
>- Na situação atual, meu firewall tem 2 placas de rede, uma local (ex:
>faixa 192) e uma WAN (ex faixa 10). Como devo configurar no VirtualBox o 
> uso
>dessas placas? Seria melhor criar alias para as interfaces?
>- Nesta mesma máquina virtual, imaginei colocar o Squid também. Quais
>problemas eu enfrentaria colocando o proxy junto ao firewall virtualizado?
>Seria melhor isolar?
>
> Quem puder me ajudar eu agradeço.
>
> --
> Anacleto Júnior
> Linux User: #447388
> http://www.anacletojr.info
>
>

Re: Virtualização de Firewall IPtables

[Anacleto Junior]

Poxa vida gente, estou ficando com medo! rs

Trabalho em uma pequena-média empresa, temos 70 usuários aqui na matriz e
mais alguns externos, não passando de 100.
Nosso orçamento é bem apertado, consegui comprar um switch 3Com gerenciável
com bastante custo (o qual ainda não aprende a utillizá-lo totalmente).

Tenho alguns hardware de servidor, Dell e IBM mas o setor Financeiro não
quer investir no momento (aquela velha história do setor de TI gerar
custos). Aí que meu gestor decidiu virtualizar esse firewall, pois ele é
muito pouco utilizado (recursos da máquina).

Uma das ideias dele é virtualizar o Samba também, onde temos o sistema de
arquivos. Alguém já fez esse procedimento?

Se mais colegas tiverem opiniões para colaborar, eu agradeço, está sendo
muito construtiva essa ajuda.

Obrigado

Em 16 de dezembro de 2010 13:18, Eden Caldas escreveu:

> Também não recomendo virtualizar firewall. Compra um hardware de servidor
> do mais barato que tem e coloca ele lá. Ou então deixa em máquina montada
> mesmo, só que a atenção nela vai ser o dobro e fique preparado para
> surpresas.
>
>
> Em 16 de dezembro de 2010 10:10, Bruno Ayub escreveu:
>
> Bom dia Anacleto!
>>
>>
>>
>> Eu sou bem cético em relação à virtualização dos hosts de infraestrutura.
>> Enquanto firewalls de mercado como Checkpoint, Cisco (ASA, FWSM), etc custam
>> uma quantia considerável, firewalls que rodam em Linux e OpenBSD custam
>> basicamente o equivalente ao hardware que eles estão instalados.
>>
>> Considerando que você vai migrar o firewall para uma máquina virtual,
>> implica em uma economia de hardware. Me desculpe a expressão, mas é uma
>> economia porca. Tudo em função da importância do elemento na rede e mais
>> ainda em função do custo/benefício que a solução livre entrega.
>>
>> Se ainda insistir em migrar, sugiro que deixe ao menos o proxy fora dessa
>> estrutura. Evite dores de cabeça!
>>
>>
>>
>> Boa sorte!
>>
>>
>>
>> 2010/12/16 Anacleto Junior 
>>
>> Bom dia colegas da Lista,
>>>
>>>
>>> Aqui onde trabalho estamos planejando a migração do iptables para uma
>>> máquina virtual (VirtualBox) como objetivo de liberar a máquina física para
>>> um serviço mais exigente e também atualização do sistema operacional (vamos
>>> por o Lenny).
>>>
>>> Algumas dúvidas me surgiram quanto à isso, já que sou o "Linux Guy" do
>>> departamento, eu que vou ter que fazer isso. Aqui vão elas:
>>>
>>>
>>>- Na situação atual, meu firewall tem 2 placas de rede, uma local
>>>(ex: faixa 192) e uma WAN (ex faixa 10). Como devo configurar no 
>>> VirtualBox
>>>o uso dessas placas? Seria melhor criar alias para as interfaces?
>>>- Nesta mesma máquina virtual, imaginei colocar o Squid também. Quais
>>>problemas eu enfrentaria colocando o proxy junto ao firewall 
>>> virtualizado?
>>>Seria melhor isolar?
>>>
>>> Quem puder me ajudar eu agradeço.
>>>
>>> --
>>> Anacleto Júnior
>>> Linux User: #447388
>>> http://www.anacletojr.info
>>>
>>>
>>
>>
>> --
>> Bruno Ayub.
>>
>
>


-- 
Anacleto Júnior
Analista de TI e Redes
Linux User: #447388
http://www.anacletojr.info

Re: Virtualização de Firewall IPtables

[Gustavo Soares [SLot]]

Você poderia dar uma olhada no XEN[1], utilizo ele a bastante tempo com 
Banco de Dados, Firewall[2] e Samba.



[1] http://wiki.xen-br.org/
[2] http://wiki.xen-br.org/Firewall-dmz-net

Em 16-12-2010 13:28, Anacleto Junior escreveu:

Poxa vida gente, estou ficando com medo! rs

Trabalho em uma pequena-média empresa, temos 70 usuários aqui na 
matriz e mais alguns externos, não passando de 100.
Nosso orçamento é bem apertado, consegui comprar um switch 3Com 
gerenciável com bastante custo (o qual ainda não aprende a utillizá-lo 
totalmente).


Tenho alguns hardware de servidor, Dell e IBM mas o setor Financeiro 
não quer investir no momento (aquela velha história do setor de TI 
gerar custos). Aí que meu gestor decidiu virtualizar esse firewall, 
pois ele é muito pouco utilizado (recursos da máquina).


Uma das ideias dele é virtualizar o Samba também, onde temos o sistema 
de arquivos. Alguém já fez esse procedimento?


Se mais colegas tiverem opiniões para colaborar, eu agradeço, está 
sendo muito construtiva essa ajuda.


Obrigado

Em 16 de dezembro de 2010 13:18, Eden Caldas > escreveu:


Também não recomendo virtualizar firewall. Compra um hardware de
servidor do mais barato que tem e coloca ele lá. Ou então deixa em
máquina montada mesmo, só que a atenção nela vai ser o dobro e
fique preparado para surpresas.


Em 16 de dezembro de 2010 10:10, Bruno Ayub mailto:bruno.a...@gmail.com>> escreveu:

Bom dia Anacleto!



Eu sou bem cético em relação à virtualização dos hosts de
infraestrutura. Enquanto firewalls de mercado como Checkpoint,
Cisco (ASA, FWSM), etc custam uma quantia considerável,
firewalls que rodam em Linux e OpenBSD custam basicamente o
equivalente ao hardware que eles estão instalados.

Considerando que você vai migrar o firewall para uma máquina
virtual, implica em uma economia de hardware. Me desculpe a
expressão, mas é uma economia porca. Tudo em função da
importância do elemento na rede e mais ainda em função do
custo/benefício que a solução livre entrega.

Se ainda insistir em migrar, sugiro que deixe ao menos o proxy
fora dessa estrutura. Evite dores de cabeça!



Boa sorte!



2010/12/16 Anacleto Junior mailto:suporte.anacl...@gmail.com>>

Bom dia colegas da Lista,


Aqui onde trabalho estamos planejando a migração do
iptables para uma máquina virtual (VirtualBox) como
objetivo de liberar a máquina física para um serviço mais
exigente e também atualização do sistema operacional
(vamos por o Lenny).

Algumas dúvidas me surgiram quanto à isso, já que sou o
"Linux Guy" do departamento, eu que vou ter que fazer
isso. Aqui vão elas:

* Na situação atual, meu firewall tem 2 placas de
  rede, uma local (ex: faixa 192) e uma WAN (ex faixa
  10). Como devo configurar no VirtualBox o uso dessas
  placas? Seria melhor criar alias para as interfaces?
* Nesta mesma máquina virtual, imaginei colocar o
  Squid também. Quais problemas eu enfrentaria
  colocando o proxy junto ao firewall virtualizado?
  Seria melhor isolar?

Quem puder me ajudar eu agradeço.

-- 
Anacleto Júnior

Linux User: #447388
http://www.anacletojr.info




-- 
Bruno Ayub.






--
Anacleto Júnior
Analista de TI e Redes
Linux User: #447388
http://www.anacletojr.info




--
---
SLot
UIN: 19596909
Linux User: 124842
Jabber: s...@jabber-br.org
Emails: slot...@gmail.com  | s...@xen-br.org

Re: Virtualização de Firewall IPtables

[Leonardo Carneiro]

Apesar de não ter experiência própria em virtualização de firewall,
acompanho a lista de discussão do OpenBSD (excelente para uso como
firewall, estou gostando muito), e houve uma thread exatamente sobre
esse tópico. Todos foram enfáticos em NÃO virtualizar firewall.

O que te informo da minha experiencia de servidore com virtualbox é:
não faça. O virtualbox é um produto muito bom, eu mesmo acompanho de
perto o desenvolvimento, mas o seu hypervisor simplesmente não é
robusto o suficiente para uso 24/7. Já passei por essa experiência e
foi aterrorizante.

2010/12/16 Gustavo Soares [SLot] :
> Você poderia dar uma olhada no XEN[1], utilizo ele a bastante tempo com
> Banco de Dados, Firewall[2] e Samba.
>
>
> [1] http://wiki.xen-br.org/
> [2] http://wiki.xen-br.org/Firewall-dmz-net
>
> Em 16-12-2010 13:28, Anacleto Junior escreveu:
>
> Poxa vida gente, estou ficando com medo! rs
> Trabalho em uma pequena-média empresa, temos 70 usuários aqui na matriz e
> mais alguns externos, não passando de 100.
> Nosso orçamento é bem apertado, consegui comprar um switch 3Com gerenciável
> com bastante custo (o qual ainda não aprende a utillizá-lo totalmente).
> Tenho alguns hardware de servidor, Dell e IBM mas o setor Financeiro não
> quer investir no momento (aquela velha história do setor de TI gerar
> custos). Aí que meu gestor decidiu virtualizar esse firewall, pois ele é
> muito pouco utilizado (recursos da máquina).
> Uma das ideias dele é virtualizar o Samba também, onde temos o sistema de
> arquivos. Alguém já fez esse procedimento?
> Se mais colegas tiverem opiniões para colaborar, eu agradeço, está sendo
> muito construtiva essa ajuda.
> Obrigado
>
> Em 16 de dezembro de 2010 13:18, Eden Caldas 
> escreveu:
>>
>> Também não recomendo virtualizar firewall. Compra um hardware de servidor
>> do mais barato que tem e coloca ele lá. Ou então deixa em máquina montada
>> mesmo, só que a atenção nela vai ser o dobro e fique preparado para
>> surpresas.
>>
>>
>> Em 16 de dezembro de 2010 10:10, Bruno Ayub 
>> escreveu:
>>>
>>> Bom dia Anacleto!
>>>
>>>
>>>
>>> Eu sou bem cético em relação à virtualização dos hosts de infraestrutura.
>>> Enquanto firewalls de mercado como Checkpoint, Cisco (ASA, FWSM), etc custam
>>> uma quantia considerável, firewalls que rodam em Linux e OpenBSD custam
>>> basicamente o equivalente ao hardware que eles estão instalados.
>>>
>>> Considerando que você vai migrar o firewall para uma máquina virtual,
>>> implica em uma economia de hardware. Me desculpe a expressão, mas é uma
>>> economia porca. Tudo em função da importância do elemento na rede e mais
>>> ainda em função do custo/benefício que a solução livre entrega.
>>>
>>> Se ainda insistir em migrar, sugiro que deixe ao menos o proxy fora dessa
>>> estrutura. Evite dores de cabeça!
>>>
>>>
>>>
>>> Boa sorte!
>>>
>>>
>>>
>>> 2010/12/16 Anacleto Junior 

 Bom dia colegas da Lista,

 Aqui onde trabalho estamos planejando a migração do iptables para uma
 máquina virtual (VirtualBox) como objetivo de liberar a máquina física para
 um serviço mais exigente e também atualização do sistema operacional (vamos
 por o Lenny).
 Algumas dúvidas me surgiram quanto à isso, já que sou o "Linux Guy" do
 departamento, eu que vou ter que fazer isso. Aqui vão elas:

 Na situação atual, meu firewall tem 2 placas de rede, uma local (ex:
 faixa 192) e uma WAN (ex faixa 10). Como devo configurar no VirtualBox o 
 uso
 dessas placas? Seria melhor criar alias para as interfaces?
 Nesta mesma máquina virtual, imaginei colocar o Squid também. Quais
 problemas eu enfrentaria colocando o proxy junto ao firewall virtualizado?
 Seria melhor isolar?

 Quem puder me ajudar eu agradeço.
 --
 Anacleto Júnior
 Linux User: #447388
 http://www.anacletojr.info

>>>
>>>
>>>
>>> --
>>> Bruno Ayub.
>>
>
>
>
> --
> Anacleto Júnior
> Analista de TI e Redes
> Linux User: #447388
> http://www.anacletojr.info
>
>
> --
> ---
> SLot
> UIN: 19596909
> Linux User: 124842
> Jabber: s...@jabber-br.org
> Emails: slot...@gmail.com  | s...@xen-br.org
>


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/aanlktiktqvp4zaf656x8ubfjycpwepvwgzvknz0jq...@mail.gmail.com

Re: Virtualização de Firewall IPtables

[Leonardo Carneiro]

*Leonardo (tudo bem, todo mundo confunde).

A lista é m...@openbsd.org. É a lista oficial do sistema, onde
participam vários desenvolvedores, incluindo o Theo (pai do sistema).
A lista é em inglês.

2010/12/16 Felipe Rocha :
> Olá Leandro,
>
> Pergunta rápida
>
> Qual a lista de OpenBSD que tem acompanhado, poderia me informar o nome e
> refencia?
>
> Grato,
> Felipe
>
> 2010/12/16 Leonardo Carneiro 
>>
>> Apesar de não ter experiência própria em virtualização de firewall,
>> acompanho a lista de discussão do OpenBSD (excelente para uso como
>> firewall, estou gostando muito), e houve uma thread exatamente sobre
>> esse tópico. Todos foram enfáticos em NÃO virtualizar firewall.
>>
>> O que te informo da minha experiencia de servidore com virtualbox é:
>> não faça. O virtualbox é um produto muito bom, eu mesmo acompanho de
>> perto o desenvolvimento, mas o seu hypervisor simplesmente não é
>> robusto o suficiente para uso 24/7. Já passei por essa experiência e
>> foi aterrorizante.
>>
>> 2010/12/16 Gustavo Soares [SLot] :
>> > Você poderia dar uma olhada no XEN[1], utilizo ele a bastante tempo com
>> > Banco de Dados, Firewall[2] e Samba.
>> >
>> >
>> > [1] http://wiki.xen-br.org/
>> > [2] http://wiki.xen-br.org/Firewall-dmz-net
>> >
>> > Em 16-12-2010 13:28, Anacleto Junior escreveu:
>> >
>> > Poxa vida gente, estou ficando com medo! rs
>> > Trabalho em uma pequena-média empresa, temos 70 usuários aqui na matriz
>> > e
>> > mais alguns externos, não passando de 100.
>> > Nosso orçamento é bem apertado, consegui comprar um switch 3Com
>> > gerenciável
>> > com bastante custo (o qual ainda não aprende a utillizá-lo totalmente).
>> > Tenho alguns hardware de servidor, Dell e IBM mas o setor Financeiro não
>> > quer investir no momento (aquela velha história do setor de TI gerar
>> > custos). Aí que meu gestor decidiu virtualizar esse firewall, pois ele é
>> > muito pouco utilizado (recursos da máquina).
>> > Uma das ideias dele é virtualizar o Samba também, onde temos o sistema
>> > de
>> > arquivos. Alguém já fez esse procedimento?
>> > Se mais colegas tiverem opiniões para colaborar, eu agradeço, está sendo
>> > muito construtiva essa ajuda.
>> > Obrigado
>> >
>> > Em 16 de dezembro de 2010 13:18, Eden Caldas 
>> > escreveu:
>> >>
>> >> Também não recomendo virtualizar firewall. Compra um hardware de
>> >> servidor
>> >> do mais barato que tem e coloca ele lá. Ou então deixa em máquina
>> >> montada
>> >> mesmo, só que a atenção nela vai ser o dobro e fique preparado para
>> >> surpresas.
>> >>
>> >>
>> >> Em 16 de dezembro de 2010 10:10, Bruno Ayub 
>> >> escreveu:
>> >>>
>> >>> Bom dia Anacleto!
>> >>>
>> >>>
>> >>>
>> >>> Eu sou bem cético em relação à virtualização dos hosts de
>> >>> infraestrutura.
>> >>> Enquanto firewalls de mercado como Checkpoint, Cisco (ASA, FWSM), etc
>> >>> custam
>> >>> uma quantia considerável, firewalls que rodam em Linux e OpenBSD
>> >>> custam
>> >>> basicamente o equivalente ao hardware que eles estão instalados.
>> >>>
>> >>> Considerando que você vai migrar o firewall para uma máquina virtual,
>> >>> implica em uma economia de hardware. Me desculpe a expressão, mas é
>> >>> uma
>> >>> economia porca. Tudo em função da importância do elemento na rede e
>> >>> mais
>> >>> ainda em função do custo/benefício que a solução livre entrega.
>> >>>
>> >>> Se ainda insistir em migrar, sugiro que deixe ao menos o proxy fora
>> >>> dessa
>> >>> estrutura. Evite dores de cabeça!
>> >>>
>> >>>
>> >>>
>> >>> Boa sorte!
>> >>>
>> >>>
>> >>>
>> >>> 2010/12/16 Anacleto Junior 
>> 
>>  Bom dia colegas da Lista,
>> 
>>  Aqui onde trabalho estamos planejando a migração do iptables para uma
>>  máquina virtual (VirtualBox) como objetivo de liberar a máquina
>>  física para
>>  um serviço mais exigente e também atualização do sistema operacional
>>  (vamos
>>  por o Lenny).
>>  Algumas dúvidas me surgiram quanto à isso, já que sou o "Linux Guy"
>>  do
>>  departamento, eu que vou ter que fazer isso. Aqui vão elas:
>> 
>>  Na situação atual, meu firewall tem 2 placas de rede, uma local (ex:
>>  faixa 192) e uma WAN (ex faixa 10). Como devo configurar no
>>  VirtualBox o uso
>>  dessas placas? Seria melhor criar alias para as interfaces?
>>  Nesta mesma máquina virtual, imaginei colocar o Squid também. Quais
>>  problemas eu enfrentaria colocando o proxy junto ao firewall
>>  virtualizado?
>>  Seria melhor isolar?
>> 
>>  Quem puder me ajudar eu agradeço.
>>  --
>>  Anacleto Júnior
>>  Linux User: #447388
>>  http://www.anacletojr.info
>> 
>> >>>
>> >>>
>> >>>
>> >>> --
>> >>> Bruno Ayub.
>> >>
>> >
>> >
>> >
>> > --
>> > Anacleto Júnior
>> > Analista de TI e Redes
>> > Linux User: #447388
>> > http://www.anacletojr.info
>> >
>> >
>> > --
>> > ---
>> > SLot
>> > UIN: 19596909
>> > Linux User: 124842
>> > Jabber: s...@jabber-br.org
>> > Emails: slot...@gmail.com  | 

Re: Virtualização de Firewall IPtables

[Anacleto Junior]

As opiniões estão sendo muito interessantes, agradeço a todos de antemão.

Isso me fez refletir bastante e levantar esta questão para o meu gestor,
para que avalie novamente e possamos decidir como otimizar então o processo
e diminuir a ociosidade dos servidores.

Aproveitando já o debate então (não sei se posso, se é off-topic; me
corrijam se não puder), quais serviços eu poderia virtualizar? Samba, DNS,
Squid? A respeito da solução adotada, Xen e VMWare seriam opções mais
recomendadas para servidores?

Obrigado!

Em 16 de dezembro de 2010 15:28, Leonardo Carneiro
escreveu:

> Apesar de não ter experiência própria em virtualização de firewall,
> acompanho a lista de discussão do OpenBSD (excelente para uso como
> firewall, estou gostando muito), e houve uma thread exatamente sobre
> esse tópico. Todos foram enfáticos em NÃO virtualizar firewall.
>
> O que te informo da minha experiencia de servidore com virtualbox é:
> não faça. O virtualbox é um produto muito bom, eu mesmo acompanho de
> perto o desenvolvimento, mas o seu hypervisor simplesmente não é
> robusto o suficiente para uso 24/7. Já passei por essa experiência e
> foi aterrorizante.
>
> 2010/12/16 Gustavo Soares [SLot] :
> > Você poderia dar uma olhada no XEN[1], utilizo ele a bastante tempo com
> > Banco de Dados, Firewall[2] e Samba.
> >
> >
> > [1] http://wiki.xen-br.org/
> > [2] http://wiki.xen-br.org/Firewall-dmz-net
> >
> > Em 16-12-2010 13:28, Anacleto Junior escreveu:
> >
> > Poxa vida gente, estou ficando com medo! rs
> > Trabalho em uma pequena-média empresa, temos 70 usuários aqui na matriz e
> > mais alguns externos, não passando de 100.
> > Nosso orçamento é bem apertado, consegui comprar um switch 3Com
> gerenciável
> > com bastante custo (o qual ainda não aprende a utillizá-lo totalmente).
> > Tenho alguns hardware de servidor, Dell e IBM mas o setor Financeiro não
> > quer investir no momento (aquela velha história do setor de TI gerar
> > custos). Aí que meu gestor decidiu virtualizar esse firewall, pois ele é
> > muito pouco utilizado (recursos da máquina).
> > Uma das ideias dele é virtualizar o Samba também, onde temos o sistema de
> > arquivos. Alguém já fez esse procedimento?
> > Se mais colegas tiverem opiniões para colaborar, eu agradeço, está sendo
> > muito construtiva essa ajuda.
> > Obrigado
> >
> > Em 16 de dezembro de 2010 13:18, Eden Caldas 
> > escreveu:
> >>
> >> Também não recomendo virtualizar firewall. Compra um hardware de
> servidor
> >> do mais barato que tem e coloca ele lá. Ou então deixa em máquina
> montada
> >> mesmo, só que a atenção nela vai ser o dobro e fique preparado para
> >> surpresas.
> >>
> >>
> >> Em 16 de dezembro de 2010 10:10, Bruno Ayub 
> >> escreveu:
> >>>
> >>> Bom dia Anacleto!
> >>>
> >>>
> >>>
> >>> Eu sou bem cético em relação à virtualização dos hosts de
> infraestrutura.
> >>> Enquanto firewalls de mercado como Checkpoint, Cisco (ASA, FWSM), etc
> custam
> >>> uma quantia considerável, firewalls que rodam em Linux e OpenBSD custam
> >>> basicamente o equivalente ao hardware que eles estão instalados.
> >>>
> >>> Considerando que você vai migrar o firewall para uma máquina virtual,
> >>> implica em uma economia de hardware. Me desculpe a expressão, mas é uma
> >>> economia porca. Tudo em função da importância do elemento na rede e
> mais
> >>> ainda em função do custo/benefício que a solução livre entrega.
> >>>
> >>> Se ainda insistir em migrar, sugiro que deixe ao menos o proxy fora
> dessa
> >>> estrutura. Evite dores de cabeça!
> >>>
> >>>
> >>>
> >>> Boa sorte!
> >>>
> >>>
> >>>
> >>> 2010/12/16 Anacleto Junior 
> 
>  Bom dia colegas da Lista,
> 
>  Aqui onde trabalho estamos planejando a migração do iptables para uma
>  máquina virtual (VirtualBox) como objetivo de liberar a máquina física
> para
>  um serviço mais exigente e também atualização do sistema operacional
> (vamos
>  por o Lenny).
>  Algumas dúvidas me surgiram quanto à isso, já que sou o "Linux Guy" do
>  departamento, eu que vou ter que fazer isso. Aqui vão elas:
> 
>  Na situação atual, meu firewall tem 2 placas de rede, uma local (ex:
>  faixa 192) e uma WAN (ex faixa 10). Como devo configurar no VirtualBox
> o uso
>  dessas placas? Seria melhor criar alias para as interfaces?
>  Nesta mesma máquina virtual, imaginei colocar o Squid também. Quais
>  problemas eu enfrentaria colocando o proxy junto ao firewall
> virtualizado?
>  Seria melhor isolar?
> 
>  Quem puder me ajudar eu agradeço.
>  --
>  Anacleto Júnior
>  Linux User: #447388
>  http://www.anacletojr.info
> 
> >>>
> >>>
> >>>
> >>> --
> >>> Bruno Ayub.
> >>
> >
> >
> >
> > --
> > Anacleto Júnior
> > Analista de TI e Redes
> > Linux User: #447388
> > http://www.anacletojr.info
> >
> >
> > --
> > ---
> > SLot
> > UIN: 19596909
> > Linux User: 124842
> > Jabber: s...@jabber-br.org
> > Emails: slot...@gmail.com  | s...@xen-br.org
> >
>
>
> --
> To

Re: Virtualização de Firewall IPtables

[Leonardo Carneiro]

Espero não ser linxado pela seguinte opinião: existe o Hyper-V, da MS
tb. Não digo que é melhor ou pior, mas é uma solução bem decente, e
kernels mais recentes do linux tem drivers GPL escritos pela própria
MS para suportar o hardware virtualizado, e parece que a performance é
bem satisfatória.

Não quero começar um flamewar aqui sobre microsoft. Apesar de de ser
um entusiasta de debian e software livre, sou um entusiasta maior
ainda de coisas que funcionam, e o Hyper-V é uma delas. Também não
estou diminuindo o Xen e o VMWare, que são produtos fantásticos.

2010/12/16 Anacleto Junior :
> As opiniões estão sendo muito interessantes, agradeço a todos de antemão.
> Isso me fez refletir bastante e levantar esta questão para o meu gestor,
> para que avalie novamente e possamos decidir como otimizar então o processo
> e diminuir a ociosidade dos servidores.
> Aproveitando já o debate então (não sei se posso, se é off-topic; me
> corrijam se não puder), quais serviços eu poderia virtualizar? Samba, DNS,
> Squid? A respeito da solução adotada, Xen e VMWare seriam opções mais
> recomendadas para servidores?
> Obrigado!
>
> Em 16 de dezembro de 2010 15:28, Leonardo Carneiro 
> escreveu:
>>
>> Apesar de não ter experiência própria em virtualização de firewall,
>> acompanho a lista de discussão do OpenBSD (excelente para uso como
>> firewall, estou gostando muito), e houve uma thread exatamente sobre
>> esse tópico. Todos foram enfáticos em NÃO virtualizar firewall.
>>
>> O que te informo da minha experiencia de servidore com virtualbox é:
>> não faça. O virtualbox é um produto muito bom, eu mesmo acompanho de
>> perto o desenvolvimento, mas o seu hypervisor simplesmente não é
>> robusto o suficiente para uso 24/7. Já passei por essa experiência e
>> foi aterrorizante.
>>
>> 2010/12/16 Gustavo Soares [SLot] :
>> > Você poderia dar uma olhada no XEN[1], utilizo ele a bastante tempo com
>> > Banco de Dados, Firewall[2] e Samba.
>> >
>> >
>> > [1] http://wiki.xen-br.org/
>> > [2] http://wiki.xen-br.org/Firewall-dmz-net
>> >
>> > Em 16-12-2010 13:28, Anacleto Junior escreveu:
>> >
>> > Poxa vida gente, estou ficando com medo! rs
>> > Trabalho em uma pequena-média empresa, temos 70 usuários aqui na matriz
>> > e
>> > mais alguns externos, não passando de 100.
>> > Nosso orçamento é bem apertado, consegui comprar um switch 3Com
>> > gerenciável
>> > com bastante custo (o qual ainda não aprende a utillizá-lo totalmente).
>> > Tenho alguns hardware de servidor, Dell e IBM mas o setor Financeiro não
>> > quer investir no momento (aquela velha história do setor de TI gerar
>> > custos). Aí que meu gestor decidiu virtualizar esse firewall, pois ele é
>> > muito pouco utilizado (recursos da máquina).
>> > Uma das ideias dele é virtualizar o Samba também, onde temos o sistema
>> > de
>> > arquivos. Alguém já fez esse procedimento?
>> > Se mais colegas tiverem opiniões para colaborar, eu agradeço, está sendo
>> > muito construtiva essa ajuda.
>> > Obrigado
>> >
>> > Em 16 de dezembro de 2010 13:18, Eden Caldas 
>> > escreveu:
>> >>
>> >> Também não recomendo virtualizar firewall. Compra um hardware de
>> >> servidor
>> >> do mais barato que tem e coloca ele lá. Ou então deixa em máquina
>> >> montada
>> >> mesmo, só que a atenção nela vai ser o dobro e fique preparado para
>> >> surpresas.
>> >>
>> >>
>> >> Em 16 de dezembro de 2010 10:10, Bruno Ayub 
>> >> escreveu:
>> >>>
>> >>> Bom dia Anacleto!
>> >>>
>> >>>
>> >>>
>> >>> Eu sou bem cético em relação à virtualização dos hosts de
>> >>> infraestrutura.
>> >>> Enquanto firewalls de mercado como Checkpoint, Cisco (ASA, FWSM), etc
>> >>> custam
>> >>> uma quantia considerável, firewalls que rodam em Linux e OpenBSD
>> >>> custam
>> >>> basicamente o equivalente ao hardware que eles estão instalados.
>> >>>
>> >>> Considerando que você vai migrar o firewall para uma máquina virtual,
>> >>> implica em uma economia de hardware. Me desculpe a expressão, mas é
>> >>> uma
>> >>> economia porca. Tudo em função da importância do elemento na rede e
>> >>> mais
>> >>> ainda em função do custo/benefício que a solução livre entrega.
>> >>>
>> >>> Se ainda insistir em migrar, sugiro que deixe ao menos o proxy fora
>> >>> dessa
>> >>> estrutura. Evite dores de cabeça!
>> >>>
>> >>>
>> >>>
>> >>> Boa sorte!
>> >>>
>> >>>
>> >>>
>> >>> 2010/12/16 Anacleto Junior 
>> 
>>  Bom dia colegas da Lista,
>> 
>>  Aqui onde trabalho estamos planejando a migração do iptables para uma
>>  máquina virtual (VirtualBox) como objetivo de liberar a máquina
>>  física para
>>  um serviço mais exigente e também atualização do sistema operacional
>>  (vamos
>>  por o Lenny).
>>  Algumas dúvidas me surgiram quanto à isso, já que sou o "Linux Guy"
>>  do
>>  departamento, eu que vou ter que fazer isso. Aqui vão elas:
>> 
>>  Na situação atual, meu firewall tem 2 placas de rede, uma local (ex:
>>  faixa 192) e uma WAN (ex faixa 10). Como devo configurar no
>> 

Re: Virtualização de Firewall IPtables

[Eden Caldas]

Leonardo

Poderia descrever qual foi o problema desastroso que você experimentou com o
virtualbox?

Eden Caldas
Consultor de TI
e...@linuxfacil.srv.br
(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI


Em 16 de dezembro de 2010 15:53, Leonardo Carneiro
escreveu:

> Espero não ser linxado pela seguinte opinião: existe o Hyper-V, da MS
> tb. Não digo que é melhor ou pior, mas é uma solução bem decente, e
> kernels mais recentes do linux tem drivers GPL escritos pela própria
> MS para suportar o hardware virtualizado, e parece que a performance é
> bem satisfatória.
>
> Não quero começar um flamewar aqui sobre microsoft. Apesar de de ser
> um entusiasta de debian e software livre, sou um entusiasta maior
> ainda de coisas que funcionam, e o Hyper-V é uma delas. Também não
> estou diminuindo o Xen e o VMWare, que são produtos fantásticos.
>
> 2010/12/16 Anacleto Junior :
> > As opiniões estão sendo muito interessantes, agradeço a todos de antemão.
> > Isso me fez refletir bastante e levantar esta questão para o meu gestor,
> > para que avalie novamente e possamos decidir como otimizar então o
> processo
> > e diminuir a ociosidade dos servidores.
> > Aproveitando já o debate então (não sei se posso, se é off-topic; me
> > corrijam se não puder), quais serviços eu poderia virtualizar? Samba,
> DNS,
> > Squid? A respeito da solução adotada, Xen e VMWare seriam opções mais
> > recomendadas para servidores?
> > Obrigado!
> >
> > Em 16 de dezembro de 2010 15:28, Leonardo Carneiro <
> chesterma...@gmail.com>
> > escreveu:
> >>
> >> Apesar de não ter experiência própria em virtualização de firewall,
> >> acompanho a lista de discussão do OpenBSD (excelente para uso como
> >> firewall, estou gostando muito), e houve uma thread exatamente sobre
> >> esse tópico. Todos foram enfáticos em NÃO virtualizar firewall.
> >>
> >> O que te informo da minha experiencia de servidore com virtualbox é:
> >> não faça. O virtualbox é um produto muito bom, eu mesmo acompanho de
> >> perto o desenvolvimento, mas o seu hypervisor simplesmente não é
> >> robusto o suficiente para uso 24/7. Já passei por essa experiência e
> >> foi aterrorizante.
> >>
> >> 2010/12/16 Gustavo Soares [SLot] :
> >> > Você poderia dar uma olhada no XEN[1], utilizo ele a bastante tempo
> com
> >> > Banco de Dados, Firewall[2] e Samba.
> >> >
> >> >
> >> > [1] http://wiki.xen-br.org/
> >> > [2] http://wiki.xen-br.org/Firewall-dmz-net
> >> >
> >> > Em 16-12-2010 13:28, Anacleto Junior escreveu:
> >> >
> >> > Poxa vida gente, estou ficando com medo! rs
> >> > Trabalho em uma pequena-média empresa, temos 70 usuários aqui na
> matriz
> >> > e
> >> > mais alguns externos, não passando de 100.
> >> > Nosso orçamento é bem apertado, consegui comprar um switch 3Com
> >> > gerenciável
> >> > com bastante custo (o qual ainda não aprende a utillizá-lo
> totalmente).
> >> > Tenho alguns hardware de servidor, Dell e IBM mas o setor Financeiro
> não
> >> > quer investir no momento (aquela velha história do setor de TI gerar
> >> > custos). Aí que meu gestor decidiu virtualizar esse firewall, pois ele
> é
> >> > muito pouco utilizado (recursos da máquina).
> >> > Uma das ideias dele é virtualizar o Samba também, onde temos o sistema
> >> > de
> >> > arquivos. Alguém já fez esse procedimento?
> >> > Se mais colegas tiverem opiniões para colaborar, eu agradeço, está
> sendo
> >> > muito construtiva essa ajuda.
> >> > Obrigado
> >> >
> >> > Em 16 de dezembro de 2010 13:18, Eden Caldas 
> >> > escreveu:
> >> >>
> >> >> Também não recomendo virtualizar firewall. Compra um hardware de
> >> >> servidor
> >> >> do mais barato que tem e coloca ele lá. Ou então deixa em máquina
> >> >> montada
> >> >> mesmo, só que a atenção nela vai ser o dobro e fique preparado para
> >> >> surpresas.
> >> >>
> >> >>
> >> >> Em 16 de dezembro de 2010 10:10, Bruno Ayub 
> >> >> escreveu:
> >> >>>
> >> >>> Bom dia Anacleto!
> >> >>>
> >> >>>
> >> >>>
> >> >>> Eu sou bem cético em relação à virtualização dos hosts de
> >> >>> infraestrutura.
> >> >>> Enquanto firewalls de mercado como Checkpoint, Cisco (ASA, FWSM),
> etc
> >> >>> custam
> >> >>> uma quantia considerável, firewalls que rodam em Linux e OpenBSD
> >> >>> custam
> >> >>> basicamente o equivalente ao hardware que eles estão instalados.
> >> >>>
> >> >>> Considerando que você vai migrar o firewall para uma máquina
> virtual,
> >> >>> implica em uma economia de hardware. Me desculpe a expressão, mas é
> >> >>> uma
> >> >>> economia porca. Tudo em função da importância do elemento na rede e
> >> >>> mais
> >> >>> ainda em função do custo/benefício que a solução livre entrega.
> >> >>>
> >> >>> Se ainda insistir em migrar, sugiro que deixe ao menos o proxy fora
> >> >>> dessa
> >> >>> estrutura. Evite dores de cabeça!
> >> >>>
> >> >>>
> >> >>>
> >> >>> Boa sorte!
> >> >>>
> >> >>>
> >> >>>
> >> >>> 2010/12/16 Anacleto Junior 
> >> 
> >>  Bom dia colegas da Lista,
> >> 
> >>  Aqui onde trabalho estamos planejando a migra

Re: Virtualização de Firewall IPtables

[Leonardo Carneiro]

A máquina virtual não conseguia sustentar a performance. Após algumas
horas de execução pesada (entre 60 e 100 horas), a performance
começava a degradar até o ponto onde a máquina finalmente travava. Foi
a mesma situação com 4 máquinas virtuais diferentes (com diferentes SO
guests) em duas máquinas físicas diferentes. O problema persistiu
entre as versões 3.0.6 até a 3.2.10, quando eu parei de usar o vbox
para virtualizar servidores.

Não obstante, eu ainda acho um produto fantástico, pois as facilidades
e o tipo de recurso avançado que ele traz pro desktop são fantásticos.



2010/12/16 Eden Caldas :
> Leonardo
>
> Poderia descrever qual foi o problema desastroso que você experimentou com o
> virtualbox?
>
> Eden Caldas
> Consultor de TI
> e...@linuxfacil.srv.br
> (81) 9653 7220
> LINUX FÁCIL – Consultoria e Serviços em TI
>
>
> Em 16 de dezembro de 2010 15:53, Leonardo Carneiro 
> escreveu:
>>
>> Espero não ser linxado pela seguinte opinião: existe o Hyper-V, da MS
>> tb. Não digo que é melhor ou pior, mas é uma solução bem decente, e
>> kernels mais recentes do linux tem drivers GPL escritos pela própria
>> MS para suportar o hardware virtualizado, e parece que a performance é
>> bem satisfatória.
>>
>> Não quero começar um flamewar aqui sobre microsoft. Apesar de de ser
>> um entusiasta de debian e software livre, sou um entusiasta maior
>> ainda de coisas que funcionam, e o Hyper-V é uma delas. Também não
>> estou diminuindo o Xen e o VMWare, que são produtos fantásticos.
>>
>> 2010/12/16 Anacleto Junior :
>> > As opiniões estão sendo muito interessantes, agradeço a todos de
>> > antemão.
>> > Isso me fez refletir bastante e levantar esta questão para o meu gestor,
>> > para que avalie novamente e possamos decidir como otimizar então o
>> > processo
>> > e diminuir a ociosidade dos servidores.
>> > Aproveitando já o debate então (não sei se posso, se é off-topic; me
>> > corrijam se não puder), quais serviços eu poderia virtualizar? Samba,
>> > DNS,
>> > Squid? A respeito da solução adotada, Xen e VMWare seriam opções mais
>> > recomendadas para servidores?
>> > Obrigado!
>> >
>> > Em 16 de dezembro de 2010 15:28, Leonardo Carneiro
>> > 
>> > escreveu:
>> >>
>> >> Apesar de não ter experiência própria em virtualização de firewall,
>> >> acompanho a lista de discussão do OpenBSD (excelente para uso como
>> >> firewall, estou gostando muito), e houve uma thread exatamente sobre
>> >> esse tópico. Todos foram enfáticos em NÃO virtualizar firewall.
>> >>
>> >> O que te informo da minha experiencia de servidore com virtualbox é:
>> >> não faça. O virtualbox é um produto muito bom, eu mesmo acompanho de
>> >> perto o desenvolvimento, mas o seu hypervisor simplesmente não é
>> >> robusto o suficiente para uso 24/7. Já passei por essa experiência e
>> >> foi aterrorizante.
>> >>
>> >> 2010/12/16 Gustavo Soares [SLot] :
>> >> > Você poderia dar uma olhada no XEN[1], utilizo ele a bastante tempo
>> >> > com
>> >> > Banco de Dados, Firewall[2] e Samba.
>> >> >
>> >> >
>> >> > [1] http://wiki.xen-br.org/
>> >> > [2] http://wiki.xen-br.org/Firewall-dmz-net
>> >> >
>> >> > Em 16-12-2010 13:28, Anacleto Junior escreveu:
>> >> >
>> >> > Poxa vida gente, estou ficando com medo! rs
>> >> > Trabalho em uma pequena-média empresa, temos 70 usuários aqui na
>> >> > matriz
>> >> > e
>> >> > mais alguns externos, não passando de 100.
>> >> > Nosso orçamento é bem apertado, consegui comprar um switch 3Com
>> >> > gerenciável
>> >> > com bastante custo (o qual ainda não aprende a utillizá-lo
>> >> > totalmente).
>> >> > Tenho alguns hardware de servidor, Dell e IBM mas o setor Financeiro
>> >> > não
>> >> > quer investir no momento (aquela velha história do setor de TI gerar
>> >> > custos). Aí que meu gestor decidiu virtualizar esse firewall, pois
>> >> > ele é
>> >> > muito pouco utilizado (recursos da máquina).
>> >> > Uma das ideias dele é virtualizar o Samba também, onde temos o
>> >> > sistema
>> >> > de
>> >> > arquivos. Alguém já fez esse procedimento?
>> >> > Se mais colegas tiverem opiniões para colaborar, eu agradeço, está
>> >> > sendo
>> >> > muito construtiva essa ajuda.
>> >> > Obrigado
>> >> >
>> >> > Em 16 de dezembro de 2010 13:18, Eden Caldas 
>> >> > escreveu:
>> >> >>
>> >> >> Também não recomendo virtualizar firewall. Compra um hardware de
>> >> >> servidor
>> >> >> do mais barato que tem e coloca ele lá. Ou então deixa em máquina
>> >> >> montada
>> >> >> mesmo, só que a atenção nela vai ser o dobro e fique preparado para
>> >> >> surpresas.
>> >> >>
>> >> >>
>> >> >> Em 16 de dezembro de 2010 10:10, Bruno Ayub 
>> >> >> escreveu:
>> >> >>>
>> >> >>> Bom dia Anacleto!
>> >> >>>
>> >> >>>
>> >> >>>
>> >> >>> Eu sou bem cético em relação à virtualização dos hosts de
>> >> >>> infraestrutura.
>> >> >>> Enquanto firewalls de mercado como Checkpoint, Cisco (ASA, FWSM),
>> >> >>> etc
>> >> >>> custam
>> >> >>> uma quantia considerável, firewalls que rodam em Linux e OpenBSD
>> >> >>> custam
>> >> >>> basicamen

Re: Virtualização de Firewall IPtables

[leandro almeida]

Concordo com a maioria em não virtualizar firewalls... Por vários
motivos;... segurança é um deles. Faz algum tempo que estudo soluções de
virtualização.. Sem dúvida nenhuma a VMWare é a que está mais avançada, no
entanto o custo é muito alto. Outra boa opção é o RHEV, Red Hat Enterprise
Virtualization, quase a metade do preço do VMWare... Existe também o Xen e
uma solução da Oracle(que não lembro o nome agora). Não recomendo utilizar o
virtualbox.. visto que é um produto voltado para desktops

Em 16 de dezembro de 2010 20:43, Leonardo Carneiro
escreveu:

> A máquina virtual não conseguia sustentar a performance. Após algumas
> horas de execução pesada (entre 60 e 100 horas), a performance
> começava a degradar até o ponto onde a máquina finalmente travava. Foi
> a mesma situação com 4 máquinas virtuais diferentes (com diferentes SO
> guests) em duas máquinas físicas diferentes. O problema persistiu
> entre as versões 3.0.6 até a 3.2.10, quando eu parei de usar o vbox
> para virtualizar servidores.
>
> Não obstante, eu ainda acho um produto fantástico, pois as facilidades
> e o tipo de recurso avançado que ele traz pro desktop são fantásticos.
>
>
>
> 2010/12/16 Eden Caldas :
> > Leonardo
> >
> > Poderia descrever qual foi o problema desastroso que você experimentou
> com o
> > virtualbox?
> >
> > Eden Caldas
> > Consultor de TI
> > e...@linuxfacil.srv.br
> > (81) 9653 7220
> > LINUX FÁCIL – Consultoria e Serviços em TI
> >
> >
> > Em 16 de dezembro de 2010 15:53, Leonardo Carneiro <
> chesterma...@gmail.com>
> > escreveu:
> >>
> >> Espero não ser linxado pela seguinte opinião: existe o Hyper-V, da MS
> >> tb. Não digo que é melhor ou pior, mas é uma solução bem decente, e
> >> kernels mais recentes do linux tem drivers GPL escritos pela própria
> >> MS para suportar o hardware virtualizado, e parece que a performance é
> >> bem satisfatória.
> >>
> >> Não quero começar um flamewar aqui sobre microsoft. Apesar de de ser
> >> um entusiasta de debian e software livre, sou um entusiasta maior
> >> ainda de coisas que funcionam, e o Hyper-V é uma delas. Também não
> >> estou diminuindo o Xen e o VMWare, que são produtos fantásticos.
> >>
> >> 2010/12/16 Anacleto Junior :
> >> > As opiniões estão sendo muito interessantes, agradeço a todos de
> >> > antemão.
> >> > Isso me fez refletir bastante e levantar esta questão para o meu
> gestor,
> >> > para que avalie novamente e possamos decidir como otimizar então o
> >> > processo
> >> > e diminuir a ociosidade dos servidores.
> >> > Aproveitando já o debate então (não sei se posso, se é off-topic; me
> >> > corrijam se não puder), quais serviços eu poderia virtualizar? Samba,
> >> > DNS,
> >> > Squid? A respeito da solução adotada, Xen e VMWare seriam opções mais
> >> > recomendadas para servidores?
> >> > Obrigado!
> >> >
> >> > Em 16 de dezembro de 2010 15:28, Leonardo Carneiro
> >> > 
> >> > escreveu:
> >> >>
> >> >> Apesar de não ter experiência própria em virtualização de firewall,
> >> >> acompanho a lista de discussão do OpenBSD (excelente para uso como
> >> >> firewall, estou gostando muito), e houve uma thread exatamente sobre
> >> >> esse tópico. Todos foram enfáticos em NÃO virtualizar firewall.
> >> >>
> >> >> O que te informo da minha experiencia de servidore com virtualbox é:
> >> >> não faça. O virtualbox é um produto muito bom, eu mesmo acompanho de
> >> >> perto o desenvolvimento, mas o seu hypervisor simplesmente não é
> >> >> robusto o suficiente para uso 24/7. Já passei por essa experiência e
> >> >> foi aterrorizante.
> >> >>
> >> >> 2010/12/16 Gustavo Soares [SLot] :
> >> >> > Você poderia dar uma olhada no XEN[1], utilizo ele a bastante tempo
> >> >> > com
> >> >> > Banco de Dados, Firewall[2] e Samba.
> >> >> >
> >> >> >
> >> >> > [1] http://wiki.xen-br.org/
> >> >> > [2] http://wiki.xen-br.org/Firewall-dmz-net
> >> >> >
> >> >> > Em 16-12-2010 13:28, Anacleto Junior escreveu:
> >> >> >
> >> >> > Poxa vida gente, estou ficando com medo! rs
> >> >> > Trabalho em uma pequena-média empresa, temos 70 usuários aqui na
> >> >> > matriz
> >> >> > e
> >> >> > mais alguns externos, não passando de 100.
> >> >> > Nosso orçamento é bem apertado, consegui comprar um switch 3Com
> >> >> > gerenciável
> >> >> > com bastante custo (o qual ainda não aprende a utillizá-lo
> >> >> > totalmente).
> >> >> > Tenho alguns hardware de servidor, Dell e IBM mas o setor
> Financeiro
> >> >> > não
> >> >> > quer investir no momento (aquela velha história do setor de TI
> gerar
> >> >> > custos). Aí que meu gestor decidiu virtualizar esse firewall, pois
> >> >> > ele é
> >> >> > muito pouco utilizado (recursos da máquina).
> >> >> > Uma das ideias dele é virtualizar o Samba também, onde temos o
> >> >> > sistema
> >> >> > de
> >> >> > arquivos. Alguém já fez esse procedimento?
> >> >> > Se mais colegas tiverem opiniões para colaborar, eu agradeço, está
> >> >> > sendo
> >> >> > muito construtiva essa ajuda.
> >> >> > Obrigado
> >> >> >
> >> >> > Em 16 de dezembro de 2

Re: Virtualização de Firewall IPtables

[Eduardo Lagares]

Bom dia, 

Aqui tentamos virtualizar FW's tanto em Linux quanto em BSD e tivemos uma série 
de problemas, principalmente com desempenho, que decidimos parar de utilizar. 
Utilizamos um hardware menos robusto para os FW's mas foi a melhor opção e saiu 
mais "barato".

Quanto ao Samba, agora que temos um Storage vamos virtualiza-lo, máquina 
virtual para processamento e dados no Storage. Mas será mais como uma 
experiência. Já li em muitos locais que não é muito recomendável virtualizar 
sistemas que necessitam de muito I/O.

Eduardo 

--- Em qui, 16/12/10, Leonardo Carneiro  escreveu:

De: Leonardo Carneiro 
Assunto: Re: Virtualização de Firewall IPtables
Para: "Eden Caldas" 
Cc: debian-user-portuguese@lists.debian.org
Data: Quinta-feira, 16 de Dezembro de 2010, 21:43

A máquina virtual não conseguia sustentar a performance. Após algumas
horas de execução pesada (entre 60 e 100 horas), a performance
começava a degradar até o ponto onde a máquina finalmente travava. Foi
a mesma situação com 4 máquinas virtuais diferentes (com diferentes SO
guests) em duas máquinas físicas diferentes. O problema persistiu
entre as versões 3.0.6 até a 3.2.10, quando eu parei de usar o vbox
para virtualizar servidores.

Não obstante, eu ainda acho um produto fantástico, pois as facilidades
e o tipo de recurso avançado que ele traz pro desktop são fantásticos.



2010/12/16 Eden Caldas :
> Leonardo
>
> Poderia descrever qual foi o problema desastroso que você experimentou com o
> virtualbox?
>
> Eden Caldas
> Consultor de TI
> e...@linuxfacil.srv.br
> (81) 9653 7220
> LINUX FÁCIL – Consultoria e Serviços em TI
>
>
> Em 16 de dezembro de 2010 15:53, Leonardo Carneiro 
> escreveu:
>>
>> Espero não ser linxado pela seguinte opinião: existe o Hyper-V, da MS
>> tb. Não digo que é melhor ou pior, mas é uma solução bem decente, e
>> kernels mais recentes do linux tem drivers GPL escritos pela própria
>> MS para suportar o hardware virtualizado, e parece que a performance é
>> bem satisfatória.
>>
>> Não quero começar um flamewar aqui sobre microsoft. Apesar de de ser
>> um entusiasta de debian e software livre, sou um entusiasta maior
>> ainda de coisas que funcionam, e o Hyper-V é uma delas. Também não
>> estou diminuindo o Xen e o VMWare, que são produtos fantásticos.
>>
>> 2010/12/16 Anacleto Junior :
>> > As opiniões estão sendo muito interessantes, agradeço a todos de
>> > antemão.
>> > Isso me fez refletir bastante e levantar esta questão para o meu gestor,
>> > para que avalie novamente e possamos decidir como otimizar então o
>> > processo
>> > e diminuir a ociosidade dos servidores.
>> > Aproveitando já o debate então (não sei se posso, se é off-topic; me
>> > corrijam se não puder), quais serviços eu poderia virtualizar? Samba,
>> > DNS,
>> > Squid? A respeito da solução adotada, Xen e VMWare seriam opções mais
>> > recomendadas para servidores?
>> > Obrigado!
>> >
>> > Em 16 de dezembro de 2010 15:28, Leonardo Carneiro
>> > 
>> > escreveu:
>> >>
>> >> Apesar de não ter experiência própria em virtualização de firewall,
>> >> acompanho a lista de discussão do OpenBSD (excelente para uso como
>> >> firewall, estou gostando muito), e houve uma thread exatamente sobre
>> >> esse tópico. Todos foram enfáticos em NÃO virtualizar firewall.
>> >>
>> >> O que te informo da minha experiencia de servidore com virtualbox é:
>> >> não faça. O virtualbox é um produto muito bom, eu mesmo acompanho de
>> >> perto o desenvolvimento, mas o seu hypervisor simplesmente não é
>> >> robusto o suficiente para uso 24/7. Já passei por essa experiência e
>> >> foi aterrorizante.
>> >>
>> >> 2010/12/16 Gustavo Soares [SLot] :
>> >> > Você poderia dar uma olhada no XEN[1], utilizo ele a bastante tempo
>> >> > com
>> >> > Banco de Dados, Firewall[2] e Samba.
>> >> >
>> >> >
>> >> > [1] http://wiki.xen-br.org/
>> >> > [2] http://wiki.xen-br.org/Firewall-dmz-net
>> >> >
>> >> > Em 16-12-2010 13:28, Anacleto Junior escreveu:
>> >> >
>> >> > Poxa vida gente, estou ficando com medo! rs
>> >> > Trabalho em uma pequena-média empresa, temos 70 usuários aqui na
>> >> > matriz
>> >> > e
>> >> > mais alguns externos, não passando de 100.
>> >> > Nosso orçamento é bem apertado, consegui comprar um switch 3Com
>> >> > gerenciável
>> >> > com bastante custo (o

Re: Virtualização de Firewall IPtables

[Flávio Barros]

Já tentaram o XEN ? Uso aqui o Cirix-xen e roda numa boa, pelo menos para
servidores web e banco de dados. Ainda não testei com proxy e firewall.

Em 17 de dezembro de 2010 06:44, Eduardo Lagares <
eduardo_laga...@yahoo.com.br> escreveu:

> Bom dia,
>
> Aqui tentamos virtualizar FW's tanto em Linux quanto em BSD e tivemos uma
> série de problemas, principalmente com desempenho, que decidimos parar de
> utilizar. Utilizamos um hardware menos robusto para os FW's mas foi a melhor
> opção e saiu mais "barato".
>
> Quanto ao Samba, agora que temos um Storage vamos virtualiza-lo, máquina
> virtual para processamento e dados no Storage. Mas será mais como uma
> experiência. Já li em muitos locais que não é muito recomendável virtualizar
> sistemas que necessitam de muito I/O.
>
> Eduardo
>
> --- Em *qui, 16/12/10, Leonardo Carneiro *escreveu:
>
>
> De: Leonardo Carneiro 
> Assunto: Re: Virtualização de Firewall IPtables
> Para: "Eden Caldas" 
> Cc: debian-user-portuguese@lists.debian.org
> Data: Quinta-feira, 16 de Dezembro de 2010, 21:43
>
> A máquina virtual não conseguia sustentar a performance. Após algumas
> horas de execução pesada (entre 60 e 100 horas), a performance
> começava a degradar até o ponto onde a máquina finalmente travava. Foi
> a mesma situação com 4 máquinas virtuais diferentes (com diferentes SO
> guests) em duas máquinas físicas diferentes. O problema persistiu
> entre as versões 3.0.6 até a 3.2.10, quando eu parei de usar o vbox
> para virtualizar servidores.
>
> Não obstante, eu ainda acho um produto fantástico, pois as facilidades
> e o tipo de recurso avançado que ele traz pro desktop são fantásticos.
>
>
>
> 2010/12/16 Eden Caldas 
> http://mc/compose?to=edencal...@gmail.com>
> >:
> > Leonardo
> >
> > Poderia descrever qual foi o problema desastroso que você experimentou
> com o
> > virtualbox?
> >
> > Eden Caldas
> > Consultor de TI
> > e...@linuxfacil.srv.br <http://mc/compose?to=e...@linuxfacil.srv.br>
> > (81) 9653 7220
> > LINUX FÁCIL – Consultoria e Serviços em TI
> >
> >
> > Em 16 de dezembro de 2010 15:53, Leonardo Carneiro <
> chesterma...@gmail.com <http://mc/compose?to=chesterma...@gmail.com>>
> > escreveu:
> >>
> >> Espero não ser linxado pela seguinte opinião: existe o Hyper-V, da MS
> >> tb. Não digo que é melhor ou pior, mas é uma solução bem decente, e
> >> kernels mais recentes do linux tem drivers GPL escritos pela própria
> >> MS para suportar o hardware virtualizado, e parece que a performance é
> >> bem satisfatória.
> >>
> >> Não quero começar um flamewar aqui sobre microsoft. Apesar de de ser
> >> um entusiasta de debian e software livre, sou um entusiasta maior
> >> ainda de coisas que funcionam, e o Hyper-V é uma delas. Também não
> >> estou diminuindo o Xen e o VMWare, que são produtos fantásticos.
> >>
> >> 2010/12/16 Anacleto Junior 
> >> http://mc/compose?to=suporte.anacl...@gmail.com>
> >:
> >> > As opiniões estão sendo muito interessantes, agradeço a todos de
> >> > antemão.
> >> > Isso me fez refletir bastante e levantar esta questão para o meu
> gestor,
> >> > para que avalie novamente e possamos decidir como otimizar então o
> >> > processo
> >> > e diminuir a ociosidade dos servidores.
> >> > Aproveitando já o debate então (não sei se posso, se é off-topic; me
> >> > corrijam se não puder), quais serviços eu poderia virtualizar? Samba,
> >> > DNS,
> >> > Squid? A respeito da solução adotada, Xen e VMWare seriam opções mais
> >> > recomendadas para servidores?
> >> > Obrigado!
> >> >
> >> > Em 16 de dezembro de 2010 15:28, Leonardo Carneiro
> >> > http://mc/compose?to=chesterma...@gmail.com>
> >
> >> > escreveu:
> >> >>
> >> >> Apesar de não ter experiência própria em virtualização de firewall,
> >> >> acompanho a lista de discussão do OpenBSD (excelente para uso como
> >> >> firewall, estou gostando muito), e houve uma thread exatamente sobre
> >> >> esse tópico. Todos foram enfáticos em NÃO virtualizar firewall.
> >> >>
> >> >> O que te informo da minha experiencia de servidore com virtualbox é:
> >> >> não faça. O virtualbox é um produto muito bom, eu mesmo acompanho de
> >> >> perto o desenvolvimento, mas o seu hypervisor simplesmente não é
> >> >> robusto o suficiente para uso 24/7. Já passei por essa 

Re: Virtualização de Firewall IPtables

[Eduardo Lagares]

O Xen é uma beleza mesmo. Mas só virtualizamos para bancos pequenos e para WEB 
funciona muito bem.

--- Em sex, 17/12/10, Flávio Barros  escreveu:

De: Flávio Barros 
Assunto: Re: Virtualização de Firewall IPtables
Para: "d-u-p" 
Data: Sexta-feira, 17 de Dezembro de 2010, 9:39

Já tentaram o XEN ? Uso aqui o Cirix-xen e roda numa boa, pelo menos para 
servidores web e banco de dados. Ainda não testei com proxy e firewall.

Em 17 de dezembro de 2010 06:44, Eduardo Lagares  
escreveu:

Bom dia, 

Aqui tentamos virtualizar FW's tanto em Linux quanto em BSD e tivemos uma série 
de problemas, principalmente com desempenho, que decidimos parar de utilizar. 
Utilizamos um hardware menos robusto para os FW's mas foi a melhor opção e saiu 
mais "barato".


Quanto ao Samba, agora que temos um Storage vamos virtualiza-lo, máquina 
virtual para processamento e dados no Storage. Mas será mais como uma 
experiência. Já li em muitos locais que não é muito recomendável virtualizar 
sistemas que necessitam de muito I/O.


Eduardo 

--- Em qui, 16/12/10, Leonardo Carneiro  escreveu:


De: Leonardo Carneiro 
Assunto: Re: Virtualização de Firewall
 IPtables
Para: "Eden Caldas" 
Cc: debian-user-portuguese@lists.debian.org

Data: Quinta-feira, 16 de Dezembro de 2010, 21:43

A máquina virtual não conseguia sustentar a performance. Após algumas
horas de execução pesada (entre 60 e 100 horas), a performance

começava a degradar até o ponto onde a máquina finalmente travava. Foi
a mesma situação com 4 máquinas virtuais diferentes (com diferentes SO
guests) em duas máquinas físicas diferentes. O problema persistiu
entre as versões 3.0.6 até a 3.2.10, quando eu parei de usar o vbox

para virtualizar servidores.

Não obstante, eu ainda acho um produto fantástico, pois as facilidades
e o tipo de recurso avançado que ele traz pro desktop são fantásticos.



2010/12/16 Eden Caldas :

> Leonardo
>
> Poderia descrever qual foi o problema desastroso que você experimentou com o
> virtualbox?
>
> Eden Caldas
> Consultor de TI
> e...@linuxfacil.srv.br

> (81) 9653 7220
> LINUX FÁCIL – Consultoria e Serviços em TI
>
>
> Em 16 de dezembro de 2010 15:53, Leonardo Carneiro 

> escreveu:
>>
>> Espero não ser linxado pela seguinte opinião: existe o Hyper-V, da MS
>> tb. Não digo que é melhor ou pior, mas é uma solução bem decente, e
>> kernels mais recentes do linux tem drivers GPL escritos pela própria

>> MS para suportar o
 hardware virtualizado, e parece que a performance é
>> bem satisfatória.
>>
>> Não quero começar um flamewar aqui sobre microsoft. Apesar de de ser
>> um entusiasta de debian e software livre, sou um entusiasta maior

>> ainda de coisas que funcionam, e o Hyper-V é uma delas. Também não
>> estou diminuindo o Xen e o VMWare, que são produtos fantásticos.
>>
>> 2010/12/16 Anacleto Junior :

>> > As opiniões estão sendo muito interessantes, agradeço a todos de
>> > antemão.
>> > Isso me fez refletir bastante e levantar esta questão para o meu gestor,
>> > para que avalie novamente e possamos decidir como otimizar então o

>> > processo
>> > e diminuir a ociosidade dos
 servidores.
>> > Aproveitando já o debate então (não sei se posso, se é off-topic; me
>> > corrijam se não puder), quais serviços eu poderia virtualizar? Samba,
>> > DNS,
>> > Squid? A respeito da solução adotada, Xen e VMWare seriam opções mais

>> > recomendadas para servidores?
>> > Obrigado!
>> >
>> > Em 16 de dezembro de 2010 15:28, Leonardo Carneiro
>> > 

>> > escreveu:
>> >>
>> >> Apesar de não ter experiência própria em virtualização de firewall,
>> >> acompanho a lista de discussão do OpenBSD (excelente para uso como

>> >> firewall, estou gostando muito), e houve uma thread exatamente sobre
>> >> esse tópico. Todos
 foram enfáticos em NÃO virtualizar firewall.
>> >>
>> >> O que te informo da minha experiencia de servidore com virtualbox é:
>> >> não faça. O virtualbox é um produto muito bom, eu mesmo acompanho de

>> >> perto o desenvolvimento, mas o seu hypervisor simplesmente não é
>> >> robusto o suficiente para uso 24/7. Já passei por essa experiência e
>> >> foi aterrorizante.
>> >>

>> >> 2010/12/16 Gustavo Soares [SLot] :
>> >> > Você poderia dar uma olhada no XEN[1], utilizo ele a bastante tempo

>> >> > com
>> >> > Banco de Dados, Firewall[2] e Samba.
>> >> >
>> >> >
>> >> > [1] http://wiki.xen-br.org/

>> >> > [2] http://wiki.xen-br.org/Firewall-dmz-net
>> >> >
>> >

Re: Virtualização de Firewall IPtables

[Flávio Barros]

Utilizo o Citrix-XEN para bancos enormes, tanto no mysql quanto no postgres.
Até agora nunca tive problemas.

Abraços



Em 17 de dezembro de 2010 07:49, Eduardo Lagares <
eduardo_laga...@yahoo.com.br> escreveu:

> O Xen é uma beleza mesmo. Mas só virtualizamos para bancos pequenos e para
> WEB funciona muito bem.
>
> --- Em *sex, 17/12/10, Flávio Barros * escreveu:
>
>
> De: Flávio Barros 
>
> Assunto: Re: Virtualização de Firewall IPtables
> Para: "d-u-p" 
> Data: Sexta-feira, 17 de Dezembro de 2010, 9:39
>
>
> Já tentaram o XEN ? Uso aqui o Cirix-xen e roda numa boa, pelo menos para
> servidores web e banco de dados. Ainda não testei com proxy e firewall.
>
> Em 17 de dezembro de 2010 06:44, Eduardo Lagares <
> eduardo_laga...@yahoo.com.br<http://mc/compose?to=eduardo_laga...@yahoo.com.br>
> > escreveu:
>
> Bom dia,
>
> Aqui tentamos virtualizar FW's tanto em Linux quanto em BSD e tivemos uma
> série de problemas, principalmente com desempenho, que decidimos parar de
> utilizar. Utilizamos um hardware menos robusto para os FW's mas foi a melhor
> opção e saiu mais "barato".
>
> Quanto ao Samba, agora que temos um Storage vamos virtualiza-lo, máquina
> virtual para processamento e dados no Storage. Mas será mais como uma
> experiência. Já li em muitos locais que não é muito recomendável virtualizar
> sistemas que necessitam de muito I/O.
>
> Eduardo
>
> --- Em *qui, 16/12/10, Leonardo Carneiro 
> http://mc/compose?to=chesterma...@gmail.com>
> >* escreveu:
>
>
> De: Leonardo Carneiro 
> http://mc/compose?to=chesterma...@gmail.com>
> >
> Assunto: Re: Virtualização de Firewall IPtables
> Para: "Eden Caldas" 
> http://mc/compose?to=edencal...@gmail.com>
> >
> Cc: 
> debian-user-portuguese@lists.debian.org<http://mc/compose?to=debian-user-portugu...@lists.debian.org>
> Data: Quinta-feira, 16 de Dezembro de 2010, 21:43
>
> A máquina virtual não conseguia sustentar a performance. Após algumas
> horas de execução pesada (entre 60 e 100 horas), a performance
> começava a degradar até o ponto onde a máquina finalmente travava. Foi
> a mesma situação com 4 máquinas virtuais diferentes (com diferentes SO
> guests) em duas máquinas físicas diferentes. O problema persistiu
> entre as versões 3.0.6 até a 3.2.10, quando eu parei de usar o vbox
> para virtualizar servidores.
>
> Não obstante, eu ainda acho um produto fantástico, pois as facilidades
> e o tipo de recurso avançado que ele traz pro desktop são fantásticos.
>
>
>
> 2010/12/16 Eden Caldas 
> http://mc/compose?to=edencal...@gmail.com>
> >:
> > Leonardo
> >
> > Poderia descrever qual foi o problema desastroso que você experimentou
> com o
> > virtualbox?
> >
> > Eden Caldas
> > Consultor de TI
> > e...@linuxfacil.srv.br <http://mc/compose?to=e...@linuxfacil.srv.br>
> > (81) 9653 7220
> > LINUX FÁCIL – Consultoria e Serviços em TI
> >
> >
> > Em 16 de dezembro de 2010 15:53, Leonardo Carneiro <
> chesterma...@gmail.com <http://mc/compose?to=chesterma...@gmail.com>>
> > escreveu:
> >>
> >> Espero não ser linxado pela seguinte opinião: existe o Hyper-V, da MS
> >> tb. Não digo que é melhor ou pior, mas é uma solução bem decente, e
> >> kernels mais recentes do linux tem drivers GPL escritos pela própria
> >> MS para suportar o hardware virtualizado, e parece que a performance é
> >> bem satisfatória.
> >>
> >> Não quero começar um flamewar aqui sobre microsoft. Apesar de de ser
> >> um entusiasta de debian e software livre, sou um entusiasta maior
> >> ainda de coisas que funcionam, e o Hyper-V é uma delas. Também não
> >> estou diminuindo o Xen e o VMWare, que são produtos fantásticos.
> >>
> >> 2010/12/16 Anacleto Junior 
> >> http://mc/compose?to=suporte.anacl...@gmail.com>
> >:
> >> > As opiniões estão sendo muito interessantes, agradeço a todos de
> >> > antemão.
> >> > Isso me fez refletir bastante e levantar esta questão para o meu
> gestor,
> >> > para que avalie novamente e possamos decidir como otimizar então o
> >> > processo
> >> > e diminuir a ociosidade dos servidores.
> >> > Aproveitando já o debate então (não sei se posso, se é off-topic; me
> >> > corrijam se não puder), quais serviços eu poderia virtualizar? Samba,
> >> > DNS,
> >> > Squid? A respeito da solução adotada, Xen e VMWare seriam opções mais
> >> > recomendadas para servidores?
> >> > Obrigado!
> >> >
>

Re: Virtualização de Firewall IPtables

[Rodrigo Batista]

Olá galera,
minha opinião, firewall não poder ficar em uma virtual por uma serie de
fatores.
melhor pegar uma maquina bem simples para que possa atender sua necessidade
e o baixo custo. (vendo que TI com baixo custo nao é o ideal)

Sobre Virtualização, uso hoje em uma empresa X um hp com 2 vm uma com
fileserver+ldap+samba e na outra um antivirus kaspersky e servidor de bkp.
esta tudo muito bem já a 1 ano estando 100% full-time-horas.

Xen é uma das melhores ferramentas.

-
<<@@ Tenha uma Longa ViDa @@>>

*Rodrigo Batista*

Celular :. 011-7865-6291



Em 17 de dezembro de 2010 10:04, Flávio Barros escreveu:

> Utilizo o Citrix-XEN para bancos enormes, tanto no mysql quanto no
> postgres. Até agora nunca tive problemas.
>
> Abraços
>
>
>
> Em 17 de dezembro de 2010 07:49, Eduardo Lagares <
> eduardo_laga...@yahoo.com.br> escreveu:
>
>  O Xen é uma beleza mesmo. Mas só virtualizamos para bancos pequenos e para
>> WEB funciona muito bem.
>>
>> --- Em *sex, 17/12/10, Flávio Barros * escreveu:
>>
>>
>> De: Flávio Barros 
>>
>> Assunto: Re: Virtualização de Firewall IPtables
>> Para: "d-u-p" 
>> Data: Sexta-feira, 17 de Dezembro de 2010, 9:39
>>
>>
>> Já tentaram o XEN ? Uso aqui o Cirix-xen e roda numa boa, pelo menos para
>> servidores web e banco de dados. Ainda não testei com proxy e firewall.
>>
>> Em 17 de dezembro de 2010 06:44, Eduardo Lagares <
>> eduardo_laga...@yahoo.com.br<http://mc/compose?to=eduardo_laga...@yahoo.com.br>
>> > escreveu:
>>
>> Bom dia,
>>
>> Aqui tentamos virtualizar FW's tanto em Linux quanto em BSD e tivemos uma
>> série de problemas, principalmente com desempenho, que decidimos parar de
>> utilizar. Utilizamos um hardware menos robusto para os FW's mas foi a melhor
>> opção e saiu mais "barato".
>>
>> Quanto ao Samba, agora que temos um Storage vamos virtualiza-lo, máquina
>> virtual para processamento e dados no Storage. Mas será mais como uma
>> experiência. Já li em muitos locais que não é muito recomendável virtualizar
>> sistemas que necessitam de muito I/O.
>>
>> Eduardo
>>
>> --- Em *qui, 16/12/10, Leonardo Carneiro 
>> http://mc/compose?to=chesterma...@gmail.com>
>> >* escreveu:
>>
>>
>> De: Leonardo Carneiro 
>> http://mc/compose?to=chesterma...@gmail.com>
>> >
>> Assunto: Re: Virtualização de Firewall IPtables
>> Para: "Eden Caldas" 
>> http://mc/compose?to=edencal...@gmail.com>
>> >
>> Cc: 
>> debian-user-portuguese@lists.debian.org<http://mc/compose?to=debian-user-portugu...@lists.debian.org>
>> Data: Quinta-feira, 16 de Dezembro de 2010, 21:43
>>
>> A máquina virtual não conseguia sustentar a performance. Após algumas
>> horas de execução pesada (entre 60 e 100 horas), a performance
>> começava a degradar até o ponto onde a máquina finalmente travava. Foi
>> a mesma situação com 4 máquinas virtuais diferentes (com diferentes SO
>> guests) em duas máquinas físicas diferentes. O problema persistiu
>> entre as versões 3.0.6 até a 3.2.10, quando eu parei de usar o vbox
>> para virtualizar servidores.
>>
>> Não obstante, eu ainda acho um produto fantástico, pois as facilidades
>> e o tipo de recurso avançado que ele traz pro desktop são fantásticos.
>>
>>
>>
>> 2010/12/16 Eden Caldas 
>> http://mc/compose?to=edencal...@gmail.com>
>> >:
>> > Leonardo
>> >
>> > Poderia descrever qual foi o problema desastroso que você experimentou
>> com o
>> > virtualbox?
>> >
>> > Eden Caldas
>> > Consultor de TI
>> > e...@linuxfacil.srv.br <http://mc/compose?to=e...@linuxfacil.srv.br>
>> > (81) 9653 7220
>> > LINUX FÁCIL – Consultoria e Serviços em TI
>> >
>> >
>> > Em 16 de dezembro de 2010 15:53, Leonardo Carneiro <
>> chesterma...@gmail.com <http://mc/compose?to=chesterma...@gmail.com>>
>> > escreveu:
>> >>
>> >> Espero não ser linxado pela seguinte opinião: existe o Hyper-V, da MS
>> >> tb. Não digo que é melhor ou pior, mas é uma solução bem decente, e
>> >> kernels mais recentes do linux tem drivers GPL escritos pela própria
>> >> MS para suportar o hardware virtualizado, e parece que a performance é
>> >> bem satisfatória.
>> >>
>> >> Não quero começar um flamewar aqui sobre microsoft. Apesar de de ser
>> >> um entusiasta de debian e software livre, 

Re: Res: Firewall - Iptables - TCC

[Pedro -]

Pessoal,

Obrigado por inquanto. Vou implementar algumas funcionalidades do 
iptables em uma rede. Resolvendo algumas necessidades que surgiram.
O Tema vai ser algo como "Implementar um firewall seguro e agregar mais 
possibilidades para conexoes/trafego de rede local e externa utilizando 
Iptables"



Alguma obs...?


Em 3/5/2011 12:36, Alexandre Pereira Bühler escreveu:

Obrigado
Eu tenho este livro e é muito bom.
Mas foi o Pedro que pediu sugestão.

Em 03/05/2011 12:05, Anacleto Pavão escreveu:

Caro Alexandre.


De uma olhadinha em um livro:

Titulo: Dominando Linux Firewall Iptables
Autor: Urubatan Neto.
Edição: Edito4ra Viência Moderna Ltda. 2004

Apesar de ser um livro técnico você irá encontrar bastante coisa 
interessante. Boa sorte.



*De:* Sandro Wambier 
*Para:* pedro almeida 
*Cc:* alexan...@simaoebuhler.com.br; 
debian-user-portuguese@lists.debian.org

*Enviadas:* Segunda-feira, 2 de Maio de 2011 14:32:26
*Assunto:* Re: Firewall - Iptables - TCC

Olá Pedro!

Um assunto interessante também é firewall na camada de aplicação, 
procure por Iptables Layer 7


Abraço.

Sandro

Em 28 de abril de 2011 19:49, pedro almeida <mailto:almeida.l...@gmail.com>> escreveu:


Pessoal,

Obrigado pela ajuda, estou procurando um problema para inserir o
iptables. Talvez ele com mais algo IDS ou n sei...
Está parte está pegando estou com algumas ideias mais esta meio
complicado escolher...Aceito sugestoes.

Alexandre achei bem interessante a sua ideia. Vou pesquisar.

Em 28 de abril de 2011 11:04, Alexandre Pereira Bühler
mailto:alexan...@simaoebuhler.com.br>> escreveu:

Esqueci de uma coisa. Muita gente acha que iptables e
netfilter é a mesma coisa, mas não é.
Coloque esta diferença no seu tcc.



Em 28/04/2011 09:10, Pedro - escreveu:

Pessoal,


Estou comecando a procurar artigos sobre firewall
utilizando iptables ´para fazer meu TCC, estou com um
pouco de dificuldade para encontrar TCC's na area ja
achei alguns mais preciso de mais fontes. Alguem sabe
aonde posso buscar, tem alguma dica ou qualquer coisa que
possa ajudar. Talvez alguma funcionalidade interessante
que possa ser abordada no TCC 


Obrigado desde já.




-- 
Alexandre Pereira Bühler

Técnico Eletroeletrônica - Senai - MG
Linux User: 397.546
Colunista: www.delphisophp.com <http://www.delphisophp.com>
Owner: http://br.groups.yahoo.com/group/freepascal/
Liberdade é essencial. Use GNU/Linux.
Legalize os softwares de sua empresa

Simão&   Bühler Ltda (Infobrindes)
Instalação, manutenção, venda de servidores e computadores
com GNU/Linux.
http://www.simaoebuhler.com.br
Hardware! Acesse, veja e tenha produtos com qualidade,
garantia e nota fiscal.
http://www.simaoebuhler.com.br/loja
alexan...@simaoebuhler.com.br
<mailto:alexan...@simaoebuhler.com.br>
Telefone: (41) 3538-5428

Infobrindes (Simão&   Bühler Ltda)
Brindes e material promocional.
http://www.infobrindes.com.br
alexan...@infobrindes.com.br
<mailto:alexan...@infobrindes.com.br>
Telefone: (41) 3532-5428



-- 
To UNSUBSCRIBE, email to

debian-user-portuguese-requ...@lists.debian.org
<mailto:debian-user-portuguese-requ...@lists.debian.org>
with a subject of "unsubscribe". Trouble? Contact
listmas...@lists.debian.org <mailto:listmas...@lists.debian.org>
Archive:
http://lists.debian.org/4db973fd.10...@simaoebuhler.com.br





--
/Wambier.net - Tecnologia e Serviços/
/Be free, use Linux/



---
*Texto inserido por Panda GP 2011:*

Trata-se de uma mensagem não solicitada (SPAM), clique no link para 
classificá-la novamente: É SPAM! 
<http://localhost:6083/Panda?ID=pav_248&SPAM=true&path=C:%5CUsers%5CAlexandre%5CAppData%5CLocal%5CPanda%20Security%5CPanda%20Global%20Protection%202011%5CAntiSpam>

---

Re: Ajuda com Firewall Iptables

[Samuel Rios Carvalho]

Sua regra de libera;'ao de trafego no lo ta duas vezes. tira la
eu naum faria como vc fez.
no iptables tem o -P que eh de policy.
a meu ver vc num ta barrando (entrada da rede) nada direito no seu
firewall naum alem de portas UDP (que acho q nem seria tao necessario,
ja que sao stateless). e o seu bloquei por --syn, achei legal naum.
mas vc que sabe.
valew.

Samuel Rios Carvalho



2008/10/13 Adauto Serpa <[EMAIL PROTECTED]>:
> Boa tarde Pessoal,
>
> Escrevi um script shell para Firewall com base na net
> e ele está me atendendo bem para administração de
> serviços internos, porém estou preocupado com a segurança dele externa.
>
> Gostaria de saber se meu Firewall oferece um bom nível de proteção ou
> o que falta nele para a administração interna e externa de serviços.
>
> Segue em anexo minhas regras do iptables, obrigado.
>
>
> --
> Adauto Serpa
> Tecnólogo em Informática
> Jabber: [EMAIL PROTECTED]
> Email:  [EMAIL PROTECTED]
> MSN:   [EMAIL PROTECTED]
>


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Ajuda com Firewall Iptables

[Samuel Rios Carvalho]

falei bobagem em relacao as portas udp sobre o bloqueio dela.

Samuel Rios Carvalho



2008/10/13 Samuel Rios Carvalho <[EMAIL PROTECTED]>:
> Sua regra de libera;'ao de trafego no lo ta duas vezes. tira la
> eu naum faria como vc fez.
> no iptables tem o -P que eh de policy.
> a meu ver vc num ta barrando (entrada da rede) nada direito no seu
> firewall naum alem de portas UDP (que acho q nem seria tao necessario,
> ja que sao stateless). e o seu bloquei por --syn, achei legal naum.
> mas vc que sabe.
> valew.
>
> Samuel Rios Carvalho
>
>
>
> 2008/10/13 Adauto Serpa <[EMAIL PROTECTED]>:
>> Boa tarde Pessoal,
>>
>> Escrevi um script shell para Firewall com base na net
>> e ele está me atendendo bem para administração de
>> serviços internos, porém estou preocupado com a segurança dele externa.
>>
>> Gostaria de saber se meu Firewall oferece um bom nível de proteção ou
>> o que falta nele para a administração interna e externa de serviços.
>>
>> Segue em anexo minhas regras do iptables, obrigado.
>>
>>
>> --
>> Adauto Serpa
>> Tecnólogo em Informática
>> Jabber: [EMAIL PROTECTED]
>> Email:  [EMAIL PROTECTED]
>> MSN:   [EMAIL PROTECTED]
>>
>


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Ajuda com Firewall Iptables

[Sinval Júnior]

Audo você não especificou policiamento padrão sendo assim o Iptables
aceitará tudo que não foi bloqueado. Firewall permissivo é mais difícil de
administrar e agente sempre acaba deixando algo aberto.

Veja como ficaria melhor.

#Regras padrão
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Agora é libere apenas o necessário
iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables-A INPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

E assim por diante.

2008/10/13 Adauto Serpa <[EMAIL PROTECTED]>

> Boa tarde Pessoal,
>
> Escrevi um script shell para Firewall com base na net
> e ele está me atendendo bem para administração de
> serviços internos, porém estou preocupado com a segurança dele externa.
>
> Gostaria de saber se meu Firewall oferece um bom nível de proteção ou
> o que falta nele para a administração interna e externa de serviços.
>
> Segue em anexo minhas regras do iptables, obrigado.
>
>
> --
> Adauto Serpa
> Tecnólogo em Informática
> Jabber: [EMAIL PROTECTED]
> Email:  [EMAIL PROTECTED]
> MSN:   [EMAIL PROTECTED]
>



-- 
+===+
#!/usr/bin/env python
print "Sinval Júnior"
print "[EMAIL PROTECTED]"
+===+
+NÃO USE DROGAS!!! USE GNU/LINUX!!!  +
+===+

Re: Ajuda com Firewall Iptables

[paulobruck1]

Em Ter, 2008-10-14 às 10:41 -0200, Adauto Serpa escreveu:
> Sinval,
> 
> Gostei da sua explicação. Realmente assim acredique fique bem seguro.
> Sou iniciante com iptables e tenho duvida com relação a esses duas
> regras:
> 
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> 
> Pra que servem ?

ok se vc quer aprender iptables sugiro ler o melhor howto que eu conheco
sobre o tema:
http://iptables-tutorial.frozentux.net/iptables-tutorial.html

boa leitura
[]s
> 
> desde já agradeço,
> 
> -- 
> Adauto Serpa
> Tecnólogo em Informática
> Jabber: [EMAIL PROTECTED]
> Email:  [EMAIL PROTECTED]
> MSN:   [EMAIL PROTECTED]
> 
> 2008/10/13 Sinval Júnior <[EMAIL PROTECTED]>:
> > Audo você não especificou policiamento padrão sendo assim o Iptables
> > aceitará tudo que não foi bloqueado. Firewall permissivo é mais difícil de
> > administrar e agente sempre acaba deixando algo aberto.
> >
> > Veja como ficaria melhor.
> >
> > #Regras padrão
> > iptables -P INPUT DROP
> > iptables -P OUTPUT DROP
> > iptables -P FORWARD DROP
> > #Agora é libere apenas o necessário
> > iptables -A INPUT -i lo -j ACCEPT
> >
> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> > iptables-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
> >
> > iptables -A OUTPUT -o lo -j ACCEPT
> > iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> >
> > E assim por diante.
> >
> > 2008/10/13 Adauto Serpa <[EMAIL PROTECTED]>
> >>
> >> Boa tarde Pessoal,
> >>
> >> Escrevi um script shell para Firewall com base na net
> >> e ele está me atendendo bem para administração de
> >> serviços internos, porém estou preocupado com a segurança dele externa.
> >>
> >> Gostaria de saber se meu Firewall oferece um bom nível de proteção ou
> >> o que falta nele para a administração interna e externa de serviços.
> >>
> >> Segue em anexo minhas regras do iptables, obrigado.
> >>
> >>
> >> --
> >> Adauto Serpa
> >> Tecnólogo em Informática
> >> Jabber: [EMAIL PROTECTED]
> >> Email:  [EMAIL PROTECTED]
> >> MSN:   [EMAIL PROTECTED]
> >
> >
> >
> > --
> > +===+
> > #!/usr/bin/env python
> > print "Sinval Júnior"
> > print "[EMAIL PROTECTED]"
> > +===+
> > +NÃO USE DROGAS!!! USE GNU/LINUX!!!  +
> > +===+
> >
> >
> 
> 
-- 
Paulo Ricardo Bruck - consultor
tel 011 3596-4881 011 3596-4882 cel 011 9235-4327
Contato Global Solutions
http://www.contatogs.com.br


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Ajuda com Firewall Iptables

[Adauto Serpa]

Sinval,

Gostei da sua explicação. Realmente assim acredique fique bem seguro.
Sou iniciante com iptables e tenho duvida com relação a esses duas
regras:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Pra que servem ?

desde já agradeço,

-- 
Adauto Serpa
Tecnólogo em Informática
Jabber: [EMAIL PROTECTED]
Email:  [EMAIL PROTECTED]
MSN:   [EMAIL PROTECTED]

2008/10/13 Sinval Júnior <[EMAIL PROTECTED]>:
> Audo você não especificou policiamento padrão sendo assim o Iptables
> aceitará tudo que não foi bloqueado. Firewall permissivo é mais difícil de
> administrar e agente sempre acaba deixando algo aberto.
>
> Veja como ficaria melhor.
>
> #Regras padrão
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
> #Agora é libere apenas o necessário
> iptables -A INPUT -i lo -j ACCEPT
>
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
>
> iptables -A OUTPUT -o lo -j ACCEPT
> iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
>
> E assim por diante.
>
> 2008/10/13 Adauto Serpa <[EMAIL PROTECTED]>
>>
>> Boa tarde Pessoal,
>>
>> Escrevi um script shell para Firewall com base na net
>> e ele está me atendendo bem para administração de
>> serviços internos, porém estou preocupado com a segurança dele externa.
>>
>> Gostaria de saber se meu Firewall oferece um bom nível de proteção ou
>> o que falta nele para a administração interna e externa de serviços.
>>
>> Segue em anexo minhas regras do iptables, obrigado.
>>
>>
>> --
>> Adauto Serpa
>> Tecnólogo em Informática
>> Jabber: [EMAIL PROTECTED]
>> Email:  [EMAIL PROTECTED]
>> MSN:   [EMAIL PROTECTED]
>
>
>
> --
> +===+
> #!/usr/bin/env python
> print "Sinval Júnior"
> print "[EMAIL PROTECTED]"
> +===+
> +NÃO USE DROGAS!!! USE GNU/LINUX!!!  +
> +===+
>
>


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Ajuda com Firewall Iptables

[Sinval Júnior]

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Esta regra irá aceitar conexões(INPUT) que possuem estado "--state" ,
conexões já estabelecidas (ESTABLISHED) e relacionada(RELATED) que informa
mensagens de erro etc... É importante pois imagine que alguém esteja
conectado via FTP(baixando um arquivo de 3 GB e falte apenas 10%) e você
resolve mudar alguma regra, ou algo do tipo.

iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Esta regra irá aceitar conexões(OUTPUT) que possuem estado "--state"
,conexões já estabelecidas (ESTABLISHED) e relacionada(RELATED) que informa
mensagens de erro etc... É importante pois imagine que alguém esteja
conectado via FTP(baixando um arquivo de 3 GB e falte apenas 10%) e você
resolve mudar alguma regra, ou algo do tipo e NEW(novas) irá aceitar novas
coneçãos de saída já que o policiamento padrão definimos no e-mail anterior
boqueia tudo.



2008/10/14 Adauto Serpa <[EMAIL PROTECTED]>

> Sinval,
>
> Gostei da sua explicação. Realmente assim acredique fique bem seguro.
> Sou iniciante com iptables e tenho duvida com relação a esses duas
> regras:
>
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
>
> Pra que servem ?
>
> desde já agradeço,
>
> --
> Adauto Serpa
> Tecnólogo em Informática
> Jabber: [EMAIL PROTECTED]
> Email:  [EMAIL PROTECTED]
> MSN:   [EMAIL PROTECTED]
>
> 2008/10/13 Sinval Júnior <[EMAIL PROTECTED]>:
> > Audo você não especificou policiamento padrão sendo assim o Iptables
> > aceitará tudo que não foi bloqueado. Firewall permissivo é mais difícil
> de
> > administrar e agente sempre acaba deixando algo aberto.
> >
> > Veja como ficaria melhor.
> >
> > #Regras padrão
> > iptables -P INPUT DROP
> > iptables -P OUTPUT DROP
> > iptables -P FORWARD DROP
> > #Agora é libere apenas o necessário
> > iptables -A INPUT -i lo -j ACCEPT
> >
> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> > iptables-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
> >
> > iptables -A OUTPUT -o lo -j ACCEPT
> > iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> >
> > E assim por diante.
> >
> > 2008/10/13 Adauto Serpa <[EMAIL PROTECTED]>
> >>
> >> Boa tarde Pessoal,
> >>
> >> Escrevi um script shell para Firewall com base na net
> >> e ele está me atendendo bem para administração de
> >> serviços internos, porém estou preocupado com a segurança dele externa.
> >>
> >> Gostaria de saber se meu Firewall oferece um bom nível de proteção ou
> >> o que falta nele para a administração interna e externa de serviços.
> >>
> >> Segue em anexo minhas regras do iptables, obrigado.
> >>
> >>
> >> --
> >> Adauto Serpa
> >> Tecnólogo em Informática
> >> Jabber: [EMAIL PROTECTED]
> >> Email:  [EMAIL PROTECTED]
> >> MSN:   [EMAIL PROTECTED]
> >
> >
> >
> > --
> > +===+
> > #!/usr/bin/env python
> > print "Sinval Júnior"
> > print "[EMAIL PROTECTED]"
> > +===+
> > +NÃO USE DROGAS!!! USE GNU/LINUX!!!  +
> > +===+
> >
> >
>
>
> --
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact
> [EMAIL PROTECTED]
>
>


-- 
+===+
#!/usr/bin/env python
print "Sinval Júnior"
print "[EMAIL PROTECTED]"
+===+
+NÃO USE DROGAS!!! USE GNU/LINUX!!!  +
+===+

Re: Ajuda com Firewall Iptables

[Adauto Serpa]

Valeu Sinval,

Estou fazendo mais algumas alterações de acordo com os vocês todos me falaram
assim que o eu terminar e fazer teste com as novas regras eu posto
aqui para verificação.

mais uma vez obrigado,

-- 
Adauto Serpa
Tecnólogo em Informática
Jabber: [EMAIL PROTECTED]
Email:  [EMAIL PROTECTED]
MSN:   [EMAIL PROTECTED]

2008/10/14 Sinval Júnior <[EMAIL PROTECTED]>:
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> Esta regra irá aceitar conexões(INPUT) que possuem estado "--state" ,
> conexões já estabelecidas (ESTABLISHED) e relacionada(RELATED) que informa
> mensagens de erro etc... É importante pois imagine que alguém esteja
> conectado via FTP(baixando um arquivo de 3 GB e falte apenas 10%) e você
> resolve mudar alguma regra, ou algo do tipo.
>
> iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> Esta regra irá aceitar conexões(OUTPUT) que possuem estado "--state"
> ,conexões já estabelecidas (ESTABLISHED) e relacionada(RELATED) que informa
> mensagens de erro etc... É importante pois imagine que alguém esteja
> conectado via FTP(baixando um arquivo de 3 GB e falte apenas 10%) e você
> resolve mudar alguma regra, ou algo do tipo e NEW(novas) irá aceitar novas
> coneçãos de saída já que o policiamento padrão definimos no e-mail anterior
> boqueia tudo.
>
>
>
> 2008/10/14 Adauto Serpa <[EMAIL PROTECTED]>
>>
>> Sinval,
>>
>> Gostei da sua explicação. Realmente assim acredique fique bem seguro.
>> Sou iniciante com iptables e tenho duvida com relação a esses duas
>> regras:
>>
>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
>>
>> Pra que servem ?
>>
>> desde já agradeço,
>>
>> --
>> Adauto Serpa
>> Tecnólogo em Informática
>> Jabber: [EMAIL PROTECTED]
>> Email:  [EMAIL PROTECTED]
>> MSN:   [EMAIL PROTECTED]
>>
>> 2008/10/13 Sinval Júnior <[EMAIL PROTECTED]>:
>> > Audo você não especificou policiamento padrão sendo assim o Iptables
>> > aceitará tudo que não foi bloqueado. Firewall permissivo é mais difícil
>> > de
>> > administrar e agente sempre acaba deixando algo aberto.
>> >
>> > Veja como ficaria melhor.
>> >
>> > #Regras padrão
>> > iptables -P INPUT DROP
>> > iptables -P OUTPUT DROP
>> > iptables -P FORWARD DROP
>> > #Agora é libere apenas o necessário
>> > iptables -A INPUT -i lo -j ACCEPT
>> >
>> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> > iptables-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
>> >
>> > iptables -A OUTPUT -o lo -j ACCEPT
>> > iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
>> >
>> > E assim por diante.
>> >
>> > 2008/10/13 Adauto Serpa <[EMAIL PROTECTED]>
>> >>
>> >> Boa tarde Pessoal,
>> >>
>> >> Escrevi um script shell para Firewall com base na net
>> >> e ele está me atendendo bem para administração de
>> >> serviços internos, porém estou preocupado com a segurança dele externa.
>> >>
>> >> Gostaria de saber se meu Firewall oferece um bom nível de proteção ou
>> >> o que falta nele para a administração interna e externa de serviços.
>> >>
>> >> Segue em anexo minhas regras do iptables, obrigado.
>> >>
>> >>
>> >> --
>> >> Adauto Serpa
>> >> Tecnólogo em Informática
>> >> Jabber: [EMAIL PROTECTED]
>> >> Email:  [EMAIL PROTECTED]
>> >> MSN:   [EMAIL PROTECTED]
>> >
>> >
>> >
>> > --
>> > +===+
>> > #!/usr/bin/env python
>> > print "Sinval Júnior"
>> > print "[EMAIL PROTECTED]"
>> > +===+
>> > +NÃO USE DROGAS!!! USE GNU/LINUX!!!  +
>> > +===+
>> >
>> >
>>
>>
>> --
>> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
>> with a subject of "unsubscribe". Trouble? Contact
>> [EMAIL PROTECTED]
>>
>
>
>
> --
> +===+
> #!/usr/bin/env python
> print "Sinval Júnior"
> print "[EMAIL PROTECTED]"
> +===+
> +NÃO USE DROGAS!!! USE GNU/LINUX!!!  +
> +===+
>
>


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Firewall iptables: saída indesejada no console

[Douglas A. Augusto]

Prezados,

Estou com um probleminha um tanto chato. Estou usando um firewall baseado em
iptables, funcionando perfeitamente. Porém, ele está gerando incontáveis saídas
no console, de forma que fica inviável a utilização deste em modo texto.

As saídas são algo mais ou menos assim:

"TCP drop IN=eth1 OUT= MAC=xx:xx:xx:xx:xx:xx...
.
.
.
"

Curioso que em outras distros este mesmo firewall não fazia esta loucura, mas
no Debian sim. Teria como redirecioná-lo?

-- 
Douglas Augusto

Cliente VPN PPTP atrás de Firewall Iptables

[Gilberto Nunes]

Caros Amigos


Tenho um Firewall Iptables com Debian Woody 3.0 em um kernel 2.6.9-2-386.

Dentro da Rede que este Firewall isola, há uma estação que precisa se 
conectar em uma VPN PPTP, usando um cliente de uma Empresa.

Já procurei por tudo o que é canto no Google e nada encontrei que me ajudasse 
a solucionar meu problema.

Peguei diveras regras iptables, porém nenhuma delas funcionou.

Inclusive li algo a respeito do pptp-conntrack do Iptables, um patch alias, 
mas não queria ter que recompilar o kernel para habilitar o acesso a esta 
VPN...

Teria alguma solução "mais limpa", digamos assim, de implementar isso...

Obrigado a todos...



--
Gilberto Nunes
Analista de Suporte - Rede Bonja
www.bomjesusielusc.edu.br
Fones: 433-0155 - Ramal 235

Re: Firewall iptables: saída indesejada no console

[Luiz Anversa]

Voce está usando alguma regra que gera log ??

Att
Luiz Fernando
- Original Message -
From: "Douglas A. Augusto" <[EMAIL PROTECTED]>
To: "lista-debian" 
Sent: Friday, July 25, 2003 6:01 PM
Subject: Firewall iptables: saída indesejada no console


Prezados,

Estou com um probleminha um tanto chato. Estou usando um firewall baseado em
iptables, funcionando perfeitamente. Porém, ele está gerando incontáveis
saídas
no console, de forma que fica inviável a utilização deste em modo texto.

As saídas são algo mais ou menos assim:

"TCP drop IN=eth1 OUT= MAC=xx:xx:xx:xx:xx:xx...
.
.
.
"

Curioso que em outras distros este mesmo firewall não fazia esta loucura,
mas
no Debian sim. Teria como redirecioná-lo?

--
Douglas Augusto


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]

Re: Firewall iptables: saída indesejada no console

[Douglas A. Augusto]

No dia 25/07/2003 às 17:07,
Rápido SP - CPD (Luiz Anversa) <[EMAIL PROTECTED]> escreveu:

> Voce está usando alguma regra que gera log ??

De fato sim (ver abaixo). Mas como redirecionar estes logs para um arquivo ou
ao menos para /dev/tty12?

__
iptables -N LnD # Define custom chain

iptables -A LnD -p tcp -m limit --limit 1/s -j LOG --log-prefix "TCP drop "
iptables -A LnD -p udp -m limit --limit 1/s -j LOG --log-prefix "UDP drop "
iptables -A LnD -p icmp -m limit --limit 1/s -j LOG --log-prefix "ICMP drop "
iptables -A LnD -f -m limit --limit 1/s -j LOG --log-prefix "FRAG drop "
iptables -A LnD -j DROP

#
# This custom chain logs, then REJECTs packets.
#

iptables -N LnR # Define custom chain

iptables -A LnR -p tcp -m limit --limit 1/s -j LOG --log-prefix "TCP reject "
iptables -A LnR -p udp -m limit --limit 1/s -j LOG --log-prefix "UDP reject "
iptables -A LnR -p icmp -m limit --limit 1/s -j LOG --log-prefix "ICMP reject "
iptables -A LnR -f -m limit --limit 1/s -j LOG --log-prefix "FRAG reject "
iptables -A LnR -j REJECT

#
# This chain logs, then DROPs "Xmas" and Null packets which might indicate a
# port-scan attempt
#

iptables -N ScanD   # Define custom chain

iptables -A ScanD -p tcp -m limit --limit 1/s -j LOG --log-prefix "TCP Scan? "
iptables -A ScanD -p udp -m limit --limit 1/s -j LOG --log-prefix "UDP Scan? "
iptables -A ScanD -p icmp -m limit --limit 1/s -j LOG --log-prefix "ICMP Scan? "
iptables -A ScanD -f -m limit --limit 1/s -j LOG --log-prefix "FRAG Scan? "
iptables -A ScanD -j DROP
__

[]'s,
-- 
Douglas Augusto

Re: Firewall iptables: saída indesejada no console

[Rodrigo Planche]

Douglas A. Augusto wrote:


Prezados,

Estou com um probleminha um tanto chato. Estou usando um firewall baseado em
iptables, funcionando perfeitamente. Porém, ele está gerando incontáveis saídas
no console, de forma que fica inviável a utilização deste em modo texto.

As saídas são algo mais ou menos assim:

"TCP drop IN=eth1 OUT= MAC=xx:xx:xx:xx:xx:xx...
.
.
.
"

Curioso que em outras distros este mesmo firewall não fazia esta loucura, mas
no Debian sim. Teria como redirecioná-lo?

 


E ae .. beleza?

Observe suas regras com os seguintes comandos:
iptables -t nat -L
iptables -t filter -L

E observe se alguma de suas regras esta usando como target -j "LOG" e 
logo em seguida -j "REJECT".
Deve se isso. Se voce nao quer usar o target em LOG apague essas duas 
entradas e coloque um -j DROP se for o caso de bloqueio.



Acho que é isso.
Um tut bom sobre iptables voce encontra no Focalinux
cipsga.org.br la tem o link pro Focalinux..


FAlow ae

Re: Firewall iptables: saída indesejada no console

[Leandro Guimarães Faria Corsetti Dutra]

Em Fri, 25 Jul 2003 15:01:19 -0300, Douglas A. Augusto escreveu:

> Estou com um probleminha um tanto chato. Estou usando um firewall baseado em
> iptables, funcionando perfeitamente. Porém, ele está gerando incontáveis 
> saídas
> no console, de forma que fica inviável a utilização deste em modo texto.

man syslog.


-- 
 _   Leandro Guimarães Faria Corsetti Dutra +41 (21) 648 11 34
/ \  http://br.geocities.com./lgcdutra/ +41 (78) 778 11 34
\ /  Responda à lista, não a mim diretamente!   +55 (11) 5686 2219
/ \  Dê nota se ajudei:http://svcs.affero.net/rm.php?r=leandro

Re: Firewall iptables: saída indesejada no console

[Douglas A. Augusto]

No dia 09/08/2003 às 13:50,
Leandro Guimarães Faria Corsetti Dutra <[EMAIL PROTECTED]> escreveu:

> Em Fri, 25 Jul 2003 15:01:19 -0300, Douglas A. Augusto escreveu:
> 
> > Estou com um probleminha um tanto chato. Estou usando um firewall baseado
> > em iptables, funcionando perfeitamente. Porém, ele está gerando incontáveis
> > saídas no console, de forma que fica inviável a utilização deste em modo
> > texto.
> 
>   man syslog.

man como_acompanhar_a_lista

Esta questão já foi resolvida há uns 15 dias atrás. :-D

-- 
Douglas Augusto

Cliente VPN PPTP atrás de Firewall Iptables

[Gilberto Nunes]

Caros Amigos


Tenho um Firewall Iptables com Debian Woody 3.0 em um kernel 2.6.9-2-386.

Dentro da Rede que este Firewall isola, há uma estação que precisa se 
conectar em uma VPN PPTP, usando um cliente de uma Empresa.

Já procurei por tudo o que é canto no Google e nada encontrei que me ajudasse 
a solucionar meu problema.

Peguei diveras regras iptables, porém nenhuma delas funcionou.

Inclusive li algo a respeito do pptp-conntrack do Iptables, um patch alias, 
mas não queria ter que recompilar o kernel para habilitar o acesso a esta 
VPN...

Teria alguma solução "mais limpa", digamos assim, de implementar isso...

Obrigado a todos...



--
Gilberto Nunes
Analista de Suporte - Rede Bonja
www.bomjesusielusc.edu.br
Fones: 433-0155 - Ramal 235


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

VPN em servidor Windows passando por firewall Iptables

[Jefferson Souza]

Pessoal boa tarde, seguinte tenho um firewall configurado que usa o iptables, 
tenho um servidor ruindows 2000 server e ele é meu servidor vpn, preciso saber 
como faço para meus clientes acessarem externamente.
 
No firewall eu já abri a porta 1723 e habilitei o protocolo GRE, mais mesmo 
assim não consigo me conectar, alguém sabe me dizer o que falta ou o que eu 
estou fazendo errado.
 
Desde já agrdeço.


  Alertas do Yahoo! Mail em seu celular. Saiba mais em 
http://br.mobile.yahoo.com/mailalertas/

Re: Cliente VPN PPTP atrás de Firewall Iptables

[Kleber Alves Leal]

Faça o seguinte:
adicione a seguinte regra ao seu firewall
iptables -A INPUT -j LOG
em seguida tente fazer uma conexão e depois vá em /var/log/messages e
verifique em quais portas o cliente PPTP está querendo se conectar e em
seguida libere estas portas...

Kléber


signature.asc
Description: Esta é uma parte de mensagem	assinada digitalmente

Re: Cliente VPN PPTP atrás de Firewall Iptables

[Gilberto Nunes]

Segui a recomendação do Kleber e coloquei um log tanto pro input como o 
output e pro forward.

Peguei isso no log:



IN=eth1 OUT=eth0 SRC=192.168.200.137 DST=200.162.53.3 LEN=80 TOS=0x00 
PREC=0x00 TTL=127 ID=39878 PROTO=47

Ou seja, ele esta até conectando, mas quando chega na hora de usar o 
protocolo GRE (-p 47), impaca e não sai do lugar :-)

Já tentei
iptables -A FORWARD -p 47 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT

mas nada...

Alguém ainda tá afim de me ajudar..
Obrigado


On Wed, 12 Jan 2005 18:27:30 -0300, Kleber Alves Leal wrote
> Faça o seguinte:
> adicione a seguinte regra ao seu firewall
> iptables -A INPUT -j LOG
> em seguida tente fazer uma conexão e depois vá em /var/log/messages e
> verifique em quais portas o cliente PPTP está querendo se conectar e 
> em seguida libere estas portas...
> 
> Kléber


--
Gilberto Nunes
Analista de Suporte - Rede Bonja
www.bomjesusielusc.edu.br
Fones: 433-0155 - Ramal 235

Re: Firewall iptables: saída indesejada no console (resolvido)

[Douglas A. Augusto]

No dia 25/07/2003 às 19:14,
"Douglas A. Augusto" <[EMAIL PROTECTED]> escreveu:

Obrigado ao Eldio e Reinaldo e a todos que responderam. De fato existiam pelo
menos duas soluções. A mais trivial seria comentar as regras que geravam log no
arquivo de firewall, porém esta não me interessava:

__
...
  iptables -N LnD   # Define custom chain
# iptables -A LnD -p tcp -m limit --limit 1/s -j LOG --log-prefix "TCP drop "
# iptables -A LnD -p udp -m limit --limit 1/s -j LOG --log-prefix "UDP drop "
# iptables -A LnD -p icmp -m limit --limit 1/s -j LOG --log-prefix "ICMP drop "
# iptables -A LnD -f -m limit --limit 1/s -j LOG --log-prefix "FRAG drop "
# iptables -A LnD -j DROP
...
__

A outra, mais elegante, foi feita combinando a dica do Eldio e a do Reinaldo.

Inseri no arquivo '/etc/syslog.conf' a linha '*.*/dev/tty12', isto fazia
que a saída fosse direcionada para 'tty12'.
Depois, editei a variável 'KLOGD' no arquivo '/etc/init.d/klogd' para
'KLOGD="-c 3"', evitando-se assim que os logs fossem jogados aos outros
consoles.

Bastou então reiniciar os serviços 'syslogd' e 'klogd'.

Está funcionando perfeitamente, as saídas para o tty12 e os outros consoles
estão limpos.

[]'s,
-- 
Douglas Augusto

Re: Firewall iptables: saída indesejada no console (resolvido)

[Srinath Mantripragada]

Olá Douglas,

Outra opção é utilizar a regra com ULOG, que emula um syslog especifico
pro netfilter, podendo gravar as saidas em banco de dados, caso queira.

veja os pacotes ulog*


On Fri, 2003-07-25 at 20:15, Douglas A. Augusto wrote:
> No dia 25/07/2003 às 19:14,
> "Douglas A. Augusto" <[EMAIL PROTECTED]> escreveu:
> 
> Obrigado ao Eldio e Reinaldo e a todos que responderam. De fato existiam pelo
> menos duas soluções. A mais trivial seria comentar as regras que geravam log 
> no
> arquivo de firewall, porém esta não me interessava:
> 
> __
> ...
>   iptables -N LnD # Define custom chain
> # iptables -A LnD -p tcp -m limit --limit 1/s -j LOG --log-prefix "TCP drop "
> # iptables -A LnD -p udp -m limit --limit 1/s -j LOG --log-prefix "UDP drop "
> # iptables -A LnD -p icmp -m limit --limit 1/s -j LOG --log-prefix "ICMP drop 
> "
> # iptables -A LnD -f -m limit --limit 1/s -j LOG --log-prefix "FRAG drop "
> # iptables -A LnD -j DROP
> ...
> __
> 
> A outra, mais elegante, foi feita combinando a dica do Eldio e a do Reinaldo.
> 
> Inseri no arquivo '/etc/syslog.conf' a linha '*.*/dev/tty12', isto fazia
> que a saída fosse direcionada para 'tty12'.
> Depois, editei a variável 'KLOGD' no arquivo '/etc/init.d/klogd' para
> 'KLOGD="-c 3"', evitando-se assim que os logs fossem jogados aos outros
> consoles.
> 
> Bastou então reiniciar os serviços 'syslogd' e 'klogd'.
> 
> Está funcionando perfeitamente, as saídas para o tty12 e os outros consoles
> estão limpos.
> 
> []'s,
> -- 
> Douglas Augusto
> 

Re: Cliente VPN PPTP atrás de Firewall Iptables

[Kleber Alves Leal]

Faça o seguinte:
adicione a seguinte regra ao seu firewall
iptables -A INPUT -j LOG
em seguida tente fazer uma conexão e depois vá em /var/log/messages e
verifique em quais portas o cliente PPTP está querendo se conectar e em
seguida libere estas portas...

Kléber


signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem	assinada digitalmente

Re: Cliente VPN PPTP atrás de Firewall Iptables

[andre silva]

tb tenho esssa solucao e nao apliquei patch...

coloque regras de forward no iptables mais ou menos
assim

iptables -A FORWARD -p gre -s  -d
 -j ACCEPT

iptables -A FORWARD -p tcp -s  -d
 --dport 1723 -j ACCEPT

com isso deve funcionar adapte as regras a sua
realidade e boa sorte


[]´s
Andre
 --- Gilberto Nunes
<[EMAIL PROTECTED]> escreveu: 
> Caros Amigos
> 
> 
> Tenho um Firewall Iptables com Debian Woody 3.0 em
> um kernel 2.6.9-2-386.
> 
> Dentro da Rede que este Firewall isola, há uma
> estação que precisa se 
> conectar em uma VPN PPTP, usando um cliente de uma
> Empresa.
> 
> Já procurei por tudo o que é canto no Google e nada
> encontrei que me ajudasse 
> a solucionar meu problema.
> 
> Peguei diveras regras iptables, porém nenhuma delas
> funcionou.
> 
> Inclusive li algo a respeito do pptp-conntrack do
> Iptables, um patch alias, 
> mas não queria ter que recompilar o kernel para
> habilitar o acesso a esta 
> VPN...
> 
> Teria alguma solução "mais limpa", digamos assim, de
> implementar isso...
> 
> Obrigado a todos...
> 
> 
> 
> --
> Gilberto Nunes
> Analista de Suporte - Rede Bonja
> www.bomjesusielusc.edu.br
> Fones: 433-0155 - Ramal 235
> 
> 
> -- 
> To UNSUBSCRIBE, email to
> [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact
> [EMAIL PROTECTED]
> 
>  





___ 
Yahoo! Acesso Grátis - Instale o discador do Yahoo! agora. 
http://br.acesso.yahoo.com/ - Internet rápida e grátis


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Cliente VPN PPTP atrás de Firewall Iptables

[Gilberto Nunes]

Segui a recomendação do Kleber e coloquei um log tanto pro input como o 
output e pro forward.

Peguei isso no log:



IN=eth1 OUT=eth0 SRC=192.168.200.137 DST=200.162.53.3 LEN=80 TOS=0x00 
PREC=0x00 TTL=127 ID=39878 PROTO=47

Ou seja, ele esta até conectando, mas quando chega na hora de usar o 
protocolo GRE (-p 47), impaca e não sai do lugar :-)

Já tentei
iptables -A FORWARD -p 47 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT

mas nada...

Alguém ainda tá afim de me ajudar..
Obrigado


On Wed, 12 Jan 2005 18:27:30 -0300, Kleber Alves Leal wrote
> Faça o seguinte:
> adicione a seguinte regra ao seu firewall
> iptables -A INPUT -j LOG
> em seguida tente fazer uma conexão e depois vá em /var/log/messages e
> verifique em quais portas o cliente PPTP está querendo se conectar e 
> em seguida libere estas portas...
> 
> Kléber


--
Gilberto Nunes
Analista de Suporte - Rede Bonja
www.bomjesusielusc.edu.br
Fones: 433-0155 - Ramal 235


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: VPN em servidor Windows passando por firewall Iptables

[Fabiano Pires]

Em 07/08/07, Jefferson Souza<[EMAIL PROTECTED]> escreveu:
>
>
> Pessoal boa tarde, seguinte tenho um firewall configurado que usa o
> iptables, tenho um servidor ruindows 2000 server e ele é meu servidor vpn,
> preciso saber como faço para meus clientes acessarem externamente.
>
> No firewall eu já abri a porta 1723 e habilitei o protocolo GRE, mais mesmo
> assim não consigo me conectar, alguém sabe me dizer o que falta ou o que eu
> estou fazendo errado.

Carrege (com modprobe) o modulo do protocolo pptp (acho que é
ipt_nat_pptp ou algo assim ...)

find /lib/modules -iname *pptp*

vai achar o nome certo do módulo.

Fabiano.

>
> Desde já agrdeço.
>  Alertas do Yahoo! Mail em seu celular. Saiba mais.


-- 
Abraços,
Fabiano

Re: VPN em servidor Windows passando por firewall Iptables

[Denis]

Em 07/08/07, Fabiano Pires<[EMAIL PROTECTED]> escreveu:
> Em 07/08/07, Jefferson Souza<[EMAIL PROTECTED]> escreveu:
> >
> >
> > Pessoal boa tarde, seguinte tenho um firewall configurado que usa o
> > iptables, tenho um servidor ruindows 2000 server e ele é meu servidor vpn,
> > preciso saber como faço para meus clientes acessarem externamente.
> >
> > No firewall eu já abri a porta 1723 e habilitei o protocolo GRE, mais mesmo
> > assim não consigo me conectar, alguém sabe me dizer o que falta ou o que eu
> > estou fazendo errado.
>
> Carrege (com modprobe) o modulo do protocolo pptp (acho que é
> ipt_nat_pptp ou algo assim ...)
>
> find /lib/modules -iname *pptp*
>
> vai achar o nome certo do módulo.
>
> Fabiano.
>
> >
> > Desde já agrdeço.
> >  Alertas do Yahoo! Mail em seu celular. Saiba mais.
>
>
> --
> Abraços,
> Fabiano
>
>

O cliente está na rede interna atrás do firewall? Ou é o servidor que
está na rede interna atrás do firewall?


Rastreia com o tcpdump pra ver tudo o que está chegando no firewall.

Firewall Iptables e Squid como segurança de servidor ou estação.

[Anacleto Pavão]

Pessoal gostaria de indicar 3 livros que gostei bastante e eles se completam 
bem:

Redes e Servidores Linux - Guia Prático, Carlos E. Morimoto;
Dominando Linux firewall iptables, Urubatan Neto;
Projeto de segurança em software livre -  Teoria e Prática, Sandro Melo &  
Clodovil H Trig.

Acredito que lendro esses 3 livros a maioria das pessoas irá conseguir manter 
uma boa proteção para sua estação/servidor. 

Boa sorte a todos.

   
-
Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento!