» Menu

» Últimos artigos

O kernel Linux está inchado... Mas, calma, não é bem assim! Os 5 princípios básicos de segurança para empresas Webmail Squirrelmail e Roundcubemail, Clamav e SpamAssassin integrados no MTA Postfix Software Livre: Migração de mentalidade Isoqlog no Debian - Analisando os logs do seu MTA Considerações sobre interfaces gráficas (palestra VOL DAY I)

» Screenshot

Por goajunior

» Últimas dicas

Paros Proxy - Web Application Security SPM - compilando programas-fonte com facilidade Caffeine - Não deixe seu monitor dormir! Transforme seu PC em um quiosque Aplicando Json no PHP Criar xorg.conf no Ubuntu 9.10 Conhecendo melhor o PHP Hyper Video Converter - converta seus arquivos com qualidade

» Últimos scripts

[C/C++] Árvore binária de busca, algoritmos de inserção, caminhamento e busca explicados [Python] Calcula quantos dias uma pessoa viveu [Shell-Script] Script simples para cálculos com dialog [Shell-Script] Script para manipulação fácil e rápida de usuários no Linux [Shell-Script] "Mascarando" pseudo-senha digitada pelo usuário

Treinamento Zope Plone

[Como anunciar?]

» Destaques

[Cobertura] Primeiro Evento da comunidade Viva o Linux (7) Vaga de Oficineiro-mo... para MetaProjeto - Parque da Juventude - São ... (1) [Vídeo] Trecho das palestras do VOLDAY (8) 4Linux contrata profissional de negócios PHP (1) 17/03/2010 - Backtrack Brasil - Teste de Invasão e Vulnerabilida... - ... (0) + de 100 Vídeo Aulas no Shell Livre (4) Vaga para desenvolvedores Python - Curitiba -PR (0) Vaga para consultor de segurança e infra estrutura - Rio de Janeiro/RJ... (0) Oportunidade globo.com - RJ (1) Vaga para programador Javascript (0) 24/04 - Flisol 2010 - Vitória/ES (2) Equinócio de março de 2010 : Começou ! (0) Profissional para atuar com Soluções de Contact Center - Florianópolis... (0) Profissional para atuar na área de Desenvolvimento - Florianópolis... (0) Suporte Técnico Nível 2 - São Paulo/SP (1) Vaga para Administrador de Redes Linux - São Paulo/SP (0) IV Encontro Nacional BrOffice.org (1)

» Login

» Top 10 usuários

4937678: Fábio Berbert de Paula 4075694: Alessandro de Oliveira Faria (A.K.A. CABELO) 1987036: Antonio Carlos Vasques da Silva 1900193: Jefferson Estanislau da Silva 1774432: Percival F. Jr. 1738797: Ricardo Santiago 1713240: Davidson Rodrigues Paulo 1386191: Thiago Alves 1352654: Elgio Schlemer 1327946: Wanderson Berbert

[0] usuários para
Papo Direto

» Wallpaper

Por zendrael

» Perguntas

editor grafico samba (1) Thunder cache não passa mais videos do youtube (0) instalação (0) conectar vários computadores na internet (0) Flash Player - Ubuntu 9.10 [RESOLVIDO] (12) Monitorar 3G (0) cofigurar internet toda vez que inicializar. (7) Como conectar Wireless? [RESOLVIDO] (8)

» .Conf

[SQUID] squid.conf - Arquivo squid.conf com controle de banda [Samba] smb.conf - Segue meu smb.conf pronto para receber PDC [aptitude] sources.list - Super sources.list para Debian Squeeze [Squid] squid.conf - Proxy transparente com controle de conteúdo, cache de... [apt] sources.list - Lista de repositórios bem completa para Ubuntu 9.04

Artigo

Incremente o iptables com patch-o-matic

cvs
08/10/2004

Nesse artigo vamos falar sobre o patch-o-matic, um patch que quando aplicado ao iptables, lhe fornece formas adicionais de proteção, nos permitindo então criar um firewall extremamente seguro e eficaz.

Por: Thiago Alves

[ Hits: 39584 ]

Conceito: 10.0 1 voto(s)

+ quero dar nota ao artigo

+ Favoritos

Versão para impressora

Indicar para um amigo

Enviar artigo

Introdução

Todos já sabemos o que o iptables é, para os que não sabem, o iptables é um firewall nativo do kernel do Linux da versão 2.4. Nas versões anteriores a 2.2 era usado o ipchains. Com o iptables é possível criar varias regras de conexão e com isso ter um firewall muito seguro.

O que esse artigo vai sugerir é a aplicação do patch-o-matic, que adiciona mais algumas opções que podem ser muito úteis para o bom andamento da rede.

Download e compilações

Vamos usar a última versão stable do iptables e do patch-o-matic.

iptables:
http://www.netfilter.org/files/iptables-1.2.11.tar.bz2

patch-o-matic:
http://www.netfilter.org/files/patch-o-matic-ng-20040621.tar.bz2

Compilação

Vamos agora partir para a compilação, vou fazer aqui a maneira mais ideal e a que é descrita e também o default, ou seja, vai ser assim mesmo. :-)

Vamos descompactar e copiar o diretório iptables para o /usr/src:

$ tar jxvf iptables-1.2.11.tar.bz2
$ su
# cp iptables-1.2.11 /usr/src/iptables

Agora vamos descompactar e executar o pom (vou me referir ao patch-o-matic como pom):

$ tar jxvf patch-o-matic-ng-20040621.tar.bz2
$ cd patch-o-matic-ng-20040621

Existem vários argumentos para rodar o "runme" do pom, mas vou usar o extra para que possamos aplicar o patch psd e o string. O psd para poder bloquear portscan e o string para bloquear algumas strings na conexão, por exemplo, poderemos bloquear o MSN.

Isso esta sendo rodado dentro do diretório do pom:

# ./runme extra

Ele vai executar um script que vai perguntar onde está o source do kernel e depois onde está o source do iptables, ambos em /usr/src.

Quando aparecer o nome psd, aperte y e depois o enter, faça o mesmo quando aparecer o patch string. Após isso faça o seguinte.

# cd /usr/src/iptables
# make
# make install

Após instalar o iptables, recompile seu kernel indo na opção do IP: Netfilter Configuration ---> e configurando, colocando built-in o psd e o string.

Após isso, recompile, configure o boot e reinicie.

Vamos às regras.

Próxima página >>

Páginas do artigo

   1. Introdução
   2. Criando as regras
   3. Conclusões

Outros artigos deste autor

CentOS + RAID1 via software

Virtualização com CentOS e VMware Server

Gcombust, um frontend para cdrecord

ProFTPD + MySQL - Servidor FTP com usuários em banco de dados

Tornando o OpenBSD stable

Leitura recomendada

Estrutura do IPTables 2: a tabela nat

Segurança com iptables

Incrementando seu Firewall com o Layer 7 Filter

Integrando Layer7 + IPP2P ao Iptables

Criando um firewall simples e compartilhando a conexão usando o IPtables

Comentários

[1] Comentário enviado por y2h4ck em 08/10/2004 - 09:50h:

Ae CVS ficou maneiro o artigo :) so achei que vc podia ter dado uma explicada tambem em regras usando timming, pra gente criar umas regras avançadas pra galera.

Mas ficou show de bola, muita gente não saca como usar o POM agora a galera vai saber como colocar pelo menos.

Parabéns

[]s

Spawn y2h4ck

[2] Comentário enviado por ronner em 08/10/2004 - 10:48h:

Cara ficou blz mais vc sabe me dizer pq a opção do Protocolo H.323 não aparece com essas versões patch-o-matic-ng-20040621, kernel 2.6.8, iptables-1.2.11, estou querendo habilitar esta opção mais não aparece quando executo ./runme extra por que será?

[3] Comentário enviado por cvs em 08/10/2004 - 11:13h:

Bom, não conheço esse Protocolo que vc disse, não sei te falar exatamente o por que não aparece, mas o pom tem outras opçoes para aplicar o patch... de uma olhada no netfilter.org deve haver algo a respeito por lá.

[4] Comentário enviado por ronner em 09/10/2004 - 22:34h:

este protocolo e para usar o Audio e Video do msn por exemplo por trás de NAT e esta sendo muito usado para estas situações, mais agradeço a sua ajuda...!

[5] Comentário enviado por y2h4ck em 10/10/2004 - 12:44h:

CVS, eheueh parei pra estudar sobre os modulos do POM e decidi tomar seu artigo como base, e vou montar um artigo sobre algumas implementações avançadas utilizando o POM, :)

Ele tem muita coisa massa.

falow Brow

[6] Comentário enviado por rootUser_ em 14/11/2004 - 15:39h:

CVS, curti pra caramba o seu artigo... só que aqui na minha máquina deu um probleminha...
eu instalei tudo como no tutorial quando meu script de firewall é executado na inicialização do linux ele da um seguinte erro:
"Invalid Argument", que eu descobri que são por causa das linhas onde eu uso NAT, com isso ele não compartilha a internet, soh se eu logar como root e executar denovo o script de firewall, aí não dá mais erro, vc sabe porque?????

[7] Comentário enviado por jeziel em 29/11/2004 - 11:01h:

apliquei o patch-o-matic em um kernel 2.6.9 só que a opção de string não aparece quando uso o ./runme extra. Ai eu dei uma olha nas instruções deste módulo e acho que não funciona para kenel acima de 2.6.0.

[8] Comentário enviado por shocker em 09/03/2005 - 17:18h:

Excelente artigo.
Adicionei aos meus favoritos.

Em abraço.

[9] Comentário enviado por lacraia em 26/04/2005 - 09:32h:

Muito legal o artigo, soh uma duvida..
Com esta regra para bloquear o MSN, consigo bloquear o MSN 7 tb? e os webmessenger? sem bloquear o hotmail?

[10] Comentário enviado por cvs em 26/04/2005 - 09:36h:

pra bloquear é bom não usar apenas o squid mas o iptables também.

[11] Comentário enviado por balani em 25/10/2005 - 23:43h:

Aonde encontro uma docuementação mais especifica sobre o POM

[12] Comentário enviado por gustavo_marcon em 07/12/2005 - 09:40h:

Alguém sabe se tenho como criar uma regra que bloqueie/libere o acesso ao msn messenger conforme a string informada para nome de usuário?

Gostaria que de qualquer máquina o msn pudesse ser acessado, mas somente para alguns nomes de login do msn....
Será que tem como? E para Kazza, Skype, etc???

(Mas minha prioridade é só no msn mesmo)
Vlw Galera!

[13] Comentário enviado por jedi_skywalker_9 em 23/11/2006 - 22:44h:

Onde implemento as regras de iptable no ipcop? Ainda não consegui descobrir qual o arquivo que devo configurar.

[14] Comentário enviado por fjbvn em 11/12/2007 - 21:00h:

Amigo Jedi,

em ipcop, as regras de firewall vc implementa em:

/etc/rc.d/rc.local

as regras default da sua configuração estão em:

/etc/rc.d/rc.firewall

Entretanto, suas personalizações vc pode colocar em rc.local mesmo (fora alguns ajustes extremamente necessários, como o ajuste para a Conectividade Social da CEF).

Artigo

Home » Artigos » Linux » Firewall » Visualização de artigo

Incremente o iptables com patch-o-matic

Introdução

Download e compilações

Compilação

Viva o Linux