Incremente o iptables com patch-o-matic

cvs

Nesse artigo vamos falar sobre o patch-o-matic, um patch que quando aplicado ao iptables, lhe fornece formas adicionais de proteção, nos permitindo então criar um firewall extremamente seguro e eficaz.

[ Hits: 57.998 ]

Por: Thiago Alves em 08/10/2004 | Blog: http://www.seeufosseopresidente.com.br


Criando as regras



Você pode criar as regras colocando-as num arquivo para iniciar sempre que quiser ou sempre que a máquina der boot. Fica à sua escolha. Nossa primeira regra vai ser para bloquear o MSN, usando string:

# Bloqueando o MSN
iptables -A INPUT -p tcp -m string --string "x-msn-messenger" -j DROP

Assim ele vai bloquear todo pacote que contenha essa string e que esteja chegando.

Agora para bloquear portscan pode ser usando psd, aconselho dar uma lida nas documentações do netfilter e do pom para obter um resultado mais interessante.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Criando as regras
   3. Conclusões
Outros artigos deste autor

Servidor FTP com NetBSD (PureFTPD + MySQL)

Sylpheed - a GTK+ based, lightweight, and fast e-mail client

ProFTPD + MySQL - Servidor FTP com usuários em banco de dados

Mozilla Firefox com plugins para Flash e JAVA

Instalando OpenBSD no vmware

Leitura recomendada

Dominando o iptables (parte 1)

Firewall Linux - Roteamento avançado usando iproute2 e iptables (load balance)

Firewall invisível com Proxy ARP

Montando regras iptables

Firewall admin: administração do iptables

  
Comentários
[1] Comentário enviado por y2h4ck em 08/10/2004 - 09:50h

Ae CVS ficou maneiro o artigo :) so achei que vc podia ter dado uma explicada tambem em regras usando timming, pra gente criar umas regras avançadas pra galera.

Mas ficou show de bola, muita gente não saca como usar o POM agora a galera vai saber como colocar pelo menos.

Parabéns

[]s

Spawn y2h4ck

[2] Comentário enviado por ronner em 08/10/2004 - 10:48h

Cara ficou blz mais vc sabe me dizer pq a opção do Protocolo H.323 não aparece com essas versões patch-o-matic-ng-20040621, kernel 2.6.8, iptables-1.2.11, estou querendo habilitar esta opção mais não aparece quando executo ./runme extra por que será?

[3] Comentário enviado por cvs em 08/10/2004 - 11:13h

Bom, não conheço esse Protocolo que vc disse, não sei te falar exatamente o por que não aparece, mas o pom tem outras opçoes para aplicar o patch... de uma olhada no netfilter.org deve haver algo a respeito por lá.

[4] Comentário enviado por ronner em 09/10/2004 - 22:34h

este protocolo e para usar o Audio e Video do msn por exemplo por trás de NAT e esta sendo muito usado para estas situações, mais agradeço a sua ajuda...!

[5] Comentário enviado por y2h4ck em 10/10/2004 - 12:44h

CVS, eheueh parei pra estudar sobre os modulos do POM e decidi tomar seu artigo como base, e vou montar um artigo sobre algumas implementações avançadas utilizando o POM, :)

Ele tem muita coisa massa.

falow Brow

[6] Comentário enviado por rootUser_ em 14/11/2004 - 15:39h

CVS, curti pra caramba o seu artigo... só que aqui na minha máquina deu um probleminha...
eu instalei tudo como no tutorial quando meu script de firewall é executado na inicialização do linux ele da um seguinte erro:
"Invalid Argument", que eu descobri que são por causa das linhas onde eu uso NAT, com isso ele não compartilha a internet, soh se eu logar como root e executar denovo o script de firewall, aí não dá mais erro, vc sabe porque?????

[7] Comentário enviado por jeziel em 29/11/2004 - 11:01h

apliquei o patch-o-matic em um kernel 2.6.9 só que a opção de string não aparece quando uso o ./runme extra. Ai eu dei uma olha nas instruções deste módulo e acho que não funciona para kenel acima de 2.6.0.

[8] Comentário enviado por shocker em 09/03/2005 - 17:18h

Excelente artigo.
Adicionei aos meus favoritos.

Em abraço.

[9] Comentário enviado por removido em 26/04/2005 - 09:32h

Muito legal o artigo, soh uma duvida..
Com esta regra para bloquear o MSN, consigo bloquear o MSN 7 tb? e os webmessenger? sem bloquear o hotmail?

[10] Comentário enviado por cvs em 26/04/2005 - 09:36h

pra bloquear é bom não usar apenas o squid mas o iptables também.

[11] Comentário enviado por balani em 25/10/2005 - 23:43h

Aonde encontro uma docuementação mais especifica sobre o POM

[12] Comentário enviado por gustavo_marcon em 07/12/2005 - 09:40h

Alguém sabe se tenho como criar uma regra que bloqueie/libere o acesso ao msn messenger conforme a string informada para nome de usuário?

Gostaria que de qualquer máquina o msn pudesse ser acessado, mas somente para alguns nomes de login do msn....
Será que tem como? E para Kazza, Skype, etc???

(Mas minha prioridade é só no msn mesmo)
Vlw Galera!

[13] Comentário enviado por jedi_skywalker_9 em 23/11/2006 - 22:44h

Onde implemento as regras de iptable no ipcop? Ainda não consegui descobrir qual o arquivo que devo configurar.

[14] Comentário enviado por fjbvn em 11/12/2007 - 21:00h

Amigo Jedi,

em ipcop, as regras de firewall vc implementa em:

/etc/rc.d/rc.local

as regras default da sua configuração estão em:

/etc/rc.d/rc.firewall

Entretanto, suas personalizações vc pode colocar em rc.local mesmo (fora alguns ajustes extremamente necessários, como o ajuste para a Conectividade Social da CEF).


Contribuir com comentário