Analizando o firewall [RESOLVIDO]

julianderson
(usa Debian)

Enviado em 26/10/2010 - 16:11h

ola pessoal da vol.

Voces poderia me dizer se as regras do meu firewall estao correto

Figo muito grato pela de ajuda de voce.

#!/bin/sh
#Configuração do Firewall através do iptables



#Interfaces de Rede e Servidores
LAN=192.168.3.1
WAN=192.168.1.116
REDE=192.168.3.0/24

IPTABLES=iptables

$IPTABLES -F
$IPTABLES -X
$IPTALBES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t mangle -F
$IPTABLES -t mangles -X


$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

# ativar o redirecionamento no arquivo ip_forward
echo 1 > /proc/sys/net/ipv4/ip_forward


$IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE
$IPTABLES -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128

#habilitando o fluxo interno entre os processos
$IPTABLES -I INPUT -i lo -j ACCEPT
$IPTABLES -I INPUT -i $LAN -j ACCEPT
$IPTABLES -I INPUT -i $LAN -j ACCEPT


#liberar as portas principais do servidor

$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT

$IPTABLES -A FORWARD -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 443 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT



#liberando a chain INPUT para o localhost:
$IPTABLES -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
$IPTABLES -A INPUT -p ALL -s $LAN -i lo -j ACCEPT
$IPTABLES -A INPUT -p ALL -s $WAN -i lo -j ACCEPT

$IPTABLES -A INPUT -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -m state --state RELATED -j ACCEPT

#liberando resposta dos servidores DNS:
$IPTABLES -I INPUT -p udp -s $WAN --dport 53 -j ACCEPT
$IPTABLES -I FORWARD -p udp --sport 53 -d $WAN -j ACCEPT
$IPTABLES -I FORWARD -p udp -s $WAN --dport 53 -j ACCEPT
$IPTABLES -I OUTPUT -p udp --sport 53 -d $WAN -j ACCEPT



$IPTABLES -A INPUT -p tcp -m tcp -m state -s $WAN --state NEW,ESTABLISHED,RELATED -j ACCEPT



#mantendo conexoes ativas:
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

tlaloc
(usa Gentoo)

Enviado em 26/10/2010 - 19:14h

Tá muito primário, repetindo regras e muito, mas MUITO simples.
Keep It Simple não é pra deixar "básico", é só "simples".
Não precisa de regras complicadíssimas, precisa de clareza.

Recomendo ler a documentação do IPTables e não usar scripts prontos.

rootgerr
(usa Slackware)

Enviado em 26/10/2010 - 19:30h

o meu então daria para classificar como inexistente então
LOL

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

tlaloc
(usa Gentoo)

Enviado em 26/10/2010 - 19:34h

Inexistente e ineficiente. :P

Vocês realmente não tem nenhuma noção de segurança da informação, né?

Deixar OUTPUT livre é tão loucura quanto deixar o INPUT livre.

rootgerr
(usa Slackware)

Enviado em 26/10/2010 - 19:38h

por outro lado como o firewall do router está ativado nem preciso desse rodando então?

captcha GENTOO

tlaloc
(usa Gentoo)

Enviado em 26/10/2010 - 19:42h

Precisa sim.

Segurança nunca é indispensável.

Uma prática bastante utilizada em empresas é usar o firewall do roteador e do firewall em conjunto, fazendo redundância de regras.

Mesmo que alguém consiga fazer um Ddos, vai derrubar somente o roteador, o seu firewall estará ali até você dar o reboot necessário no roteador.

rootgerr
(usa Slackware)

Enviado em 26/10/2010 - 19:52h

mesmo em se tratando de um simples desktop?

tlaloc
(usa Gentoo)

Enviado em 26/10/2010 - 20:18h

Depende do que você chama de desktop.

O desktop em questão pode ter uma planilha que você estava preparando para seu gerente com os gastos do teu setor, no mês.
Isso é informação confidencial que não deveria estar disponível tão fácil.

rootgerr
(usa Slackware)

Enviado em 26/10/2010 - 21:37h

Bem então vamos ao cenário real:

o desktop em questão é meu pc mesmo que não tem uso profissional algum, acesso sites de bancos? sim, compro pela internet? sim (só faço essas coisas no linux, meu W$7 só serve pra jogar) o router armazena as configurações do acesso (tem um mac clonado de um pc que não uso só foi usado para configurar o router) ele obviamente está em bridge com firewall ativado tanto ele como meu pc estão rejeitando ping, outros micros da rede não conseguem pingar o meu (echo_icmp....) todos os outros pcs rodam windows 7 tenho alguma razão para ficar preocupado mesmo com o meu inexistente e ineficiente iptables?

tlaloc
(usa Gentoo)

Enviado em 26/10/2010 - 21:50h

Rut, tem.

Tem porque bloqueio de ICMP não adianta nada contra arp. =)

Se eu conseguir acesso em um dos micros da tua rede, eu rodo um ARP e clono teu MAC.
MAC clonado, eu recepto uma cópia de todos os teus pacotes trafegantes.
Feito isso eu consigo restituir sessões de uso de internet banking "fácil".

PC seguro é PC desligado. O resto tem falha.

Sim, sou paranóico.

rootgerr
(usa Slackware)

Enviado em 26/10/2010 - 23:56h

interessante isso mas você precisaria de acesso físico? ou conseguiria remoto? estava fazendo uns testes com o ettercap aqui e o acesso de um dos pcs a net ficou bloqueado é normal?

tlaloc
(usa Gentoo)

Enviado em 27/10/2010 - 00:23h

Rut, não precisa de acesso físico desde que eu use um meio físico de transporte.

Como assim?

Se eu conseguir acessar 1 dos micros da sua rede e usar ele como zumbi para disparar o spoofing de rede eu tô fisicamente dentro da sua rede usando um acesso remoto lógico.

Redes é uma [*****].