| View previous topic :: View next topic |
| Author |
Message |
Dexter2004
Tux's lil' helper
Joined: 23 Jul 2004
Posts: 123
|
 Posted: Mon Aug 02, 2004 5:40 pm Post subject: partilhar uma ligação/ficheiros |
 |
|
Viva...
Queria saber o que tenho de fazer para poder:
partilhar uma ligação à internet
partilhar ficheiros
aceder a ficheiros partilhados
tanto entre linux/linux como linux/windows
desde ja agradeço
Dex |
|
| Back to top |
|
 |
Mythos
l33t
Joined: 02 May 2004
Posts: 949
Location: Portugal
|
| Posted: Mon Aug 02, 2004 6:20 pm Post subject: |
|
|
Para activares a partilha de net:
/etc/conf.d/local.start
| Code: | | echo "1" > /proc/sys/net/ipv4/ip_forward |
/etc/mythos.conf:
| Code: |
#!/bin/bash
IPTABLES='/sbin/iptables'
# Set interface values
EXTIF='eth0'
INTIF1='eth1'
# flush rules and delete chains
$IPTABLES -F
$IPTABLES -X
# enable masquerading to allow LAN internet access
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
# forward LAN traffic from $INTIF1 to Internet interface $EXTIF
$IPTABLES -A FORWARD -i $INTIF1 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT
#echo -e " - Allowing access to the SSH server"
$IPTABLES -A INPUT -p tcp --dport 21 --syn -j ACCEPT
#echo -e " - Allowing access to the SSH server"
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
#echo -e " - Allowing access to the HTTP server"
$IPTABLES -A INPUT -p tcp --dport 80 --syn-j ACCEPT
$IPTABLES -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
$IPTABLES -A FORWARD -p tcp --tcp--flags SYN, ACK -m limit --limit 1/s -j ACCEPT
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
chmod +x /etc/myhtos.conf
/etc/mythos.conf
/etc/init.d/iptables save
cp /var/lib/iptables/rules-save /etc/mythos.conf
/etc/init.d/iptables start; /etc/init.d/iptables stop; /etc/init.d/iptables start
rc-update add iptables default
|
Quanto à partilha de ficheiros ... Tens que escolher no File System do Kernel a opcção samba, emergires o samba e configurar, acho que não é muito díficil....
Nota: estão ai algumas regras de iptables que não te devem intressar.
portas 22, 21, 80.
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux |
|
| Back to top |
|
|
Dexter2004
Tux's lil' helper
Joined: 23 Jul 2004
Posts: 123
|
| Posted: Mon Aug 02, 2004 7:20 pm Post subject: |
|
|
| obrigado |
|
| Back to top |
|
|
fernandotcl
Veteran
Joined: 20 Nov 2003
Posts: 1396
Location: Sao Paulo, Brazil
|
| Posted: Mon Aug 02, 2004 11:16 pm Post subject: |
|
|
Quanto à partilhar a conexão, tudo depende das máquinas involvidas. Para um firewall doméstico com compartilhamento de conexão, eu usaria:
| Code: | #!/bin/bash
# Seus nameservers.
# "cat /etc/resolv.conf | grep nameserver" retorna esses valores
NAMESERVER1=xxx.xxx.xxx.xxx
NAMESERVER2=xxx.xxx.xxx.xxx
EXT_IFACE=eth0
INT_IFACE=eth1
# Zera as regras
iptables -F
iptables -X
# Firewall reverso - libere só o explicitamente declarado
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Liberar os nameservers
iptables -A INPUT -p udp -s $NAMESERVER1 -j ACCEPT
iptables -A INPUT -p udp -s $NAMESERVER2 -j ACCEPT
iptables -A OUTPUT -p udp -d $NAMESERVER1 -j ACCEPT
iptables -A OUTPUT -p udp -d $NAMESERVER2 -j ACCEPT
# Liberar tráfego "legal"
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Habilitar o NAT
iptables -t nat -A POSTROUTING -o $INT_IFACE -j MASQUERADE
# Habilitar o forwarding
iptables -A FORWARD -i $INT_IFACE -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT |
Se alguém testar e não funcionar (o que é esperado), por favor poste de volta. Ainda sou um aprendiz em iptables e nunca compartihei uma rede por ele, então existe uma alta probabilidade de simplesmente não funcionar. 
É muito parecido com o script do Mythos, mas é um firewall considerado mais seguro, porque ao invés de bloquear conexões não desejadas, por padrão bloqueia todas e libera somente as explicitamente declaradas.
Além de tudo, você tem que compilar o kernel com suporte à connection tracking, masquerading e machine state. Também são necessários os passos que o Mythos descreveu, editando o local.start e salvando as regras.
Se você precisar utilizar alguns serviços, basta desbloquear suas portas. Em caso de dúvidas poste aqui. Além disso, se quiser usar um IM como ICQ e MSN Messanger, acredito que seja necessário desbloquear algumas portas também.
E Mythos, você pode fortificar sua máquina usando port-knocking pro SSH. É um acrescimo significativo na segurança. |
|
| Back to top |
|
|
Mythos
l33t
Joined: 02 May 2004
Posts: 949
Location: Portugal
|
| Posted: Tue Aug 03, 2004 12:35 am Post subject: |
|
|
Umm o port-knoking basicamente é um logger certo ?
Meti isto a barrar também por hosts ... é sempre uma pequena barreira
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux |
|
| Back to top |
|
|
fernandotcl
Veteran
Joined: 20 Nov 2003
Posts: 1396
Location: Sao Paulo, Brazil
|
| Posted: Tue Aug 03, 2004 1:03 am Post subject: |
|
|
| Mythos wrote: | Umm o port-knoking basicamente é um logger certo ?
Meti isto a barrar também por hosts ... é sempre uma pequena barreira |
O problema de barrar por hosts é que você sempre só pode acessar a máquina à partir de um IP que foi liberado pela máquina remota, o que falha no caso do IP dinâmico, onde a restrição máxima seria feita com uma máscara de subrede, que daria acesso à muita gente não autorizada. Além disso, existe uma possiblidade remota de se acessar um computador "autorizado" e utilizá-lo num ataque.
Com o port-knocking, você pode deixar a porta do SSH stealth fazendo drop pra qualquer tentativa de conexão na porta do SSH e só abrindo ela pra um determinado host depois de uma sequência de "batidas" nas portas fechadas, que seriam logadas pelo iptables e analisadas por um daemon, que modificaria o firewall on-the-fly, permitindo o acesso de um IP (encriptado nas batidas nas portas) à porta do SSH. Com um software como o Snort, você também pode barrar as tentativas de força bruta.
É um pouco de paranóia com segurança, mas já que as técnicas existem, é sempre uma opção. |
|
| Back to top |
|
|
Mythos
l33t
Joined: 02 May 2004
Posts: 949
Location: Portugal
|
| Posted: Tue Aug 03, 2004 3:08 am Post subject: |
|
|
Estás à vontade, também alinho nessa paranoia! Só faz é bem, besides um gajo está sempre a aprender. Thanx Fernando amanhã vou ver isso.
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux |
|
| Back to top |
|
|
Mythos
l33t
Joined: 02 May 2004
Posts: 949
Location: Portugal
|
| Posted: Thu Aug 12, 2004 1:27 am Post subject: |
|
|
Alguém sabe de algum helper porreiro para o knock ?
FernandoTCl por acaso não tens ou sabes de algum how too porreiro para o knockd
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux |
|
| Back to top |
|
|
fernandotcl
Veteran
Joined: 20 Nov 2003
Posts: 1396
Location: Sao Paulo, Brazil
|
| Posted: Thu Aug 12, 2004 2:37 am Post subject: |
|
|
| How-to eu não conheço (mesmo porque não tenho necessidade de port-knocking), mas tem uma implementação que parece ser grande e já ter lançado arquivos. |
|
| Back to top |
|
|
Mythos
l33t
Joined: 02 May 2004
Posts: 949
Location: Portugal
|
| Posted: Thu Aug 12, 2004 4:04 am Post subject: |
|
|
Queria era um exmeplo para o SSH ... é que um que encontrei e o que vem com o knockd não funciona memso mudando /sbin/iptables.
Thanx
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux |
|
| Back to top |
|
|
|
Portuguese
