View previous topic :: View next topic |
Author |
Message |
Kobal Guru
Joined: 12 Feb 2004 Posts: 323 Location: Brasil / Brazil / Brésil / Brasilien / el Brasil
|
Posted: Mon Jul 19, 2004 11:59 am Post subject: |
|
|
Decidiram algo ? |
|
Back to top |
|
|
codemaker Guru
Joined: 03 Jun 2004 Posts: 398 Location: Lisboa, Portugal
|
Posted: Mon Jul 19, 2004 12:12 pm Post subject: |
|
|
Kobal wrote: | Decidiram algo ? |
Acho que faltam comentários dos moderadores. |
|
Back to top |
|
|
klap n00b
Joined: 24 May 2004 Posts: 58
|
Posted: Mon Jul 19, 2004 1:24 pm Post subject: |
|
|
Kobal wrote: | Quote: | devemos fazer um tópico sticky sobre iptables. |
Ta precisando pinar um topico desse mesmo, muito bom esse tutorial que vc me falou, , Será que falta muito pro pf vir pro Linux ?
Vamo cria esse topico ae mesmo. |
eu apoio |
|
Back to top |
|
|
fernandotcl Veteran
Joined: 20 Nov 2003 Posts: 1396 Location: Sao Paulo, Brazil
|
Posted: Mon Jul 19, 2004 5:47 pm Post subject: |
|
|
Vamos ver, parece que a comunidade aceitou, agora falta a aprovação dos moderadores e alguém para hospedar os how-tos.
EDIT: Acabei de me lembrar, o SourceForge.net hospeda projetos de documentação, então hospedagem não é um grande problema. |
|
Back to top |
|
|
pilla Bodhisattva
Joined: 07 Aug 2002 Posts: 7729 Location: Underworld
|
Posted: Mon Jul 19, 2004 6:41 pm Post subject: |
|
|
Acho que essa thread serve como repositório de links para recursos de Linux em português (e já está sticky). _________________ "I'm just very selective about the reality I choose to accept." -- Calvin |
|
Back to top |
|
|
Kobal Guru
Joined: 12 Feb 2004 Posts: 323 Location: Brasil / Brazil / Brésil / Brasilien / el Brasil
|
Posted: Mon Jul 19, 2004 7:38 pm Post subject: |
|
|
Quote: | Acho que essa thread serve como repositório de links para recursos de Linux em português (e já está sticky). |
Mais um com a ideia, ficaria melhor .
Quote: | Acabei de me lembrar, o SourceForge.net hospeda projetos de documentação, então hospedagem não é um grande problema. |
Blz, agora têm que ver por onde começar a doc, instalação ja tem o official que ta blz. |
|
Back to top |
|
|
fernandotcl Veteran
Joined: 20 Nov 2003 Posts: 1396 Location: Sao Paulo, Brazil
|
Posted: Mon Jul 19, 2004 10:39 pm Post subject: |
|
|
Kobal wrote: | pilla wrote: | Acho que essa thread serve como repositório de links para recursos de Linux em português (e já está sticky). |
Mais um com a ideia, ficaria melhor . |
É, a idéia inicial era limpar todos os stickys, mas se isso não for possível, certamente vamos encontrar outra maneira. É que talvez uma limpeza nos stickys poderia deixar o fórum mais limpo.
Eu aconselharia o nome do tópico sticky para "LEIA-ME", porque lá teriamos links pra FAQs, howtos, guias de instalação, entre outras coisas. Removeria tráfego desnecessário dos fórums com perguntas já respondidas, ou algumas que poderiam ser respondidas com um link. Mas isso só é possível, é claro, com a autorização da comunidade e dos moderadores.
Kobal wrote: | fernandotcl wrote: | Acabei de me lembrar, o SourceForge.net hospeda projetos de documentação, então hospedagem não é um grande problema. |
Blz, agora têm que ver por onde começar a doc, instalação ja tem o official que ta blz. |
É, mas vamos com calma, é uma idéia boa, mas um grande projeto e que merece ser muito bem pensado.
Outra coisa, vamos começar a colocar idéias em outro tópico, isso aqui já está bastante off-topic. |
|
Back to top |
|
|
Mythos l33t
Joined: 02 May 2004 Posts: 953 Location: Portugal
|
Posted: Tue Jul 20, 2004 2:05 am Post subject: Regras de Iptables ... |
|
|
Para um PC normal, ligado a um gateway router e afins que façam o NAT e o forward.
Code: | #!/bin/bash
#limpando tabelas
iptables -F &&
iptables -X &&
#liberando acesso interno da rede
iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT &&
iptables -A OUTPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT &&
iptables -A FORWARD -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT &&
# Protecao contra port scanners ocultos
#iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j DROP
#Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j DROP
#Open
iptables -A INPUT -s localhost -d localhost -p tcp --dport 6000 -j ACCEPT
iptables -A INPUT -s localhost -d localhost -p tcp --sport 6000 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT
iptables -A INPUT -p tcp --dport 21 --syn -j ACCEPT
iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT
#BLOCKICMPUDP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -i eth0 --icmp-type ! echo-request -m limit --limit 2/second -j ACCEPT
iptables -A INPUT -p udp -j REJECT --reject-with icmp-host-prohibited
iptables -A INPUT -f -j REJECT --reject-with icmp-host-prohibited
|
Para PC's que precisem de partilhar a net :
Code: | #!/bin/bash
IPTABLES='/sbin/iptables'
# Set interface values
EXTIF='eth0'
INTIF1='eth1'
[color=violet]# enable ip forwarding in the kernel Não se esqueçam de meter isto no /etc/conf.d/iptables ou criar um runsricpt com isto.
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward[/color]
# flush rules and delete chains
$IPTABLES -F
$IPTABLES -X
# enable masquerading to allow LAN internet access
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
# forward LAN traffic from $INTIF1 to Internet interface $EXTIF
$IPTABLES -A FORWARD -i $INTIF1 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT
#liberando acesso interno da rede
iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT &&
iptables -A OUTPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT &&
iptables -A FORWARD -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT &&
# Protecao contra port scanners ocultos
#iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j DROP
#Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j DROP
#Open
iptables -A INPUT -s localhost -d localhost -p tcp --dport 6000 -j ACCEPT
iptables -A INPUT -s localhost -d localhost -p tcp --sport 6000 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT
iptables -A INPUT -p tcp --dport 21 --syn -j ACCEPT
iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT
#BLOCKICMPUDP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -i eth0 --icmp-type ! echo-request -m limit --limit 2/second -j ACCEPT
iptables -A INPUT -p udp -j REJECT --reject-with icmp-host-prohibited
iptables -A INPUT -f -j REJECT --reject-with icmp-host-prohibited |
Acho que são básicas mas é as que tenho, se alguém quiser criticar e melhorá-las está à vontade _________________ Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux
Last edited by Mythos on Tue Jul 20, 2004 2:47 am; edited 1 time in total |
|
Back to top |
|
|
fernandotcl Veteran
Joined: 20 Nov 2003 Posts: 1396 Location: Sao Paulo, Brazil
|
Posted: Tue Jul 20, 2004 2:30 am Post subject: |
|
|
Eu uso regras que definem as políticas padrão para DROP, assim bloqueando tudo que não especifico. Eu acredito que sejam mais confiáveis, mas eu ainda sou um n00b quando o assunto é iptables, então não sei se estou certo.
Code: | #!/bin/bash
# Script de configuração do Iptables
NAMESERVER1=200.204.0.10
NAMESERVER2=200.204.0.138
# Limpar a tabela
iptables -F
# Ajustar as políticas padrão
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Liberar o loopback
iptables -A INPUT -i lo -s localhost -j ACCEPT
iptables -A OUTPUT -o lo -d localhost -j ACCEPT
# Liberar os servidores de nomes
iptables -A INPUT -s $NAMESERVER1 -j ACCEPT
iptables -A OUTPUT -d $NAMESERVER1 -j ACCEPT
iptables -A INPUT -s $NAMESERVER2 -j ACCEPT
iptables -A OUTPUT -d $NAMESERVER2 -j ACCEPT
# Aceitar tráfego de entrada se a conexão for ESTABLISHED ou RELATED
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
# Aceitar tráfego de saída se a conexão for NEW, ESTABLISHED ou RELATED
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT |
Eu não sei se existe alguma outra maneira de desbloquear o acesso aos nameservers. No momento, eu não sei o que mais restringir a respeito disso, mas estou aberto à sugestões. |
|
Back to top |
|
|
Kobal Guru
Joined: 12 Feb 2004 Posts: 323 Location: Brasil / Brazil / Brésil / Brasilien / el Brasil
|
Posted: Wed Jul 21, 2004 10:26 pm Post subject: |
|
|
Valeu Mythos. E ae moderação, o que decidiu ? |
|
Back to top |
|
|
pilla Bodhisattva
Joined: 07 Aug 2002 Posts: 7729 Location: Underworld
|
Posted: Wed Jul 21, 2004 11:52 pm Post subject: |
|
|
pilla wrote: | Acho que essa thread serve como repositório de links para recursos de Linux em português (e já está sticky). |
É o que está valendo. Não vamos aumentar os stickies até termos remodelado os mesmos.
Coloquem o link naquela thread para essa. _________________ "I'm just very selective about the reality I choose to accept." -- Calvin |
|
Back to top |
|
|
fernandotcl Veteran
Joined: 20 Nov 2003 Posts: 1396 Location: Sao Paulo, Brazil
|
Posted: Thu Jul 22, 2004 12:55 am Post subject: |
|
|
pilla wrote: | pilla wrote: | Acho que essa thread serve como repositório de links para recursos de Linux em português (e já está sticky). |
É o que está valendo. Não vamos aumentar os stickies até termos remodelado os mesmos.
Coloquem o link naquela thread para essa. |
Ok, mas o tópico pode ser renomeado para "Recursos do Gentoo em Língua Portuguesa"? "Recursos Portugueses de Gentoo" parece que é só referente à Portugal. |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|