View previous topic :: View next topic |
Author |
Message |
TekNET n00b
Joined: 21 Feb 2005 Posts: 9 Location: Lisboa, PORTUGAL
|
Posted: Mon Feb 21, 2005 10:23 pm Post subject: /IPTABLES /etc/firewall.rules ( RESOLVIDO ) |
|
|
Distribuição GENTOO
Quando o GENTOO esta a efectuar o boot, arranca normalmente mas salienta-se esta mensagem
** STARTING FIREWALL **
/etc/firewall.rules does not exist, using default
** STOPING FIREWALL **
e vai arrancando...
depois de arrancar e como root, faço vi /etc/firewall.rules e esta lá o ficheiro com dados do iptables.
Esta tambem lá outro file parecido /etc/firewall.rules~ . ( este é o executavel ? )
O que poderá ser?
Deste já agradeço a vossa amavel ajuda.
Alexandre Rocha
alexandre.rocha@gmail.com
Last edited by TekNET on Tue Feb 22, 2005 7:59 pm; edited 1 time in total |
|
Back to top |
|
|
To Veteran
Joined: 12 Apr 2003 Posts: 1145 Location: Coimbra, Portugal
|
Posted: Tue Feb 22, 2005 10:59 am Post subject: |
|
|
Esse ficheiro foi feito por ti? Eu uso um feito por mim, mas tal como todos os scripts tenho-o em /etc/init.d/
Se ele não está a fazer nada, o melhor será retira-lo do arranque, podes retira-lo atraves do rc-update.
Tó _________________
------------------------------------------------
Linux Gandalf 3.2.35-grsec
Gentoo Base System version 2.2
------------------------------------------------ |
|
Back to top |
|
|
TekNET n00b
Joined: 21 Feb 2005 Posts: 9 Location: Lisboa, PORTUGAL
|
Posted: Tue Feb 22, 2005 1:12 pm Post subject: |
|
|
# Generated by iptables-save v1.2.8 on ......
*nat
:PREROUTING ACCEPT....
#Completed on ......
Este é o file e eu só o editei, não fiz alterações.
E quando ele diz que vai usar as default, onde é que ele vai buscar esse file?
Obrigado pela atenção. |
|
Back to top |
|
|
fernandotcl Veteran
Joined: 20 Nov 2003 Posts: 1396 Location: Sao Paulo, Brazil
|
Posted: Tue Feb 22, 2005 2:10 pm Post subject: |
|
|
Você realmente usa o iptables? Se não usar, rc-update del iptables default.
Quanto à configuração do iptables, recomendo usar um script de bash que ajuste as regras, e depois fazer /etc/init.d/iptables save para salvá-las. _________________ RTFM! |
|
Back to top |
|
|
TekNET n00b
Joined: 21 Feb 2005 Posts: 9 Location: Lisboa, PORTUGAL
|
Posted: Tue Feb 22, 2005 7:54 pm Post subject: |
|
|
Sim, uso o IPTABLES,
Mas sem duvida que vou "gastar" tempo com o RTFM.
Obrigado |
|
Back to top |
|
|
Mythos l33t
Joined: 02 May 2004 Posts: 953 Location: Portugal
|
Posted: Fri Feb 25, 2005 10:52 am Post subject: |
|
|
O que tu estás a editar é o resultado das tuas regras:
Aqui fica a firewall que fiz em casa, eu sei que não é perfeita, mas foi um conjunto de apanhados que vi por aqui:
Ficheiro a meter por exemplo no /etc/novafirewall.conf:
Code: | #/etc/novafirewall.conf
#!/bin/bash
IPTABLES='/sbin/iptables'
#nameservers.
#cat /etc/resolv.conf|grep nameserver |cut -b 12-27 > /names
#nameserver=`cat /names`
nameserver=192.168.1.253
nameserver2=192.168.2.1
#[Flush]
iptables -F
iptables -X
#[Set interface values]
EXTIF='eth0'
INTIF1='eth1'
#[flush rules and delete chains]
$IPTABLES -F
$IPTABLES -X
#[enable masquerading to allow LAN internet access]
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
#[forward LAN traffic from $INTIF1 to Internet interface $EXTIF]
$IPTABLES -A FORWARD -i $INTIF1 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT
#[Por defeito só fica aberto o que for libertado mais À frente]
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#[Loopback]
iptables -A INPUT -i lo -s localhost -j ACCEPT
iptables -A OUTPUT -o lo -d localhost -j ACCEPT
#[Permitir nameservers]
#iptables -A INPUT -s $nameserver -j ACCEPT
#iptables -A OUTPUT -d $nameserver -j ACCEPT
#[Tráfico permitido]
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#[forwarding]
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#ACCEPT [2022 SSHD, www Apache]
iptables -A INPUT -p tcp --dport 2022 -m state --state NEW,ESTABLISHED,RELATED -j LOG --log-prefix "INCOMING"
iptables -A INPUT -p tcp --dport 2022 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#iptables -A INPUT -p tcp -s 192.168.1.124 --dport www -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT -p tcp -d 192.168.1.124 --sport www -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport www -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#[AddrSpoof]
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP
#[SYN-Flood Attack:]
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j DROP
#[Anti-scanners]
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#[Bloqueamento do trace route]
iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j DROP
#[Proteção básica contra ataques]
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -p tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
#[Ping of Death]
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#[Wincrash]
iptables -A INPUT -p tcp --dport 5042 -j LOG --log-prefix " Wincrash"
#[BackOrifice]
iptables -A INPUT -p tcp --dport 12345 -j LOG --log-prefix "BackOrifice"
#Proteção contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
#[FTP] com portas passivas da 60000 à 60020
iptables -A OUTPUT -p tcp --sport 60000:60020 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport 60000:60020 -j ACCEPT
iptables -A INPUT -p tcp --dport ftp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport ftp -m state --state NEW,ESTABLISHED,RELATED -j LOG --log-prefix "INCOMING_FTP"
#Permissao do Nameserver
iptables -A INPUT -s $nameserver2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -d $nameserver2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s $nameserver -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -d $nameserver -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#[Proxy Squid]
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.2.1 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.0/24 -d ! 192.168.1.0/24 --dport 135 -j DROP
iptables -A OUTPUT -p udp -s 192.168.1.0/24 -d ! 192.168.1.0/24 --dport 135 -j DROP
#[permissão de whois e ping]
iptables -A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.0/24 --dport 43 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.0/24 --dport 42 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#[SAMBA]
iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 -d 192.168.1.0/24 --destination-port 139 -j ACCEPT # Samba
iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 -d 192.168.1.0/24 --destination-port 445 -j ACCEPT # Samba
iptables -A INPUT -i eth0 -p udp -s 192.168.1.0/24 -d 192.168.1.0/24 --destination-port 137 -j ACCEPT # Samba
iptables -A INPUT -i eth0 -p udp -s 192.168.1.0/24 -d 192.168.1.0/24 --destination-port 138 -j ACCEPT # Samba |
Code: | 1º criar um conjunto de regras, como eu fiz com esse conjunto em cima e gravar para o ficheiro desejado.
2º /etc/init.d/iptables stop
3º rm /var/lib/iptables/rules-save
4º chmod +x /etc/novafirewall.conf
5º /etc/novafirewall.conf
6º /etc/init.d/iptables save
7º Caso queiras ver como ficaram as tua regas feitas pelo iptables cp /var/lib/iptables/rules-save /etc/novafirewall.conf.back
nano /etc/novafirewall.conf.bak
8º rc-update add iptables boot
9º reboot |
Já agora aqui vai o meu sshd_config:
Code: | #/etc/ssh/sshd_config
Port 2022
Protocol 2
AllowUsers mythos
LoginGraceTime 1m
PermitRootLogin no
StrictModes yes
MaxAuthTries 2
PasswordAuthentication no
PermitEmptyPasswords no
UsePAM yes
Subsystem sftp /usr/lib/misc/sftp-server |
_________________ Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux
Last edited by Mythos on Thu Mar 03, 2005 6:31 pm; edited 1 time in total |
|
Back to top |
|
|
meetra Tux's lil' helper
Joined: 18 Nov 2002 Posts: 135 Location: Porto, Portugal
|
Posted: Fri Feb 25, 2005 2:56 pm Post subject: |
|
|
1º metes as regras no iptables
2º /etc/init.d/iptables save
tada.wav
ele ao reniciar karrega as rules ke estão em /var/lib/iptables/rules.save
e tb podes fazer o "reload" |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|