Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
partilhar uma ligação/ficheiros
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Portuguese
View previous topic :: View next topic  
Author Message
Dexter2004
Tux's lil' helper
Tux's lil' helper


Joined: 23 Jul 2004
Posts: 123

PostPosted: Mon Aug 02, 2004 5:40 pm    Post subject: partilhar uma ligação/ficheiros Reply with quote

Viva...

Queria saber o que tenho de fazer para poder:

    partilhar uma ligação à internet
    partilhar ficheiros
    aceder a ficheiros partilhados


tanto entre linux/linux como linux/windows


desde ja agradeço
Dex
Back to top
View user's profile Send private message
Mythos
l33t
l33t


Joined: 02 May 2004
Posts: 953
Location: Portugal

PostPosted: Mon Aug 02, 2004 6:20 pm    Post subject: Reply with quote

Para activares a partilha de net:

/etc/conf.d/local.start
Code:
echo "1" > /proc/sys/net/ipv4/ip_forward


/etc/mythos.conf:
Code:

#!/bin/bash
IPTABLES='/sbin/iptables'

# Set interface values
EXTIF='eth0'
INTIF1='eth1'

# flush rules and delete chains
$IPTABLES -F
$IPTABLES -X

# enable masquerading to allow LAN internet access
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

# forward LAN traffic from $INTIF1 to Internet interface $EXTIF
$IPTABLES -A FORWARD -i $INTIF1 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT

#echo -e "       - Allowing access to the SSH server"
$IPTABLES -A INPUT -p tcp --dport 21 --syn -j ACCEPT

#echo -e "       - Allowing access to the SSH server"
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT

#echo -e "       - Allowing access to the HTTP server"
$IPTABLES -A INPUT -p tcp --dport 80 --syn-j ACCEPT

$IPTABLES -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
$IPTABLES -A FORWARD -p tcp --tcp--flags SYN, ACK  -m limit --limit 1/s -j ACCEPT
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

chmod +x /etc/myhtos.conf

/etc/mythos.conf

/etc/init.d/iptables save

cp /var/lib/iptables/rules-save /etc/mythos.conf
 
/etc/init.d/iptables start; /etc/init.d/iptables stop; /etc/init.d/iptables start

rc-update add iptables default



Quanto à partilha de ficheiros ... Tens que escolher no File System do Kernel a opcção samba, emergires o samba e configurar, acho que não é muito díficil....

Nota: estão ai algumas regras de iptables que não te devem intressar.
portas 22, 21, 80.
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux
Back to top
View user's profile Send private message
Dexter2004
Tux's lil' helper
Tux's lil' helper


Joined: 23 Jul 2004
Posts: 123

PostPosted: Mon Aug 02, 2004 7:20 pm    Post subject: Reply with quote

obrigado
Back to top
View user's profile Send private message
fernandotcl
Veteran
Veteran


Joined: 20 Nov 2003
Posts: 1396
Location: Sao Paulo, Brazil

PostPosted: Mon Aug 02, 2004 11:16 pm    Post subject: Reply with quote

Quanto à partilhar a conexão, tudo depende das máquinas involvidas. Para um firewall doméstico com compartilhamento de conexão, eu usaria:

Code:
#!/bin/bash

# Seus nameservers.
# "cat /etc/resolv.conf | grep nameserver" retorna esses valores
NAMESERVER1=xxx.xxx.xxx.xxx
NAMESERVER2=xxx.xxx.xxx.xxx

EXT_IFACE=eth0
INT_IFACE=eth1

# Zera as regras
iptables -F
iptables -X

# Firewall reverso - libere só o explicitamente declarado
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Liberar os nameservers
iptables -A INPUT -p udp -s $NAMESERVER1 -j ACCEPT
iptables -A INPUT -p udp -s $NAMESERVER2 -j ACCEPT
iptables -A OUTPUT -p udp -d $NAMESERVER1 -j ACCEPT
iptables -A OUTPUT -p udp -d $NAMESERVER2 -j ACCEPT

# Liberar tráfego "legal"
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Habilitar o NAT
iptables -t nat -A POSTROUTING -o $INT_IFACE -j MASQUERADE

# Habilitar o forwarding
iptables -A FORWARD -i $INT_IFACE -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


Se alguém testar e não funcionar (o que é esperado), por favor poste de volta. Ainda sou um aprendiz em iptables e nunca compartihei uma rede por ele, então existe uma alta probabilidade de simplesmente não funcionar. :D

É muito parecido com o script do Mythos, mas é um firewall considerado mais seguro, porque ao invés de bloquear conexões não desejadas, por padrão bloqueia todas e libera somente as explicitamente declaradas.

Além de tudo, você tem que compilar o kernel com suporte à connection tracking, masquerading e machine state. Também são necessários os passos que o Mythos descreveu, editando o local.start e salvando as regras.

Se você precisar utilizar alguns serviços, basta desbloquear suas portas. Em caso de dúvidas poste aqui. Além disso, se quiser usar um IM como ICQ e MSN Messanger, acredito que seja necessário desbloquear algumas portas também.

E Mythos, você pode fortificar sua máquina usando port-knocking pro SSH. É um acrescimo significativo na segurança.
Back to top
View user's profile Send private message
Mythos
l33t
l33t


Joined: 02 May 2004
Posts: 953
Location: Portugal

PostPosted: Tue Aug 03, 2004 12:35 am    Post subject: Reply with quote

Umm o port-knoking basicamente é um logger certo ?

Meti isto a barrar também por hosts ... é sempre uma pequena barreira
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux
Back to top
View user's profile Send private message
fernandotcl
Veteran
Veteran


Joined: 20 Nov 2003
Posts: 1396
Location: Sao Paulo, Brazil

PostPosted: Tue Aug 03, 2004 1:03 am    Post subject: Reply with quote

Mythos wrote:
Umm o port-knoking basicamente é um logger certo ?

Meti isto a barrar também por hosts ... é sempre uma pequena barreira

O problema de barrar por hosts é que você sempre só pode acessar a máquina à partir de um IP que foi liberado pela máquina remota, o que falha no caso do IP dinâmico, onde a restrição máxima seria feita com uma máscara de subrede, que daria acesso à muita gente não autorizada. Além disso, existe uma possiblidade remota de se acessar um computador "autorizado" e utilizá-lo num ataque.

Com o port-knocking, você pode deixar a porta do SSH stealth fazendo drop pra qualquer tentativa de conexão na porta do SSH e só abrindo ela pra um determinado host depois de uma sequência de "batidas" nas portas fechadas, que seriam logadas pelo iptables e analisadas por um daemon, que modificaria o firewall on-the-fly, permitindo o acesso de um IP (encriptado nas batidas nas portas) à porta do SSH. Com um software como o Snort, você também pode barrar as tentativas de força bruta.

É um pouco de paranóia com segurança, mas já que as técnicas existem, é sempre uma opção. :D
Back to top
View user's profile Send private message
Mythos
l33t
l33t


Joined: 02 May 2004
Posts: 953
Location: Portugal

PostPosted: Tue Aug 03, 2004 3:08 am    Post subject: Reply with quote

Estás à vontade, também alinho nessa paranoia! Só faz é bem, besides um gajo está sempre a aprender. Thanx Fernando amanhã vou ver isso.
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux
Back to top
View user's profile Send private message
Mythos
l33t
l33t


Joined: 02 May 2004
Posts: 953
Location: Portugal

PostPosted: Thu Aug 12, 2004 1:27 am    Post subject: Reply with quote

Alguém sabe de algum helper porreiro para o knock ?


FernandoTCl por acaso não tens ou sabes de algum how too porreiro para o knockd
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux
Back to top
View user's profile Send private message
fernandotcl
Veteran
Veteran


Joined: 20 Nov 2003
Posts: 1396
Location: Sao Paulo, Brazil

PostPosted: Thu Aug 12, 2004 2:37 am    Post subject: Reply with quote

How-to eu não conheço (mesmo porque não tenho necessidade de port-knocking), mas tem uma implementação que parece ser grande e já ter lançado arquivos.
Back to top
View user's profile Send private message
Mythos
l33t
l33t


Joined: 02 May 2004
Posts: 953
Location: Portugal

PostPosted: Thu Aug 12, 2004 4:04 am    Post subject: Reply with quote

Queria era um exmeplo para o SSH ... é que um que encontrei e o que vem com o knockd não funciona memso mudando /sbin/iptables.

Thanx
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Portuguese All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum