http://www.zago.eti.br/firewall/iptables.txt FAQ, dicas, modelos de regras e firewall, indicação de ferramentas pra criar regras, indicação de sites artigos com dicas e tutoriais em portugues. veja também a continuação deste arquivo FAQ: http://www.zago.eti.br/firewall/iptables2.txt Use CTRL+F para refinar a pesquisa. Linha de: **************** sapara mensagens ou tópicos. Veja também neste diretório (site) os arquivos. visualizar todos os arquivos FAQ http://www.zago.eti.br/firewall/ kazaa-bloquear.txt -> mensagens exclusivas para barrar kazaa. iptables-modelos.txt iptables-mac.txt firewall.txt seguran.txt regras com squid procure também no diretório sobre squid em: http://www.zago.eti.br/squid/ Veja no diretório raiz (http://www.zago.eti.br) outros FAQ sobre: Servidor web com apache em apache.txt servidor de ftp ftp.txt regras de firewall pra vnc e pcanyhare veja em vnc.txt regras de firewall pra vpn em vpn.txt regras pra compartilhar internet em adsl-compartilhar.txt regras e dicas sobre rotas em geral, veja em route.txt Outros arquivos relacionados: placa_ne.txt - configurar placa de rede internet.txt - algumas mensagens relacionadas a internet. rede.txt - algumas dicas e indicações sobre rede. ip.txt - algumas dicas relacionadas a IP. ********************************************************************************** Indicação de documentação sobre iptables, muitos sites e artigos estão em ingles, caso tenha dificuldade com o ingles, instale um tradutor, veja em: http://www.zago.eti.br/tradutor.txt Também tem sites pra tradução "on line", copie o endereço desejado, abra outra aba no navegador pra acessar o tradutor localize a opção pra traduzir URL e cole o endereço da pagina que deseja traduzir, veja estes tradutores: http://www.altavista.com http://babelfish.altavista.com http://translate.google.com/translate_t Use a tua intuição, tradutores falham muito, mas a tua intuição acerta muito. What is netfilter/iptables? http://www.iptables.org/ Documentação, download, patche, tutoriais, lista de discussão, fontes dos pacotes e muito mais.... Iptables - Documentation about the netfilter/iptables project. Prefira o site oficial em: www.netfilter.org http://www.netfilter.org/documentation/ http://www.netfilter.org/documentation/HOWTO/pt/packet-filtering-HOWTO.html http://www.netfilter.org/documentation/HOWTO/pt/packet-filtering-HOWTO-7.html http://www.tldp.org/HOWTO/Ethernet-Bridge-netfilter-HOWTO.html Ethernet Bridge + netfilter Howto em português. http://www.conectiva.com.br/cpub/pt/incConectiva/suporte/pr/servidores.firewall.html http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htm excelente tutorial em português, vale a pena uma consulta. http://www.conectiva.com/doc/livros/online/8.0/servidor/cap-seguranca.html#SEC-FILTRO-PACOTES http://www.conectiva.com.br/cpub/pt/incConectiva/suporte/pr/servidores.firewall.iptables.html http://www.conectiva.com/doc/livros/online/8.0/servidor http://www.conectiva.com/doc/livros/online/7.0/servidor/ no capitulo Segurança tem dicas de Iptables. http://www.linuxsecurity.com.br/article.php?sid=8022 Usamos o alvo TOS (-j TOS) para modificar o tipo de serviços nos pacotes que passam pelas regras do firewall, usando o argumento set-tos TOS que define a prioridade dos pacotes. (neste arrtigo tem exemplos ds valores aceitos.) http://www.iptablesbr.cjb.net excelente tutorial em português. www.linuxman.pro.br/firewall http://netfilter.kernelnotes.org/ http://www.ufrnet.br/~rk/seguranca/docs/iptables-parte1.zip http://www.linuxguruz.org/iptables/ http://www.boingworld.com/workshops/linux/iptables-tutorial/iptables-tutorial/iptables-tutorial.html http://my.netfilter.se http://www.telematik.informatik.uni-karlsruhe.de/lehre/seminare/LinuxSem/downloads/netfilter/iptables-HOWTO.html http://netfilter.samba.org/documentation/HOWTO/pt/NAT-HOWTO.html http://netfilter.samba.org/documentation/HOWTO/pt/packet-filtering-HOWTO.html ótimo material em português sobre NAT, IPTABLES ... http://www.netfilter.org/documentation/tutorials/blueflux/iptables-tutorial.html com exemplos prontos no fim do documento que funcionam muito bem. http://www.linuxguruz.org/iptables/ http://freshmeat.net/releases/94711/ -> em inglês Excelente tutorial sobre iptables, graficos, exemplos e diversas dicas, pra download do tutorial em diversos formatos acesse: http://iptables-tutorial.frozentux.net/ ou consulte diretamente em: http://iptables-tutorial.frozentux.net/iptables-tutorial.html http://linux.sathi.com.br/firewall/ criar regras on-line - em inglês. Neste link tem um programa para criar regras de iptables. http://firestarter.sourceforge.net http://pcxfirewall.sourceforge.net/ em inglês - gerador de script e firewall http://www.fwbuilder.org/ configurador gráfico. http://easyfwgen.morizot.net/gen/ Easy Firewall Generator for IPTables (pagina pra gerar script de firewall personalizado) http://www.linux-firewall-tools.com/linux/firewall/index.html Linux Firewall Design Tool Parece que funciona como um gerador de firewall, você escolhe os serviços que quer liberar e êle cria o script para você. http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htm Este capítulo documenta o funcionamento do firewall iptables que acompanha a série do kernel 2.4, opções usadas, e aponta alguns pontos fundamentais para iniciar a configuração e construção de bons sistemas de firewall. http://www.guiadohardware.info/linux/dicas/76.htm Bloqueando programas P2P usando o Iptables alguns exemplos e comentarios sobre algumas regras pro Iptables. http://www.linuxit.com.br/modules.php?name=Sections&op=listarticles&secid=11 IPTABLES - Diversos tutoriais em portugues, entre eles estão: # Ipchains & Iptables para conexão ppp # Compartilhe sua conexão por NAT (iptables) # Iptables + honeypot + IDS # Implemente e Configure o seu Linux com IPTABLES # Diferenças no Fluxo de Dados entre ipfwadm, ipchains e iptables # Monitorando Conexão de Trojans - IPTABLES # Firewall Simples # Conheça os modulos para trabalhar com iptables # Firewall Básico, NAT e Redirecionamento com IPTABLES # Implemente e Configure o seu Linux com IPTABLES - Revisão 1.2 # Especificando os tipos de serviços com IPTABLES # Implemente e Configure o seu Linux com IPTABLES 1.3 # Migrando IPCHAINS para IPTABLES - Parte I # Migrando IPCHAINS para IPTABLES - Parte II FILTROS http://www.lowth.com/howto/iptables-treasures.php Em ingles, tem dicas e exemplos de configuração do iptables pra aplicar filtros por "string", "tempo", por faixa de IP e redirecionamentos e etc..., http://www.dicas-l.com.br/dicas-l/20030705.shtml http://linuxgazette.net/108/odonovan.html Advanced Features of netfilter/iptables Diversos exemplos avançados... ********************************************************************* ********************************************************************* como desabilitar um firewall que está rodando? iptables -F ********************************************************************* Lembre que o Kernel teve muitas alterações com modulo que controla as portas e repasse de pacotes. Kernel com versões anteriores a 2.... usava ipfwadm, Kernel com versão entre 2.... e 2.4 usa IPmasquerade, Kernel com versão igual ou acima de 2.4 passou a usar o IPtables. Tendo problemas com as regras, apenas para testar, desabilite o ipchains / iptables e tente novamente. Se funcionar, refaça as regras. onde está o Iptables? Em scripts precisa informar o caminho completo para chamar o Iptables. Dependendo da distro ou versão, pode estar em locais diferentes, no CL9 ele está em /usr/sbin, veja como localiza-lo com whereis: # whereis iptables iptables: /usr/sbin/iptables INSTALAR: Na maioria das opções de instalação o Iptables já é instalado automaticamente mas caso precise reinstalar, utilize os CD de instalaçao, ou baixe o RPM do iptables e a partir do diretório onde salvou, execute o comando: # rpm -ivh iptables-versão.rpm --replacepkgs Ou via APT apt-get install iptables OBS. No CL9 instalado com perfil "estação de trabalho" não inclue o modulo do kernel Iptables, qualquer regra de firewall que utilize Iptables requer este modulo, para instalar requer os CD de instalação e o seguinte comando, como root em um console: apt-get install iptables ou via synaptic, procure pelo modulo iptables. Como ver se está instalado? No CL9, via synaptic procure pelo pacote iptables ou via rpm assim: # rpm -qa | grep iptables iptables-1.2.7a-26694cl ajuda: # iptables -h > # iptables -F > /lib/modules/2.4.5-9cl/kernel/net/ipv4/netfilter/ip_tables.o: init_module: > Device or resource busy Iptables não foi iniciado, execute antes o comando ou inclua no rc.local: # modprobe ip_tables LOG Arquivos de logs criados pelo iptables registra todo tráfego que for pelo iptables por padrão no arquivo /var/log/kern.log veja os resultados de: # iptables -t filter -L INPUT # iptables -L INPUT -n # iptables -L INPUT -n -v Parar o IPtables: /etc/rc.d/init.d/iptables stop Se ainda tem dúvida ou problema continue em: http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htm excelente tutorial em português. Veja quais modulos do Iptables foram carregados. [root@faqcl9 root]# lsmod Module Size Used by Not tainted iptable_filter 2316 0 (autoclean) (unused) ipt_MASQUERADE 1976 1 (autoclean) ip_nat_ftp 3728 0 (unused) iptable_nat 19032 2 [ipt_MASQUERADE ip_nat_ftp] ip_tables 13176 5 [iptable_filter ipt_MASQUERADE iptable_nat] ip_conntrack_ftp 4784 1 ip_conntrack 24680 2 [ipt_MASQUERADE ip_nat_ftp iptable_nat ip_conntrack_ftp] 8139too 16296 2 (autoclean) mii 3480 0 (autoclean) [8139too] lvm-mod 57696 0 ext3 60544 1 jbd 45524 1 [ext3] ide-disk 11140 2 ide-probe-mod 9864 0 ide-mod 176224 2 [ide-disk ide-probe-mod] Veja que no resultado acima aparece varios modulos, (nat, ftp) isto indica que os modulos do Iptables pra fazer NAT e NAT pra FTP estão rodando. ********************************************************************* PROXI TRANSPARENTE CL7 e CL8 - KERNEL 2.4......... RESUMO Para compartilhar uma conexão para os demais micros da rede e iniciar o serviço em toda inicialização do micro, coloque no final do rc.local /etc/rc.d/rc.local modprobe iptable_nat iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward ou esta: modprobe iptable_nat iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward ajuste o IP e dispositivo de acordo com sua rede. OBS. Para o speedy com IP dinamico, pppoe, na linha acrescentada no rc.local onde inicia com iptables -t .... use ppp0 no lugar de eth0, vai ficar assim: iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE é assim mesmo, embora esteja na eth0, coloque ppp0. FIM DO RESUMO A seguir algumas dicas e outras maneiras de configurar o repasse para outras maquinas. Carregue o modulo para NAT: modprobe iptable_nat Acrescente a regra: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE utilize a linha com eth0 para speedy utilize a linha com ppp0 para modem ou speedy com IP dinamico (pppoe) E acione o IP forwarding, tem varias maneiras de ativar o forward, escolha somente uma das 3 opções abaixo.: echo 1 > /proc/sys/net/ipv4/ip_forward inicie este serviço quando quiser ativar o forward ou inclua esta linha no final do /etc/rc.d/rc.local para ser iniciado toda vez que ligar o micro. OU altere em /etc/sysctl.conf: de net.ipv4.ip_forward = 0 para net.ipv4.ip_forward = 1 OU altere em /etc/sysconfig/network: de # FORWARD_IPV4=no # not used anymore. see /etc/sysctl.conf para FORWARD_IPv4="yes" E pronto, o mascaramento ja esta funcionando. Leia mais no http://netfilter.samba.org. regras do mascaramento cat /proc/net/ip_masquerade ver as regras do iptables # iptables --list -n -v # iptables --list # iptables -L para barrar um IP especifico acrescente a linha abaixo em seu script depois do ip_forward: /usr/bin/iptables A -OUTPUT -p tcp -s IPBLOQUEADO -j DROP Antonio Francisco Zago zagolinux@uol.com.br ********************************************************************* No kernel 2.4.x o ipfilter faz uso do PREROUTING para executar um regra de NAT, para trocar um valor de entrada antes de ser tratado pelo restante das regras do filtro. Exemplo: #iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j REDIRECT --to-port 3128 (ou 8080) Esta regra é usada para redirecionar todas as entradas (-i =>INPUT) na interface eth0 usando o protocolo tcp (-p tcp)e, que se destinam a porta 80 sejam redirecionados a porta 3128 da mesma maquina . Essa regra é usada para criar um Proxy transparente com o squid cuja a porta padrão é 3128 mas que muitos aconselham a usar numa porta 8080! Já o POSTROUTING é o oposto, realiza um NAT de saida, troca a informação que sai da máquina. # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Nesta regra todos os pacotes que estão saindo (-o => output) pela interface eth0 serão mascarados (-j MASQUERADE). ********************************************************************* DICAS SOBRE COMANDOS, REGRAS, POLITICAS ... DROP - Nega pacote e não manda um pacote de volta para o emitente. ACCEPT - Aceita o pacote REJECT - Nega pacote e manda um pacote de volta do tipo host-unreachable (Host Inalcançável) ESTABLISHED - Pacote de resposta a uma conexão já existente. INVALID correponde a pacote não identificado, por exemplo: execução fora da memória, erros de ICMP que não correspondam a uma conexão já existente. Por segurança devem ser barrados com DROP. REDIRECT funciona para redirecionar só para porta em serviço local Para redirecionar para um IP reservado da rede interna, pesquise sobre: DNAT/SNAT (DNAT --to-destination ) -A - acrescentar uma regra para atualizar as já existentes. -C - Conferir, checar as regras. -D - excluir a regra específicada. -F - flush - zerar todas as regras. -h - exibe o help. -I - Insere nova regra dentro das já existentes. -L - lista as regras existentes. -N - dar nome a uma nova regra. -P - define a regra padrão. -R - substituir regra. -X - excluir regra pelo nome -Z - zera uma regra específica. ********************************************************************* ********************************************************************* ********************************************************************* ********************************************************************* -> [ Compartilhando a Internet com segurança no Linux, Parte 2 ] Nesta segunda parte do artigo, dms nos demonstra como realmente fazer a segurança da sua conexao. Utilizando o IPTables, o autor cria um firewall simples tendo como base uma maquina Linux 2.4.x, complementando o outro script apresentado, que apenas compartilhava a Internet com sua rede interna (http://www.secforum.com.br/article.php?sid=874). Mais informacoes: http://www.linuxsecurity.com.br/article.php?sid=6608 -> [ floppyfw 2.0.3 ] Nova versao para desenvolvedores disponivel... floppyfw é um roteador e firewall simples em um único floopy disco... Utiliza características básicas do firewall do Linux e tem um sistema muito simples de pacotes... É perfeito para masquerading e segurança de redes como *DSL, cable modems utilizando tanto IPs fixos quando DHCP... Tem instalação muito simplificada (a maior parte da configuração necessita de um único arquivo no disco)... Mais informacoes: http://www.linuxsecurity.com.br/article.php?sid=6619 ********************************************************************* ********************************************************************* De: Marcus Lima Responder-a: marcuslima@marcuslima.eti.br Para: Gustavo Andreoni Vieira d'Almeida , Eduardo Rocha , linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) roteador lento Data: 02 Feb 2003 01:52:10 -0200 Mais uma dica para melhorar os seus roteadores com filtro de pacotes: iptables -A chain -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT Onde chain = INPUT e/ou FORWARD dependendo do caso. Essa regra deve ser posta antes de todas as outras da chain, ela serve para deixar passar os pacotes que estejam trafegando por conexões já ativas (sockets conectados), isso faz com que não passem pelo filtro. - Marcus Lima. ********************************************************************* Para o iptables fazer NAT em internet compartilhada e as estações usarem o FTP precisa carregar os modulos: insmod /lib/modules/2.4.6/kernel/net/ipv4/netfilter/ip_conntrack_ftp.o insmod /lib/modules/2.4.6/kernel/net/ipv4/netfilter/ip_nat_ftp.o ou simplesmente: modprobe ip_conntrack_ftp modprobe ip_nat_ftp Teoricamente o resultado é o mesmo, mas dê preferencia ao primeiro exemplo, o insmod verifica as dependencias e tudo mais, logo, é melhor. Subject: (linux-br) Iptables/nat/ FTP ********************************************************************* No RH7.1, vem compilado em modulos o iptables e o ipchains. Quando o sistema carrega, ele verifica em /etc/sysconfig/ipchains ou /etc/sysconfig/iptables a procura de regras, de acordo com o startup (nivel 3 ou 5, o script S08ipchains ou S08iptables). Por default ele carrega o ipchains. Quando vc esta' instalando, ele pergunta qual o seu nivel de seguranca? A partir dai ele cria as regras pro ipchains e salva. O q vc pode fazer e': #rmmod ipchains #iptables --list (ele vai carregar o modulo do iptables automagicamente). Crie o seu firewall, e depois digite /etc/rc.d/init.d/iptables save. Em seguida, remova o ipchains da inicializacao do sistema. (Nivel 3) rm /etc/rc.d/rc3.d/S08ipchains (Nivel 5) rm /etc/rc.d/rc5.d/S08ipchains Pronto, na proxima inicializacao ele vai entrar com suas regras do iptables. > uso o redhat 7,1.. > estou implementando uma filtragem com o iptables...só que ele não > funciona...aparece uma mensagem de erro informando para atualizar ele ou a > versão do kernel...só que eu estou com o kernel 2,4,2 e o iptables 1,2 > ....pela lógica tinha que funcionar.... ********************************************************************* > > Olá lista ... > Tenho o seguinte scrip para ipchains : > echo "1" > /proc/sys/net/ipv4/ip_forward aqui nao muda.. > /sbin/ipchains -F > /sbin/ipchains -F forward > /sbin/ipchains -P forward DENY > /sbin/ipchains -A forward -j MASQ -s 192.168.1.0/24 -d 0.0.0.0/0 > /sbin/ipchains -A forward -j MASQ -s 192.168.0.0/24 -d 0.0.0.0/0 > /sbin/ipchains -A forward -j MASQ -p tcp -s 192.168.0.0/24 -l -d 200.X.192.0/24 > /sbin/ipchains -A forward -j MASQ -p tcp -s 192.168.0.0/24 -l -d 200.X.53.0/24 > /sbin/ipchains -A forward -j MASQ -p tcp -s 192.168.0.0/24 -l -d 200.X.144.0/24 iptables -F iptables -t nat -F iptables -P FORWARD DROP iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -j ACCEPT iptables -A FORWARD -s 192.168.0.0/24 -d 0/0 -j ACCEPT iptables -A FORWARD -s 0/0 -d 192.168.1.0/24 -mstate --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -s 0/0 -d 192.168.0.0/24 -mstate --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -j MASQUERADE é isso.. aquelas ultimas 3 linhas em que vc especifica o -p tcp endereço 200.x.x.x/24 sao desnecessárias (mesmo no seu script). > /sbin/depmod -a > /sbin/modprobe ip_masq_ftp.o bom, o ip_masq_ftp nao existe mais, agora se eu nao me engano nao é nescessário modulo de ftp, ou e usado um tal de ip_conntrack_ftp (acho), da uma olhada no diretório em que estão os módulos. > ------------------------------------------- > Gostaria de "portar" ele > para iptables, mesmo depois de ter lido vários > documentos não consegui colocar isso para funcionar. Na verdade, sob certos aspectos, ele ficou mais simples, e sem duvida nenhuma mais abrangente. ahh, eu nao vi regra nenhuma de input e output ai, se realmente elas nao existirem e vc usar a maquina so pra forward, vc pode fechar totalmente entrada e saida. iptables -P INPUT DROP iptables -P OUTPUT DROP Qualque coisa e so perguntar ********************************************************************* ********************************************************************* > Bom, já imaginando a dor de cabeça que vai ser...alguém sabe > de um script no mesmo estilo... que converte suas regras de ipchains > para o iptables ? O iptables é bem semelhante ao ipchains. A linha de comando dele é praticamente idêntica. A diferença mesmo está no interno. As regras no iptables são *bem* diferentes. Por exemplo, o que você fazia no ipchains para acionar o Masquerade (que é a aplicação mais típica), era: ipchains -A forward -s 192.168.0.0/16 -j MASQ No caso do iptables, essa linha se transforma em: iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE iptables -A FORWARD -s 192.168.0.0/16 -j ACCEPT iptables -A FORWARD -d 192.168.0.0/16 -mstate --state ESTABLISHED,RELATED -j ACCEPT Ou seja, além de ativar o Masquerading (que é a primeira linha), você precisa avisar o kernel que tipos de pacotes ele deve enviar: quaisquer que vierem da rede interna e aqueles que forem para a rede interna de conexões estabelecidas ou relacionadas (FTP, por exemplo) Esse é o caso mais complicado. Os outros são praticamente idênticos. Por exemplo, bloqueio externo (interface eth1) ao serviço de telnet: ipchains -A input -p tcp --dport 23 -i eth1 -j DENY vira: iptables -A INPUT -p tcp --dport 23 -i eth1 -j DROP Ou, mais elegantemente: -j REJECT --reject-with tcp-reset ********************************************************************************** Assunto: Re: RES: [seguranca] [IPTABLES] - gerar script para firewall Baixei também uma ferramenta chamada EasyTable e achei muito boa quando rodadada aparece um menu com algumas opções onde tempos criar script para firewall. Quando chamado aparece um wizard para construir o firewall, uma das perguntas é qual a interfaze interna/externa, qual os serviços que estarão disponíveis, quais ips/faixa de ipcs poderão acessar os serviços que você escolheu, gostaria de compartilhar sua rede interna(MASCARAMENTO). Depois ele gera um script prontinho com o perfil que você escolheu. Achei muito bom para quem não possui experiência. Sim! você tem que rodar o ./generator all .... Mas,não esqueça de editá-lo conforme as suas necessidades! Só o Rules.pm!!! tipo: eth0, lo, eth1 e seus respectivos IP's onde necessário! de uma olhada na regra que fala da porta 25! ela está aberta! por default o pcx deixa a 'segurança' para o sendmail (no meu caso) eu só comentei a linha e esta porta ficou invisível quando o 'scan' é feito de outra máquina! depois ./generator all e ./install Se precisar de mais alguma dica, ou tiver alguma, por favor! diga! []s Ricardo Castanho DICA: na versão 2.2 (que estou usando) o autor define com linhas onde devemos editar ou não! vá até o fim (eu não fui na primeira vez!!!), Na última linha de 'edição' existe o endereço de instalação! nas versões anteriores a instalação ocorria em /usr/lib/pcx_firewall ... agora está sendo /var..... escolha o que for melhor para você! Porque no final das contas o que vale é o ./install que irá colocar o 'output' em /etc/pcx_firewall! só que achei um detalhe! como na primeira vez eu não troquei o diretório.... não pude utilizar o ./restartfw (que parece que é o único que realmente precisa deste endereço correto!) MAS, mesmo assim o ./restartfw só executa o ./stopfw e ./startfw, portanto se der problemas na definição errada do diretório, basta reiniciar repetindo os últimos commandos acima! >Bom dia, >Muito obrigado pela dica. >O que é indicado para criar as regras -> generator all ? >Assunto: Re: [seguranca] [IPTABLES] - gerar script para firewall >Eu uso e recomendo o pcx_firewall! > >Pegue em: > >http://pcxfirewall.sourceforge.net/ >>Alguém sabe de um script básico para firewall baseado em iptables? ****************************************************************** > Estou a precisar de ajuda. > Tenho um Firewall na empresa onde trabalho com o Red Hat 7.1 e com iptables. > Esse Firewall é usado também como servidor de ftp. > Nessa máquina eu uso o iptables para redirecionar também umas portas para > acessarem directamente outras máquinas. > O que eu preciso é o seguinte, eu precisava de ter um resumo de tudo o que > entra no meu Firewall agrupado por portas, ou seja, qual a percentagem de > banda é usada pela porta 21, pela porta 80, pela porta xx, etc.... > Alguém conhece algum software simples de usar que faça isso??? Eu já > pesquisei vários e nenhum deles me deu essa informação. Acredito que alguns > até tivessem, mas havia uns super complicados. Já agora, além do software eu > queria um "How-To". Se vc executar: iptables --list -n -v Voce percebera que a listagem das regras esta' maior e possui alguns campos a mais. Os importantes (no seu caso): pkts -> Numero de pacotes que passaram nessa regra bytes -> quantidade de bytes que passaram nessa regra Se vc digitar iptables --zero, vc vai zerar esses contadores. Entao, vc pode criar um script pra coletar esses dados de hora em hora, dia a dia, etc.. etc... e quem sabe ate' integrar com o MRTG? Bom, a ideia foi colocada. Maos a obra :) ****************************************************************** De: Juliano Souza Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) dúvida redir do iptables Data: 14 Jun 2002 11:37:14 -0300 Pessoal, A situação é a seguinte: -Tenho um Servidor speedy 200.x.x.x.-->eth0 e 10.0.160.1-->eth1 para o hub. -Tenho estações na faixa 10.0.160.0/24 A prática: Toda vez que alguém solicitar/enviar um pacote para a porta 80 desse 200.x.x.x. Tem que ser redirecionado para a estação 10.0.160.5 na porta 80, Então me corrijem se eu estiver errado. #iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 80 -i eth1 -j DNAT --to 10.0.160.5:80 é assim mesmo? tks! Juliano Souza ****************************************************************** De: Linuxiado Responder-a: linuxiado@ieg.com.br Para: Eduardo C. Pellegrini , Linux-BR Assunto: Re: (linux-br) /FIRESTARTER/IPTABLES/CL8/ Data: 21 Jun 2002 03:35:18 -0300 Tem uma pequena falha no arquivo firewall.sh gerado pelo wizard do firestarter. Modifique as linhas que referenciam seu(s) ip(s) como mostrado abaixo: Original IP=`/sbin/ifconfig $IF | grep inet | cut -d : -f 2 | cut -d \ -f 1` Modificada IP=`/sbin/ifconfig $IF | grep inet | cut -d : -f 2 | cut -d \ -f 2` Isso resolveu meu problema... Em Rio de Janeiro, Quarta, 19 de Junho de 2002 10:50, Eduardo C. Pellegrini me disse: > Alguem aki usa o Firestarter? > Nao estou conseguindo configurar ele, assim que o servico entra no ar ele > barra tudo e nao aceita nenhuma das regras colocadas nele. > > E, quando eu inicio o servico, essa mensagem vem repetidas vezes no > terminal: > iptables v1.2.4: host/network `' not found > Try `iptables -h' or 'iptables --help' for more information > > Alguem ja passou por esses problemas tentando configurar o Firestarter? > > Ou alguem conhece algum outro firewall com GUI que seja simples e facil de > usar? > > Estou usando o Firestarter 0.8.2 e Iptables 1.2.4 no Conectiva 8 > > Atenciosamente, > Eduardo C. Pellegrini > Técnico de Suporte > ................................................... > Four Net Wireless Technology > R. Adib Miguel Haddad, 57 > 04125-210 - Ipiranga > São Paulo - SP > Tel.: (11) 5062 - 8700 > Fax: (11) 5062 - 8709 > www.fournet.com.br > ****************************************************************** De: Thiago Macieira Para: Matias Breunig , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) De onde o iptables lê as estatísticas de MB baixandos??? Data: 22 Jun 2002 12:44:42 +0200 Matias Breunig wrote >Olá, > >Alguém aí sabe de onde o iptables lê as informações sobre quandos MB >passaram por cada chain??? (Aqueles dados da opção iptables -L -v). > >Eles são zerados a cada reboot ou em algum momento??? É possível definir >isto para por exemplo fazer contabilização mensal de MB p/ mês??? Dos próprios contadores internos. Cada vez que um pacote atravessa o NetFilter, ele contabiliza os bytes. E note que todos os pacotes IP atravessam o NetFilter :) Para zerá-los, use o iptablez -Z chain ****************************************************************** e: Felipe Vilarinho Para: 'Dorian Bolivar' , Zé Luís Cc: linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) executar iptables como não root - argh!!! Data: 26 Jun 2002 13:34:20 -0300 Dê um chmod 7755 /sbin/iptables que vai blz. -----Mensagem original----- De: Dorian Bolivar [mailto:dbolivar@uol.com.br] Enviada em: quarta-feira, 26 de junho de 2002 01:10 Para: Zé Luís Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) executar iptables como não root - argh!!! Acredito que uma boa solução seja instalar o módulo "suexec" no Apache (geralmente os pacotes RPM vêm nomeados "apache-suexec", "apache-mod_suexec" ou "mod_suexec"). Ele permite fazer justamente isso, rodar programas como root através do Apache. O funcionamento em detalhes não sei, pois nunca usei. []s, Dorian On Tue, 25 Jun 2002 21:40:24 -0300 Zé Luís wrote: > estou com uma dúvida cruel. > Tenho um script .sh que executa as devidas regras de iptables. > Tenho uma interface web onde executo um aplicativo jsp (java server > pages) que executa este .sh. > O problema (ou a salvação !!!) é que o usuário www(httpd) não tem > permissão para executar o iptables e portanto as regras não são > alteradas. > > Qual seria a solução mais adequada? Pelo que vi a mais adequada é > realmente somente o root executar o iptables :-) > Alguém tem uma sugestão, visto que seria fundamental para mim que meu > aplicativo jsp conseguisse executar o .sh que aplica as regras de > iptables? ****************************************************************** De: crg Responder-a: crg3k@terra.com.br Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Firewall e Servidor Web Data: 07 Jul 2002 01:29:25 -0300 On Domingo 07 Julho 2002 00:55, HL wrote: > O problema é que quero colocar um Servidor Web ( para colocar 2 sites ) em > um micro que recebe o link do firewall pentium 133, como fazer isto? > A pessoa que acessar o endereço vai cair na máquina Servidor Web e não no > firewall ( que é o único com interface externa )... Voce pode usar o iptables para redirecionar a porta 80 do firewall para o webserver: iptables -t nat -A PREROUTING -p tcp --dport www -i eth0 -j DNAT --to IPWEBSERVER:80 No caso eth0 eh a interface apontando para a internet. - -- ****************************************************************** De: Luciano Cerda Para: Luciano , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Redirecionamento Data: 15 Jul 2002 16:15:47 -0230 Fala Luciano, No meu caso aqui, utilizei estas regras de firewall: # Faz repasse de pacotes porta 5631, 5632 (pcanywhere) para o servidor da rede interna $IPTABLES -A PREROUTING -t nat -p tcp -d $IP_EXT --dport 5631 -j DNAT --to-destination $IP_WWW1 $IPTABLES -A PREROUTING -t nat -p udp -d $IP_EXT --dport 5631 -j DNAT --to-destination $IP_WWW1 $IPTABLES -A PREROUTING -t nat -p tcp -d $IP_EXT --dport 5632 -j DNAT --to-destination $IP_WWW1 $IPTABLES -A PREROUTING -t nat -p udp -d $IP_EXT --dport 5632 -j DNAT --to-destination $IP_WWW1 $IPTABLES -A FORWARD -p tcp -j ACCEPT -d $IP_WWW1 --dport 5631 $IPTABLES -A FORWARD -p udp -j ACCEPT -d $IP_WWW1 --dport 5631 $IPTABLES -A FORWARD -p tcp -j ACCEPT -d $IP_WWW1 --dport 5632 $IPTABLES -A FORWARD -p udp -j ACCEPT -d $IP_WWW1 --dport 5632 Como visto acima, o pc-anywhere utiliza as portas 5631 e 5632 nos protocolos tcp e udp. Assunto: (linux-br) Redirecionamento > Tenho um servidor 200.194.X.X como ETH0 e 192.168.X.X como ETH1 > Quero acessar via PCANYwhere uma estação com IP 192.168.X.14 que esta atras > desse servidor. > Pelo amor de Deus como eu posso fazer isso. De: Marcio R. Lima Para: Luciano , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Redirecionamento Data: 15 Jul 2002 17:18:55 -0300 E aí luciano, tudo bem? Eu utilizo o redir para redirecionar requisições ao servidor em determinadas portas... Por exemplo, imaginemos que a maquina que vc quer acessar via pcanywhere utiliza a porta 5800: No redir seria assim: /usr/sbin/redir --lport=5800 --laddr=200.194.x.x --cport=5800 -- caddr=192.168.x.14 --syslog Ou seja, qualquer requisicao no endereco 200.194.x.x na porta 5800 irá redirecionar para a sua maquina ip 192.198.x.14 Espero que lhe ajude... OBS: Eu utilizo o VNC em vez do PCAnywhere. É muito bom e é free.... ****************************************************************** De: Humberto L Jucá Responder-a: ginux-l@comp.ufla.br Para: ginux-l@comp.ufla.br Assunto: [ginux-l] Re: Firewall Data: 22 Jul 2002 07:31:46 -0400 Se eu entendi corretamente vc precisa fazer masquerade ou simplesmente um regra de SNAT no servidor com duas placas de rede. O Conectiva 7 trabalha com o kernel da família 2.4 cujo firewall é baseado no netfilter (não sei se ela traz o 2.2.19). Se vc fizer questão de resolver o problema com ipchains então vc não pode ter nenhum módulo do iptables carregado (se vc não souber contornar, basta desinstalar o iptables), assim o kernel trabalhará em modo compatível com ipchains - eu acho que não vale apena, mas ai é com vc. A máquina com as duas placas de rede obviamente já possui rota para as duas redes assim que vc starta a rede, mas os outros hosts da rede interna não conhecem as outras redes até q: - Vc ative o forward no servidor (permitindo reenvio de uma rede a outra). - Ative o masquerade (um tipo especial de NAT) ou faça um NAT real. a) Existem várias formas p ativar o forward: Edite o arquivo /etc/sysctl.conf, e modifique net.ipv4.ip_forward = 0 para net.ipv4.ip_forward = 1 Ou edite /etc/sysconfig/network FORWARD_IPv4="yes" b) Definindo regras de fw: iptables -P FORWARD DROP iptables -t nat -A POSTROUTING -s 192.168.x.y/24 -j MASQUERADE iptables -A FORWARD -s 192.168.x.y -J ACCEPT iptables -A FORWARD -d 192.168.x.y -m state --state ESTABLISHED,RELATED -j ACCEPT Com essas regras vc define que o seu servidor responderá pela rede 192.168.x.y entregando o pacote de/para 192.168. Com o módulo state vc garante que o forward de volta só é válido se a conexão foi iniciada pela rede 192.168... Bom, isso foi só um exemplo básico, se vc quiser se informar mais sobre isso dê uma lida em www.iptablesbr.cjb.net que tem uma documentação bem legal (hehehe o cara fez parecer que o documento é autoria dele - link tabelas, mas é um baita tradução do how-to do netfilter). Naum uso ipchains a um bom tempo, mas pelo que me lembro: ipchains -A forward DENY ipchains -A forward -d 192.168.x.y/25 -j MASQ Infelizmente o ipchains naum é statefull, vc não pode criar regras baseadas em estados de conexão. Bom, acho q é por ai... T mais!!!!!!! -------------------------------------------------------------- GINUX-L: Lista de Discussao Sobre Linux -------------------------------------------------------------- ****************************************************************** De: Humberto L Jucá Responder-a: ginux-l@comp.ufla.br Para: ginux-l@comp.ufla.br Assunto: [ginux-l] Re: Firewall Data: 23 Jul 2002 07:47:20 -0400 Em Ter, 2002-07-23 às 07:03, vfmaziero escreveu: > hehehe ne? eh so implementar... mais nada... facin facin. > Hehehe, se for o primeiro contato com o iptables vc pode achar um pouco complicado sim, mas vc aprende rapidinho. Tem alguns detalhes que vc precisa ficar atento: Tipos de regra: a) INPUT: vc só define regras de input qdo o DESTINO de uma conexão for o firewall (tem q ser destinado ao ip dele p cair numa regra de input). b) FORWARD: qualquer pacote que seja encaminhado pelo firewall de uma rede a outra cai numa regra de FORWARD (tipo acessos da rede interna p internet ou internet p rede interna) - essa é uma condição máxima. c) OUTPUT: quando o pacote deixa o firewall A interpretação do firewall será linha a linha (sequencial), e se vc anular alguma conexão antes, não vai adiantar abrir na linha seguinte ou vice versa, por exemplo: ... iptables -A INPUT -i eth0 -j DROP iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT A segunda linha não terá efeito algum pq já foi negado tudo p eth0 anteriormente. Só que isso não é assim com as políticas de acesso. Tipo: iptables -P INPUT DROP ... iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT No exemplo acima, o que não for definido como ACCEPT será um DROP por causa da política. Outra diferença que vc precisa saber é: - Negando conexões: DROP: recusa conexão sem resposta (é bom p evitar DOS) REJECT: recusa conexão com resposta No DROP o outro lado fica esperando pela resposta até cair em time-out, por isso evita o DOS. No REJECT o outro lado tem a conexão recusada logo de imediato, assim ele pode fazer um loop de tentativas. Ps.: Muito cuidado qdo definir regras de INPUT e FORWARD, se vc se confundir na escolha, vc poderá definir regras com comportamento diferente do que vc pretendia. Digo isso pq já apanhei um pouco por causa disso. Hehehe, é bom q isso fique bem claro pra ti!! :) Não trabalhe com versões de kernel inferior a 2.4.8, todas tem algum errinho besta no netfilter. -------------------------------------------------------------- GINUX-L: Lista de Discussao Sobre Linux ****************************************************************** De: Claudio Matsuoka Para: Manoel Pinho Cc: Linux-BR Assunto: Re: (linux-br) Alguém tem receita de bolo para firewall + NAT ? Data: 28 Jul 2002 20:13:25 -0300 On Sun, 28 Jul 2002, Manoel Pinho wrote: > problema é que não consigo fazer nem adaptar um script baseado em > iptables para isso porque a coisa é mais complicada por ter mais de um > endereço variável dado por DHCP. Eu faco isso por interface e nao por endereco, e.g. iptables -t filter -A INPUT -i ppp0 --protocol tcp --dport 1:1022 -j REJECT ****************************************************************** De: xmarlon Para: linux-br Assunto: (linux-br) Redirecionamento de portas Data: 27 Jul 2002 23:37:37 -0300 Ola pessoal.... Estou com um baita problemao aqui, e nao sei oque fazer, meu cerebro ja se esgotou. A situacao e a seguinte : Tenho uma maquina que e somente firewall, e outra que serve DNS, PROXY, APACHE, etc.... Agora vou colar meu firewall aqui para voces verem : #!/bin/bash #################################### # Variaveis #################################### IPTABLES=`which iptables` IP_INT="192.168.1.1" IP_EXT="200.135.X.X" REDE_INT="192.168.1.0/24" ####################################### # Limpa as regras ######################################## $IPTABLES -P INPUT ACCEPT $IPTABLES -F $IPTABLES -t nat -F $IPTABLES -P FORWARD ACCEPT $IPTABLES -P OUTPUT ACCEPT ######################################## # Regras de seguranca congra Flood, Nmap, ping etc ######################################## #$IPTABLES -t nat -A PREROUTING -i eth1 -s $REDE_INT -j DROP ############################################ # Liberacao rede interna ############################################ #$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #$IPTABLES -A INPUT -p all -i lo -j ACCEPT #$IPTABLES -A INPUT -p all -i eth0 -j ACCEPT #$IPTABLES -A FORWARD -p all -i eth0 -o eth0 -j ACCEPT ############################################################ # NAT Mascaramento de ip ######################################################### $IPTABLES -t nat -A POSTROUTING -s $REDE_INT -o eth1 -j MASQUERADE ############################################################## # Redirecionamento de portas #################################################################### $IPTABLES -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 20 -j DNAT --to $IP_INT $IPTABLES -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 21 -j DNAT --to $IP_INT $IPTABLES -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 22 -j DNAT --to $IP_INT $IPTABLES -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 25 -j DNAT --to $IP_INT $IPTABLES -t nat -A PREROUTING -p udp -d $IP_EXT --dport 53 -j DNAT --to $IP_INT $IPTABLES -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 53 -j DNAT --to $IP_INT $IPTABLES -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 80 -j DNAT --to $IP_INT $IPTABLES -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 110 -j DNAT --to $IP_INT $IPTABLES -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 443 -j DNAT --to $IP_INT #$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT ###################################################################### ######## # Fecha o firewall ###################################################################### ######## #$IPTABLES -P INPUT DROP ############# O que esta acontecendo e o seguinte, de fora da minha rede, tudo esta funcionando perfeitamente, acesso o servidor la da minha casa na boa, os redirecionamentos estao funiocnando. O problema esta internamente, se eu digito telnet ipdamquina, funciona blz, se eu digito telnet www.maquina 23, nao da. Ele fica procurando no meu firewall, ao inves de procurar no servidor. Ja tentei fazer uma regra pra redirecionar oque vem de dentro , mas nao deu certo. Ja nao sei mais oque fazer. Agradeco qualquer ajuda galera. Abracos.... ****************************************************************** De: Eri Ramos Bastos Para: Rafael Araujo da Fonseca Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Bloquear IP's para navegação Data: 29 Jul 2002 10:58:01 -0300 Fala, Rafael Pelo que entendi você quer q apenas o pessoal com esses IP's façam NAT, certo? # iptables -t nat -A POSTROUTING -s 192.168.0.1 -o eth0 -j MASQUERADE E assim sucessivamente até o 10. Não sei se existe algum tipo de atalho, mas coloca isso dentro de um arquivinho de script e tá beleza! > estou precisando de uma solução. Tenho um servidor RH 7.2 servindo de > Gateway em um prédio. Estou precisando bloquear para navegação todos os IP's > que naun estajam na faixa 192.169.0.1 a 192.168.0.10. Como fazer isso? Por > iptables da? ****************************************************************** ****************************************************************** ****************************************************************** De: Informatica - SHHSJC Para: Linux-BR Assunto: Re: (linux-br) iptables para pop3 e smtp Data: 12 Aug 2002 12:39:25 -0300 Estas sao as regras que usamos no firewall por aqui ( um speed business na eth0 e REDE INTERNA NA eth1, nao se esqueca da inversao em relacao a sua rede ), da uma adaptada para sua configuracao, e so acertar as variaveis com o ip da placa interna do firewall, ip da placa externa, endereco da rede interna, ip do servidor de smtp e ip do servidor pop3.. echo 1 > /proc/sys/net/ipv4/ip_forward # Fazendo o mascaramento dos pacotes da rede interna para o POP3 iptables -A POSTROUTING -o eth0 -p tcp -s $REDE -d $POP--sport 1024: --dport 110 -j MASQUERADE -t nat # Permitindo o FORWARD da rede interna para o POP3 iptables -A FORWARD -o eth0 -p tcp -s $REDE -d $POP --sport 1024: --dport 110 -j ACCEPT # Permitindo o FORWARD do POP3 para a rede interna iptables -A FORWARD -o eth1 -p tcp -s $POP -d $REDE --sport 110 --dport 1024: -j ACCEPT # Fazendo o mascaramento dos pacotes da rede interna para o SMTP iptables -A POSTROUTING -o eth0 -p tcp -s $REDE -d $SMTP--sport 1024: --dport 25 -j MASQUERADE -t nat # Permitindo o FORWARD da rede interna para o SMTP iptables -A FORWARD -o eth0 -p tcp -s $REDE -d $SMTP --sport 1024: --dport 25 -j ACCEPT # Permitindo o FORWARD do SMTP para a rede interna iptables -A FORWARD -o eth1 -p tcp -s $SMTP -d $REDE --sport 25 --dport 1024: -j ACCEPT # permissao para enviar pacotes para servidor SMTP iptables -A OUTPUT -o eth0 -p tcp -s $IP_EXTERNO -d $SMTP--sport 1024: --dport 25 -j ACCEPT # permissao para receber resposta do servidor SMTP iptables -A INPUT -i eth0 -p tcp -s $SMTP -d $IP_EXTERNO --sport 25 --dport 1024: -m state --state ESTABLISHED -j ACCEPT # permissao para enviar pacotes para servidor POP3 iptables -A OUTPUT -o eth0 -p tcp -s $IP_EXTERNO -d $POP --sport 1024: --dport 110 -j ACCEPT # permissao para receber resposta do servidor POP3 iptables -A INPUT -i eth0 -p tcp -s $POP -d $IP_EXTERNO --sport 110 --dport 1024: -m state --state ESTABLISHED -j ACCEPT >So me falta um passo para jogar o Ruindows no lixo... >as maquinas que estao plugadas na rede acessam html numa boa, mas o outlook >nao consegue requisitar pop nem enviar smtp... >estou usando Squid para disponibilizar o html, e estudei os (iptables) >firewall e acho que e a solucao para liberar o pop e o smtp, mas nao sei por >onde iniciar.... ****************************************************************** copiado de: http://www.secforum.com.br/article.php?sid=874 Re: Compartilhando a Internet com segurança no Linux, Parte 1 (Pontos: 0) por Anonimo em Sábado, agosto 03 @ 19:17:39 BRT As últimas linhas do script estão específicas para o caso da eth0 estar ligada à internet. Seria melhor usar a variável NET_IFACE no lugar de eth0 para tornar o script mais flexível. No meu caso, a eth1 está ligada à internet e eu tive que adaptar o script. Outra sugestão seria vc colocar a explicação como comentários dentro do próprio script. Assim, quem copiasse o script já teria ele comentado. De qualquer mode, parabéns pelo excelente artigo ! [ Responder a Este ] Re: Compartilhando a Internet com segurança no Linux, Parte 1 (Pontos: 0) por Anonimo em Sábado, agosto 03 @ 19:24:25 BRT Só para contribuir (fui o cara que mandou a mensagem acima), está aí o script que adaptei a partir do seu: #!/bin/bash # Script de compartilhamento de internet # Retirado de # http://www.secforum.com.br/article.php?sid=874 # Por Daniel M. Santana, ou dms. # Definicoes: IPT='/sbin/iptables' NET_IFACE='eth0' LAN_IFACE='eth1' LAN_RANGE='192.168.0.0/24' # Modulos do kernel necessarios para o uso deste script /sbin/modprobe ip_conntrack /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ipt_LOG /sbin/modprobe iptable_nat /sbin/modprobe iptable_nat_ftp # Ligar o IP Forwarding, que é a base do compartilhamento. Lembrando que esta opçao # deve estar habilitada no kernel na hora da compilaçao echo 1 > /proc/sys/net/ipv4/ip_forward # Comandos para limpar todas as regras que possam ter na tabela do iptables $IPT -F $IPT -Z $IPT -t nat -F # Politica padrao para repassar pacotes: DROP. Isto faz com que nada seja repassado # a nao ser o que for listado neste script, o que vem a ser uma forma de tornar mais seguro $IPT -t filter -P FORWARD DROP # Permite que a interface LoopBack (lo) tenha trafego livre $IPT -t filter -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT $IPT -t filter -A OUTPUT -o lo -s 0/0 -d 0/0 -j ACCEPT # Aqui, deduz-se que voce confia na sua rede interna e permite que ela faça novas # conexoes para qualquer lugar, assim como aceitar as conexoes ja estabelecidas # (Stateful Inspection). $IPT -t filter -A INPUT -i $LAN_IFACE -m state --state NEW -j ACCEPT $IPT -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Estas linhas fazem com que a internet seja compartilhada para sua rede interna. # As duas primeiras fazem com que os pacotes da rede interna repassados (FORWARD) atraves # da internet sejam aceitos. A proxima linha ativa o MASQUERADE na interface da # Internet. As ultimas três linhas permitem que a redeinterna va para onde quiser, tanto # internamente como externamente. # Fazem com que os pacotes da rede interna repassados (FORWARD) atraves # da internet sejam aceitos $IPT -t filter -A FORWARD -d 0/0 -s $LAN_RANGE -o $NET_IFACE -j ACCEPT $IPT -t filter -A FORWARD -d $LAN_RANGE -s 0/0 -i $NET_IFACE -j ACCEPT # Ativa o MASQUERADE na interface da Internet. $IPT -t nat -A POSTROUTING -o $NET_IFACE -j MASQUERADE # Permitem que a redeinterna va para onde quiser, tanto # internamente como externamente. $IPT -t filter -A INPUT -s $LAN_RANGE -d 0/0 -j ACCEPT $IPT -t filter -A OUTPUT -s $LAN_RANGE -d 0/0 -j ACCEPT $IPT -t filter -A OUTPUT -p icmp -s $LAN_RANGE -d 0/0 -j ACCEPT ****************************************************************** De: crg Responder-a: crg3k@terra.com.br Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Como barrar verificação da brasnet Data: 25 Aug 2002 13:58:16 -0300 Voce pode tentar dar um DROP ou REJECT via IPTABLES: iptables -A INPUT -i ethX -p tcp --dport 3128 -j DROP Onde ethX eh a interface apontendo para a internet. melhor mesmo seria fechar tudo: iptables -P FORWARD DROP iptables -P INPUT DROP e abrir apenas o q voce quer: iptables -A INPUT -i ethY -p tcp --dport 3128 -j ACCEPT Onde ethY eh a interface apontando para a rede interna. Boa sorte! On Domingo 25 Agosto 2002 13:23, bacteria wrote: > Ola lista, > > A Brasnet agora esta verificando se a porta 3128 do computador esta aberta, > caso ela esteja, ele nao permite q o usuario conecte-se em seus servidores. > > Eu tenho um Slackware com o squid rodando na porta 3128. > > desliguei o squid e tentei me conectar, ele conectou perfeitamente. So que > se eu ligar o squid depois q eu me conectar no irc, depois d um tempo X ele > verifica denovo essa porta. > > Minha duvida é a seguinte. > > queria saber o que devo fazer para bloquear a porta 3128 para o ip > xxx.xxx.xxx.xxx > > por que ai, quando ele checar a porta, vai da porta fechada e ele permitira > minha conexao. > ****************************************************************** De: Alberto J. Azevedo Para: Eder H. Vieira Ribeiro Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) redirecionamento de server c/ iptables Data: 02 Sep 2002 22:23:16 -0300 Se eu entendi direito o seu problema, a solução é: iptables -A PREROUTING -t nat -p tcp -d 192.168.2.100 --sport 3128 -j DNAT --to 192.168.2.101 --dport 3128 e iptables -A POSTROUTING -t nat -s 192.168.2.101 --dport 3128 -j SNAT --to 192.168.2.100 --sport 3128 ****************************************************************** De: Alberto J. Azevedo Para: Marcelo Gomes Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) DNAT e SNAT Data: 05 Sep 2002 17:13:19 -0300 > A regra "A" é DNAT > A regra "B" é SNAT > Mas a regra "A" faz a mesma coisa que a "B"!!!??? Não a regra A cuida do caminho de ida, a B cuida da volta... --- {}'s AJA Não é questão de vantagem ou desvantagem e as duas não vão fazer EXATAMENTE a mesma coisa, é que para certos tipos de aplicação, rodando dentro da sua rede interna e que precisam ser acessadas externamente através do firewall precisam do DNAT e SNAT que são siglas para source nat e destination nat, para grande parte do uso um simples nat serve mas quando usado para servidores, geralmente a sua escolha será o DNAT/SNAT. ****************************************************************** De: Tekko Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Mascaramento por MAC Address Data: 07 Sep 2002 15:28:53 -0300 (cut) A nível de segurança e melhor controle gostaria de mascarar cada usuário da minha rede com acesso a Internet por MAC Address, mas eu gostaria de saber como eu faço isso ?! (cut) De uma olhada nos seguintes itens: 1-) Manual do iptables - man iptables ; 2-) Leitura boa sobre iptables em portugues( nao fala sobre MAC)- www.iptablesbr.cjb.net 3-) Otima leitura sobre iptables em ingles - www.iptables.org , mas especifico em http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO-7.html# ss7.3 Tekko ****************************************************************** De: Luiz Antonio Cassetari Vieira Filho Para: Joaquim Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Limitando acesso pelo endereço físico da rede Data: 17 Oct 2002 22:16:34 -0300 Em Qui 17 Out 2002 08:58, you wrote: > Olá pessoal !!! > > Como limitar acesso pelo endereço físico da placa de rede? > Utilizo o conectiva 8.0, quando vejo pelo IPTRAF (LAN Monitor) vejo todos > os endereço físicos das placas de redes do clientes, como fazer uma regra > utilizando o IPTABLES, ou seja, ao invés de ser pelo IP, limitar usando o > endereço físico da placa de rede. > > Na verdade tenho a seguinte situação: > "Tenho um link com a Embratel, mas rateio > com 10 salas comerciais aqui no prédido onde me estabeleço. Vale informar > que, o meu nível em LINUX > é inicial (quase intermediario) Rateio este link com alguns clientes, um > deles paga somente uma conexão, mas utiliza em 3 (três) máquinas e ele tem > somente um IP inválido (10.10.1.3) que liberei (demais IP´s eu os bloquei) > mesmo assim ele utiliza de forma compatilhada essa conexão > com esse IP. Como ele faz isso? e como proibir que compatilhe um mesmo IP?" > > Obrigados a todos. > > Joaquim@inteserv.com.br Fazer regras usando o endereço fisico (MAC) da placa de rede é documentado em http://www.netfilter.org/documentation/HOWTO/pt/packet-filtering-HOWTO.html No entando, isso que você quer fazer não é possivel, já que durante o roteamento, o endereço MAC não é passado para a camada 3. Ou trocando em miudos, quando o pacote é roteado o enderço MAC é trocado pelo endereço dos roteadores. O endereço MAC da estação de origem só é visto pelo roteador mais proximo a ele. ****************************************************************** De: Marcus Lima Responder-a: Marcus Lima Para: Joaquim , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Limitando acesso pelo endereço físico da rede Data: 17 Oct 2002 11:00:14 -0300 /* > Como limitar acesso pelo endereço físico da placa de rede? > Utilizo o conectiva 8.0, quando vejo pelo IPTRAF (LAN Monitor) vejo todos os > endereço físicos das placas de redes do clientes, como fazer uma regra > utilizando o IPTABLES, ou seja, ao invés de ser pelo IP, limitar usando o > endereço físico da placa de rede. */ Se o pacote não vier do MAC AA:FF:CC:DD:EE:99, ele não poderá fazer FORWARD. Isso é suficiente para bloquear os outros MAC. Em tempo, para cada placa que você quiser permitir terá que fazer a mesma regra (Ou você pode ler o manual do IPTABLES e entender como funciona para fazer uma regra que se adapte). iptables -A FORWARD -m mac --mac-source ! AA:FF:CC:DD:EE:99 -j DENY - Marcus Lima. ****************************************************************** De: Alvaro Figueiredo Para: Frederico Madeira , Lista LinuxISP Cc: Linux - BR Assunto: Re: (linux-br) Re: (linuxisp-br) Filtrar MAC no Iptables Data: 19 Nov 2002 14:52:30 -0200 Em Dom 17 Nov 2002 15:37, Frederico Madeira escreveu: > André, > > a sintax do comando no meu firewall está correta. Com as máquinas > de minha LAN funciona perfeitamente, apenas a minha tem acesso ao > servidor via ssh, porém quando tento aplicar o mesmo processo para > uma máquina que está fora da LAN ou seja na Internet ela não libera > o acesso. tem algum teste que eu possa fazer ??? > já tentei colocar o MAC todo em UPPERCASE e todo em Lowercase e o > problema permance. > > Grato. O problema não é de sintaxe. O MAC address Ethernet é uma informação que não existe nos pacotes IP. É considerada uma "meta-informação". Quando dois sistemas estão na mesma rede Ethernet, é possível consultar qual o MAC address da interface Ethernet que responde por um IP. O comando arp faz isso, também. Portanto, o MAC address Ethernet só está disponível na rede Ethernet local. O pacote IP não carrega essa informação. Ou seja, não é possível saber o MAC address Ethernet de um host na Internet (se é que ele possui um MAC). -- Alvaro Figueiredo alvarof@freeshell.org ****************************************************************** De: Alvaro Figueiredo Para: Otavio Augusto , Frederico Madeira Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Re: (linuxisp-br) Filtrar MAC no Iptables Data: 19 Nov 2002 18:55:10 -0200 Em Ter 19 Nov 2002 18:02, Otavio Augusto escreveu: > me desculpe eu tb sou novato no que se refere a iptables mas ateh > onde eu sei 'e possivel obter um MAC de um host remoto pois ja > sistemas de autenticacao e VPN que se utilizao disso . > nao Sei como fazer mas se vc estiver interessado faca uma pesquisa > profunda que con certeza vai encontrar algo. Não há o que desculpar. Mas, é impossível saber qualquer coisa de um host remoto -- que não esteja na mesma rede local -- a não ser que a informação esteja no pacote IP. No header ou no corpo do pacote IP. O MAC address da interface Ethernet não vem, normalmente, no pacote IP. É possível que sistemas de autenticação enviem o MAC no corpo de alguns pacotes IP. No caso de VPN, os pacotes IP originais são encapsulados pelo proxy VPN dentro de outros pacote IP, junto com informações necessárias para descriptografar na outra ponta. Nada impede que o MAC acompanhe essas informações no pacote IP externo. Mas, o iptables é indiferente a esses usos do MAC address. O recurso que o iptables oferece é verificar o MAC address de uma interface Ethernet na mesma rede local. E só, por enquanto. Ao menos até alguém implementar novos recursos... -- Alvaro Figueiredo alvarof@freeshell.org ****************************************************************** ****************************************************************** De: Frederico Madeira Para: Marcus Lima Cc: Linux - BR Assunto: Re: (linux-br) Re: (linuxisp-br) Filtrar MAC no Iptables Data: 17 Nov 2002 23:33:55 +0500 Marcos, segue abaixo: $IPTABLES -A INPUT -m mac --mac-source en:de:re:ço:MA:Cx -p tcp --dport 22 -j ACCEPT possuou duas regras, uma para uma máquina da LAN e outra para a máquina da internet a da LAN funciona a da Internet não. -- Frederico Madeira fred@rce.neoline.com.br Registered GNU/Linux nº 206120 ------------------------------ Powered by LINUX Em Seg, 2002-11-18 às 07:20, Marcus Lima escreveu: > Frederico Madeira wrote: > > >André, > > > >a sintax do comando no meu firewall está correta. Com as máquinas de > >minha LAN funciona perfeitamente, apenas a minha tem acesso ao servidor > >via ssh, porém quando tento aplicar o mesmo processo para uma máquina > >que está fora da LAN ou seja na Internet ela não libera o acesso. tem > >algum teste que eu possa fazer ??? > >já tentei colocar o MAC todo em UPPERCASE e todo em Lowercase e o > >problema permance. > > > >Grato. > > > > > Tem certeza que você não está errando na sintax desta única linha? > Que tal enviar a mesma para análise do pessoal da lista? > > - Marcus Lima. ****************************************************************** De: Marcus Lima Responder-a: Marcus Lima Para: Joaquim , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Como liberar as PORTAS 6667 e 4000 (IRC e ICQ) C/Iptables? Data: 29 Oct 2002 14:23:33 -0200 /* > Pessoal, como liberar as portas 6667 e 4000, respectivamente do IRC > e ICQ, utilizando o IPTABLES? > > Obrigado pela ajuda. > > Junior - sac@inteserv.com.br */ Que tal participar do seleto grupo de pessoas que buscam no site da lista as respostas que já foram enviadas anteriormente? E melhor ainda, que tal participar do mais seleto grupo das pessoas que leem documentação para aprender? Abaixo segue a regra: iptables -A FORWARD -m multiport -p tcp -s $REDEINTERNA --dport 4000,6667,6668,6669,7001,7002 -j ACCEPT iptables -A FORWARD -p udp -s $REDEINTERNA --dport 4000 -j ACCEPT - Marcus Lima. ****************************************************************** De: Leonardo Vianna Caetano Para: Ataliba Teixeira , Linux Assunto: Re: (linux-br) Redirecionar para servidor Windows Data: 30 Oct 2002 03:34:29 -0200 Em Seg 28 Out 2002 12:35, you wrote: > Oi gente > > estou com um probleminha aqui. Na empresa onde eu trabalho, os servicos de > webpages estao sendo todos transferidos para um servidor em windows 2000 ( > infelizmente ). bom, o problema eh que agora o dominio principal que nos > temos tera que ser redirecionado para o servidor em windows 2000. > gostaria de saber como eu poderia fazer para quando a pessoa digitar no > browser http://www.empresa.com.br o linux redirecionar para o servidor em > windows que estara rodando os servicos de http. > > bom, eh so > abracos e obrigado a todos Oba... a regra do iptables é a seguinte: #iptables -t nat -A PREROUTING -d -m tcp -p tcp --dport 80 -j DNAT --to significa que todos os pacotes com destino a seu ip na porta 80 será redirecionada para sua máquina Ruindows. obs.: seu linux tem que estar com o repasse de pacotes ativado. Faça a volta De: Marcus Lima Responder-a: Marcus Lima Para: Linux Assunto: Re: (linux-br) Redirecionar para servidor Windows Data: 30 Oct 2002 10:04:53 -0200 /* #iptables -t nat -A PREROUTING -d -m tcp -p tcp --dport 80 -j DNAT --to significa que todos os pacotes com destino a seu ip na porta 80 será redirecionada para sua máquina Ruindows. */ Oi Leonardo, Só uma observação, se ele for usar https precisa abrir a porta 443 também: iptables -t nat -A PREROUTING -d -p tcp --dport 80:443 -j DNAT --to IP_do_Windows Fora isso está tudo mais que correto. - Marcus Lima. ****************************************************************** De: Alessandro Magno Para: 'Giroto' , Linux-BR , Rodrigo Assunto: (linux-br) RES: (linux-br) PCAnywhere + IPTABLES Data: 03 Dec 2002 10:53:57 -0300 Galera, Entrando no assunto, eu não conheço muito bem , também peguei um script pronto. O que eu quero é mudar este script para somente o meu IP específico na internet acessar estes serviços... assim já tá beleza.. mas quando libero, libero prá todo mundo. iptables -t nat -A PREROUTING -p tcp -d $INET_IP --dport 1433 -j DNAT --to 200.200.200.3:1433 iptables -t nat -A PREROUTING -p tcp -d $INET_IP --dport 21 -j DNAT --to 200.200.200.50:21 iptables -t nat -A PREROUTING -p tcp -d $INET_IP --dport 20 -j DNAT --to 200.200.200.50:22 iptables -t nat -A PREROUTING -p tcp -d $INET_IP --dport 5631 -j DNAT --to 200.200.200.3:5631 iptables -t nat -A PREROUTING -p tcp -d $INET_IP --dport 5632 -j DNAT --to 200.200.200.3:5631 Alguém pode me ajduar ???? Alessandro Magno de Paula ****************************************************************** De: Piter Punk Para: lista Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) iptables duvida cruel Data: 12 Dec 2002 09:56:11 -0200 lista wrote: caros amigos me tirem uma duvida iptables -A PREROUTING -t nat -p tcp -d 200.xxx.xxx.x --dport 80 -j DNAT --to 192.168.0.10:80 iptables -A POSTROUTING -t nat -p tcp -s 192.168.0.10 --dport 80 -j SNAT --to 200.xxx.xxx.x:80 iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.x --dport 80 -j DNAT --to-destination 192.168.0.10:80 Acho que a diferença está neste --to-destination. iptables -t nat -A POSTROUTING -o eth1 -p tcp -s 192.168.0.0/24 -d 200.xxx.xxx.x --dport 80 -j SNAT --to 192.168.0.10 Falous, ****************************************************************** ****************************************************************** ****************************************************************** De: Marcus Lima Responder-a: marcuslima@marcuslima.eti.br Para: Rafael Araujo da Fonseca , Linux Assunto: (linux-br) RES: (linux-br) Que proteção é essas? Data: 28 Dec 2002 11:48:58 -0200 > Proteção contra Syn-floods > iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT O Protocolo TCP é controlado por Flags, uma flag importante é a SYN, ela inicia a conexão (entre outras coisas). Se um usuário mal intencionado resolver enviar diversos pacotes com a flag SYN setada, seu servidor pode começar a negar conexão por excesso de tentativas de conexões falsas (dependendo do serviço atacado e das configurações do mesmo). > Port scanners ocultos > iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT Na verdade nenhum Port Scan é totalmente oculto, procure mais sobre o Snort e Log do Netfilter (iptables). O que pode ser considerado por Port Scan Oculto são técnicas de varreduras mais refinadas como Xmas Tree Scan, Null Scan e Stealth FIN. O curso de Ferramentas de Segurança e Firewall da Conectiva seriam ideais para você. Falo mais sobre estes e outros assuntos durante as aulas. Se estiver no Rio de Janeiro pode me procurar em PVT. Atenciosamente, Marcus Lima. --- ****************************************************************** De: Marcus Lima Responder-a: Marcus Lima Para: Rafael Araujo da Fonseca , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Dúvida IPTABLES Data: 27 Dec 2002 18:33:12 -0200 1. Você não precisa dizer que é para o seu servidor se já estiver incluindo a regra na Chain INPUT dele. 2. Jamais se prenda a apenas 1 método de fazer alguma coisa, o netfilter é potente justamente por ter diversas maneiras de se editar regras. 3. O FTP funciona nas portas 20 (ftp-data) e 21 (ftp). Porta 22 é do SSH. 4. As regras seguem por filtros, quer dizer, se a pessoa for aceita no primeiro ou no segundo (se o endereço de origem for os indicados) são aceitos, caso contrário, ficarão barrados na terceira regra. iptables -A INPUT -p tcp -m multiport --dport 20,21 -s 192.168.0.0/24 -j ACCEPT iptables -A INPUT -p tcp -m multiport --dport 20,21 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp -m multiport --dport 20,21 -j DROP - Marcus Lima. ****************************************************************** De: Daniel Fonseca Alves Para: 'Leandro Disconzi Vieira' , Lista Linux (E-mail) Assunto: (linux-br) RES: (linux-br) Bloquear Kazaa Data: 09 Dec 2002 09:02:41 -0300 O modo que se cria as regras é que é o problema ,há duas formas: - Deixa tudo liberado e vai bloqueando o que vc quer. - Deixa tudo fechado e vai liberando o que vc quer. No caso a regra mais segura é a segunda pois bloqueia programas como esse, além de ser mais fácil de configurar. ****************************************************************** De: William da Rocha Lima Responder-a: William da Rocha Lima Para: valter , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) firewall Data: 27 Dec 2002 22:18:31 -0200 #!/bin/bash echo "Iniciando Firewall..." iptables=/sbin/iptables modprobe=/sbin/modprobe echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo "Carregando Modulos" $modprobe ip_tables $modprobe iptable_filter $modprobe iptable_nat $modprobe ip_nat_ftp $modprobe ip_conntrack $modprobe ip_conntrack_ftp $iptables -t filter -P INPUT ACCEPT $iptables -t filter -P OUTPUT ACCEPT $iptables -t filter -P FORWARD ACCEPT $iptables -F INPUT $iptables -F OUTPUT $iptables -F FORWARD echo "Iniciando Navegacao" $iptables -A OUTPUT -o eth0 -j ACCEPT $iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE $iptables -A FORWARD -i eth0 -j ACCEPT $iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT echo "Iniciando Anti-Spoofing" $iptables -A INPUT -s 172.16.0.0/16 -i eth1 -j DROP $iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP $iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP echo "Iniciando Redirecionamento de Portas" echo "Redirecionamento de Portas" $iptables -t nat -A PREROUTING -p tcp -s 0/0 -d IP_da_internet --dport 1024 -j DNAT --to IP_microsiga Assinantes em 27/12/2002: 2259 ****************************************************************** De: Marcus Lima Responder-a: Marcus Lima Para: Bruno Ferreti , Grupo Linux Assunto: Re: (linux-br) Iptables Data: 03 Jan 2003 10:51:12 -0200 > Essas são as linhas de comando para o mascaramento das portas 25 e 110, no > IPchains como elas ficariam no ibtables !!! Preciso repassar os e-mails !!! #!/bin/bash echo 1 > /proc/sys/net/ipv4/ip_forward iptables=/usr/sbin/iptables $iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -p tcp -m multiport --dport 25,110 -j MASQUERADE Faz esse script e roda. Gudiluqui, Marcus Lima. ****************************************************************** De: Jean Philippe << JPHiL >> Para: supmino , linux Assunto: Re: (linux-br) Iptables analisando dentro do pacote Data: 09 Jan 2003 17:14:57 -0200 "supmino" writes: >Existe alguma regra do iptables que analise dentro do pacotes de uma ETH? Por exemplo, quero não deixar passar na minha placa Eth1 >pacotes que contenham um arquivo .exe , ou cmd.exe.... > Luis Gustavo Não, Gustavo. O IPTABLES *nao* analisa o conteúdo de arquivos. Ele analisa o tráfico, os pacotes (protocolos) essencialmente. ;-) Ps: Gurus, se eu estiver ****************************************************************** De: Henrique Cesar Ulbrich Para: Helio Chissini de Castro Cc: linux-br@bazar.conectiva.com.br Assunto: (linux-br) Licq 1.0 Data: 13 Jan 2003 12:24:23 -0200 Historiadores acreditam que, em Seg 13 Jan 2003 10:58, "Renato Q. Todorov - "Webmaster Jet Sites disse: > (sobre o Kopete) ... fazendo com que ele possa ficar na barra de tarefas > assim como o ICQ do rwin. O licq só consegue isso se usar o plugin > qt-kde. Olá Pessoal! Hélio, acredito que vc conheça o SIM-ICQ http://sim-icq.sourceforge.net Eu o testei na época que estava procurando um substituto pro LICQ (exatamente por causa do protocolo). Testei o Kopete tb. Como clone do ICQ, o SIM é muito mais parecido com o original que o LICQ e com o desenvolvimento muito mais adiantado que o kopete. E (yes!) ele se integra na barra do KDE assim como o Kopete. É ele que uso agora. Ele suporta o protocolo V8, puxa os contados do servidor etc etc etc. Talvez seja uma boa para o CL9. Que tal pensar em incluí-lo tb? ****************************************************************** De: Eder S. G. Responder-a: Eder S. G. Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) -=> Links para os iniciantes sobre IPtables e firewalls <=- Data: 14 Jan 2003 10:30:13 +0300 Bom dia a todos os linuxers da lista Linux-BR. Estou terminando meus estudos sobre firewalls + IPtables e gostaria de indicar alguns sites/documentos aos usuários que queiram aprender a lidar com as regras do IPtables: * IPtables WebSite - english http://www.iptables.org * IPtables BR - portuguese http://www.iptablesbr.cjb.net * Linux Firewalls and IPtables - english http://www.knowplace.org/netfilter/ * NetFilter Documentations - english http://www.netfilter.org/documentation/ * IPtables NAT HOWTO - portuguese http://www.netfilter.org/documentation/HOWTO/pt/NAT-HOWTO.txt * IPtales Packet Filtering HOWTO - portuguese http://www.netfilter.org/documentation/HOWTO/pt/packet-filtering-HOWTO.txt * Linux Guruz - english http://linuxguruz.org/iptables/ * Using Linux and IPtables/IPchains to set up an Internet gateway for home or office - english http://www.yolinux.com/TUTORIALS/LinuxTutorialNetworkGateway.html Uma excelente terça-feira a todos vocês com muita tranquilidade e paz, ****************************************************************** De: Jorge Godoy Para: Wagner dos Santos Oliveira Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) IPTABLES Duvida multiport Data: 09 Jan 2003 23:16:12 -0200 "Wagner dos Santos Oliveira" writes: > Ola Galera, > > estou com uma duvida em iptables... naum estou conseguindo > usar a opacao multiport... segue a baixo a regra q estou > tentando criar: > > iptables -A PREROUTING -m multiport -p tcp ! --dport > 5190,1863,110,25,1521 -j REDIRECT --to-ports 8080 > > porem mesmo que o destino do pacote seja uma dessas portas > ele manda o pacote para o proxy... como eu soluciono isso??? Use a sintaxe correta. De acordo com a documentação do iptables você deveria usar: iptables -A PREROUTING -m multiport -p tcp ! --dports 5190,1863,110,25,1521 -j REDIRECT --to-ports 8080 (repare no 's' no '--dports'). Sds, -- Godoy. ****************************************************************** De: Jorge Godoy Para: Jean Philippe << JPHiL >> Cc: supmino , linux Assunto: Re: (linux-br) Iptables analisando dentro do pacote Data: 09 Jan 2003 23:17:11 -0200 "Jean Philippe << JPHiL >>" writes: > O IPTABLES *nao* analisa o conteúdo de arquivos. Ele analisa o tráfico, os > pacotes (protocolos) essencialmente. ;-) Mas pode-se passar o pacote para algum aplicativo em userlevel que irá analisar e fazer qualquer coisa com o pacote. -- Godoy. ****************************************************************** De: Jean Philippe << JPHiL >> Para: e.evangelista , conectivalinux Assunto: Re: (linux-br) Iptables - Conexão Doméstica Data: 09 Jan 2003 16:09:40 -0200 "e.evangelista" writes: >É possível configurar o iptables (firewall) para uma conexão > discada? > Aonde consigo scripts e informações para um usuario newbie. Claro que sim, amigo! Voce usará nas suas regras as interfaces ppp+. Basta contruir suas regras (o melhor seria construir um script com todas as regras do seu firewall, por exemplo 'firewall.rc', e faze-lo ser chamado pelo rc.local). Isto carregaria todas as suas regras durante a inicializacao do sistema. Um bom começo é ler o excelente manual da CIPSGA (Comite de Incentivo a Produção do Software GNU e Alternativo). O endereço é http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htm . O resto é mão na obra ... ;-) ****************************************************************** De: Joaquim Para: linux-br@bazar.conectiva.com.br, linux-resende@yahoogrupos.com.br, linuxall@yahoogrupos.com.br Cc: entrar-treuquesemacetes@nossogrupo.com.br, servux@yahoogrupos.com.br Assunto: (linux-br) Paulo: 192.168.1.2 (scoop2002) como bloquear? (AJUDA) Data: 13 Dec 2001 00:33:34 -0200 Prezados Amigos, Tenho um servidor LINUX e compartilho internet num prédio comercial... utilizo proxi na porta 3128, então quando algum usuário não paga a mensalidade, bloqueio ele assim: Iptables -A OUTPUT -d 192.168.1.2 -j DROP * Isto funciona realemente e ele não consegue acessar a Internet. Mas verifiquei que ele acessa o MIRC (scoop2002), minha pergunta: como faço para bloquear somente este ip (192.168.1.2) para não acessar o scoop2002? Obrigado pela atenção de todos... ****************************************************************** De: Wagner dos Santos Oliveira Para: fixx_linux@onda.com.br Cc: linux-br@bazar.conectiva.com.br Assunto: Re:(linux-br) Fechar Porta 3128 Data: 07 Jan 2003 11:51:56 -0200 OI, Acho q seria algo mais ou menos assim: iptables -A FORWARD -s xxx.xxx.xxx.xxx/24 -p tcp --dport 3128 -j REJECT onde xxx.xxx.xxx.xxx --> Seria sua rede e 24 no caso de sua rede possuir mascara de subrede classe C (255.255.255.0) espero ter ajudado. > Alguem poderia me dizer como faço para fechar a porta 3128 a través de um > regra de iptables? > ****************************************************************** De: Jorge Luiz de Paula Martins Filho Para: Philip(Lista Linux) Cc: linux-br Assunto: Re: (linux-br) Fechar Porta 3128 Data: 07 Jan 2003 11:38:40 -0200 On Tuesday 07 January 2003 09:58, you wrote: > Alguem poderia me dizer como faço para fechar a porta 3128 através de um > regra de iptables? Ta na mao. iptables -A INPUT -p tcp --dport 3128 -i eth0 -j DROP iptables -A INPUT -p udp --dport 3128 -i eth0 -j DROP Caro iptables, adicione uma regra (-A) que descarte os pacotes (-j DROP) q entram (INPUT) pela interface eth0 (-i eth0) destinados a(s) porta(s) tcp 3128 / udp 3128 respectivamente (-p tcp --dport 3128 / -p udp --dport 3128). Nao esqueca de alterar a interface para a qual vc esta querendo bloquear o trafego. Um abraco e espero ter ajudado. ;-) ****************************************************************** De: Elvis Pfützenreuter Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Escolha entre gateways?? Data: 04 Dec 2002 20:04:03 -0200 > > Como faco para que quando o cliente tentar acessar internet, > > cujo proxy eh 192.168.0.5, os pacotes sejam enviados para o > > gateway 192.168.0.1?? e quando for qualquer outro enviar para > > 10.50.0.1?? Há um artigo em http://www.altoriopreto.com.br/case1.html sobre essa situação. ****************************************************************** De: Arnaldo Carvalho de Melo Para: carloslinux@ig.com.br Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) mascaramento de rede Data: 03 Dec 2002 20:30:54 -0200 Em Tue, Dec 03, 2002 at 05:39:57PM -0200, carloslinux@ig.com.br escreveu: > no ipchains os exemplos dados para mascaramento de rede é: > para 255.255.255.0 é 24 > encontrei que para 255.255.255.255 é 32 > e para 255.255.0.0 qual é? esse até agora não enconntrei, alguem pode me Cada octeto tem 8 bits, logo: 255.255.255.0 = três octetos todos preenchidos com uns, vamos usar o bc: [acme@oops net-2.5]$ bc bc 1.06 Copyright 1991-1994, 1997, 1998, 2000 Free Software Foundation, Inc. This is free software with ABSOLUTELY NO WARRANTY. For details type `warranty'. obase=2 255 11111111 quando fiz obase=2 eu mudei a base de saída (Output) para 2, ou seja, para números binários. ok, agora: 255.255.255.255 = 4 octetos todos preenchidos com uns, cada octeto tem oito bits, logo 4 * 8 = 32 se queremos 255.255.0.0 temos dois octetos todos preenchidos com uns, então 2 * 8 = 16, que é a resposta que você está procurando. Resumindo: 255.0.0.0 = /8 255.255.0.0 = /16 255.255.255.0 = /24 255.255.255.255 = /32 Com classless routing é possível usar outras combinações, por exemplo, /20, que teria o primeiro octeto e segundo octeto todos preenchidos, e somente os 4 primeiros bits do terceiro octeto ligados, com todos os bits to último octeto desligados, o que daria uma subnetmask de: [acme@oops net-2.5]$ bc bc 1.06 Copyright 1991-1994, 1997, 1998, 2000 Free Software Foundation, Inc. This is free software with ABSOLUTELY NO WARRANTY. For details type `warranty'. ibase=2 11111111 255 11111111 255 11110000 240 00000000 0 255.255.240.0 Entendeu? - Arnaldo ****************************************************************** De: Helder Jean Para: Joaquim , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Paulo - Bloquear No. de Conexões... Data: 28 Jan 2003 13:29:06 -0800 --- Joaquim wrote: > Prezados Amigos... > > Quando utilizo o comando: NETSTAT | MORE, verifico que na minha > rede > tem > um ip inválido acessado diversas portas, mais ou menos assim: > Por exemplo: > > 192.168.3.8:4102 (corta) > Como que faço para limitar a quantidade de conexões? > * Utilizo o conectiva 8.0. > Eu imagino que não era pra ele estar acessando, estou certo? Se não era, bloqueia o IP logo: iptables -A INPUT -p tcp --syn -s 192.168.3.8 -j DROP (as conexões TCP) Ou limita quantas requisições de conexões por segundo/minuto/hora/dia ele pode fazer. Tipo, 1 por minuto: iptables -A INPUT -p tcp --syn -s 192.168.3.8 -m limit --limit 1/m -j ACCEPT Um "man iptables" deve ajudar. Você pode modificar o /proc/sys/net/ipv4/ip_conntrack_max também, mas acho que não seria o caso... []'s ****************************************************************** De: Marcus Lima Responder-a: marcuslima@marcuslima.eti.br Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) iptables Data: 31 Jan 2003 07:14:52 -0200 > no iptables tem como eu negar todos os sites menos > o www.umimed.com.br iptables -A FORWARD -p tcp -m multiport --dport 80,443 -d ! www.umimed.com.br -j DROP - Marcus Lima. --- ****************************************************************** De: Alexander Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Dúvidas com IPTABLE - rede interna Data: 03 Feb 2003 09:09:45 -0200 Cara, tive um problema desses que só foi resolvido com leitura de um tutorial. Aliás, foram dois problemas: Redirecionar um servidor web e conseguir rodar clientes FTP. Se quiser eu repasso o tutorial. Mas, para não sacanear com esse tipo de resposta, a minha situação era a seguinte, muito mais simples que a sua: Um firewall: eth0 -> 200.x.x.x eth1 -> 192.168.247.1 Um servidor web em 192.168.247.2 Eu consegui, usando nat, direcionar os serviços da porta 80 para o servidor web, mas só funcionava acessando de fora da minha rede. Para resolver isso eu adicionei: iptables -t nat -A POSTROUTING -d servidor_web -p tcp --dport 80 --to ip_da_rede_interna_do_firewall -j SNAT O que acontece, explicando muito estupidamente, é que o firewall se confunde ao fazer o roteamento de pacotes quando você tenta acessar de dentro da rede. Foi preciso adicionar essa linha para acabar com a confusão. Não sei se vai servir para você, mas talvez dê alguma luz. Existe também alguma linha a ser adicionada caso você queira acessar o serviço estando no firewall, mas aí eu não lembro. []'s Alexander ---------- Mensagem repassada ---------- Subject: (linux-br) Dúvidas com IPTABLE - rede interna Date: Sun, 2 Feb 2003 15:02:36 -0200 From: wmp@censanet.com.br To: linux-br@bazar.conectiva.com.br Boa Tarde a Todos Gostaria de tirar uma dúvida com os companheiros, tenha a seguinte situação: IP_CLASSE_INTERNET ---| FIREWALL |--- IP1_CLASSE_INTERNA, IP2_CLASSE_INTERNA, IP3_CLASSE_INTERNA .... Tenho redirecionado alguns serviços como DNS, SMTP, FTP, etc. Hoje aconteceu algo que não entendi, até mesmo por que não consegui retornar ..., montei um script com as regras necessárias para um "bom funcionamento", mas após realizar alguns testes, o que ocorre é que, por exemplo, o server IP2_CLASSE_INTERNA é responsável por correio (SMTP - 25), da rede interna, não consigo fazer o acesso a mesma pela porta (telnet IP2_CLASSE_INTERNA 25), mas pela internet vai tranquilo ... : - / O que pode ser ??? Ps.: não estou encaminhando as regras até mesmo por que a ídeia seria uma regra básica, apenas de redirecionamento de serviço, mas que seja visível tanto para a Internet, como para minha rede local. ****************************************************************** De: Helder Jean Para: Rogerio Araujo(TERRA) , Linux-BR Assunto: Re: (linux-br) regra iptables bloquear telnet externo Data: 17 Feb 2003 19:45:42 -0800 --- "Rogerio Araujo(TERRA)" wrote: (corta) > Como configuro no iptables para bloquear qualqure acesso telnet que > nao > seja atraves de enderecos locais (192.xxx.xxx.xxx) ? > Imagino que ela tenha duas interfaces de rede, estou certo? Bloqueia a interface da rede externa/internet. Considerando que ela seja a eth1: iptables -A INPUT -s 0/0 -i eth1 -p tcp --dport 23 -j DROP Ou então pelo IP, mesmo: iptables -A INPUT -s 192.xxx.xxx.xxx/máscara -p tcp --dport 23 -j ACCEPT iptables -A INPUT -s 0/0 -p tcp --dport 23 -j DROP Eu prefiro da primeira maneira. []'s ===== ****************************************************************** De: meyaoi Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) Fw: (linux-br) Invasão Data: 18 Feb 2003 11:43:36 -0300 Pense um pouco, a resposta virá intuitivamente (visto que a maioria dos SO's ainda usa syncookies e vc está sobrecarregando sua máquina com uma verificação DE CADA PACOTE TCP/IP QUE TERÁ UMA REGRA DE INPUT NA SUA MÁQUINA) Faça os cálculos de quantos pacotes/s uma conexãozinha de 56 k gerará se tentar se logar no seu pc ----- Original Message ----- From: "Include" To: "Linux-br" Sent: Tuesday, February 18, 2003 7:47 AM Subject: (linux-br) Invasão Ola, Tenho minha maquina conectada a internet por um cable modem ( Virtua) e utilizo o CL 8.0. Faz alguns dias sinto que o meu cable comunica com a rede mais do que eu solicito. Rodei o Nmap e obtive a seguinte menssagem : Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ ) Interesting ports on (200.195.147.236): (The 1546 ports scanned but not shown below are in state: filtered) Port State Service 25/tcp open smtp 53/tcp closed domain 80/tcp open http Interesting ports on hm91.locaweb.com.br (200.213.197.201): (The 1532 ports scanned but not shown below are in state: closed) Port State Service 21/tcp open ftp 25/tcp open smtp 80/tcp open http 135/tcp filtered loc-srv 136/tcp filtered profile 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn 389/tcp filtered ldap 443/tcp open https 445/tcp filtered microsoft-ds 1025/tcp filtered listen 5631/tcp open pcanywheredata 6000/tcp filtered X11 8007/tcp filtered jserv 8009/tcp filtered ajp13 10000/tcp open snet-sensor-mgmt Nmap run completed -- 2 IP addresses (2 hosts up) scanned in 202 seconds Quando utilizo o comando iptables ( /usr/sbin/iptables -A INPUT -p tcp --syn -j DROP) para limitar a conexão, o teclado só funciona quando movimento o mouse e o uso do sistema fica muito lento quase travando. Alguém tem uma idéia do que possa estar ocorrendo ?? O que devo fazer ?? ****************************************************************** De: WebMaster-adt Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) Re: iptables e um só computador Data: 19 Feb 2003 15:30:10 -0300 Olá, sou eu de novo já consegui Bom, to aprendendo agora a usar o iptables, mas para usar o ftip não sabia que usando nat eu teria que abilidar o modulo do iptables para fazer isso, ou seja ip_nat_ftp e sobre liberar acesso de uma máquina para a internet também já consegui, segue aí pra quem quizer ver. /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.x -o ethx -j MASQUERADE Como falei to aprendendo agora, no ipchans era bem diferente, parecido como que mandei anteriormente, pois aí eu não faço forward mas sim um mascaramento. Se alguém tiver outra idéia, e quizer postar Obrigado Clovis WebMaster-adt wrote: Olá turma, eu de novo! Alguém me socorre! :-) é o seguinte, na minha máquina linux, eu acesso a internet, blz, e eu quero que apenas um computador acesse a internet, ou seja, apenas um faça FORWARD, acho que é isso né. ****************************************************************** De: Marcus Lima Responder-a: marcuslima@marcuslima.eti.br Para: Rogerio Araujo(TERRA) , Linux-BR Assunto: (linux-br) RES: (linux-br) regra iptables bloquear telnet externo Data: 18 Feb 2003 07:03:00 -0300 Para quem utiliza as polices abertas e faz regras fechando: iptables -A INPUT -s ! 192.168.x.x/x -p tcp --dport 23 -j DROP Para quem utiliza as polices fechadas e faz regras abrindo: iptables -A INPUT -s 192.168.x.x/x -p tcp --dport 23 -j ACCEPT - Marcus Lima. ****************************************************************** De: Alipio Luiz Para: Thyago Guimaraes Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) redirecionar com iptables Data: 24 Feb 2003 17:45:37 -0400 > tudo q fosse para o endereço 200.xxx.xxx.xxx na porta 80 fosse redirecionado > para o endereço 192.168.0.5. Qual seria a regra para fazer isto? Muito ae.. devera utilizar nat para tanto... #iptables -t nat - A PREROUTING --dst 200.xxx.xxx.xxx -p TCP --dport 80 -j DNAT --to-destination 192.168.0.5 esta regra é o bastante pra qualquer conexao de fora entrante em seu server com destino a porta 80 ser redirecionada para o servidor 192.168... tenta que funcionara perfeitamente -:-) so que pela sua rede interna nao sera possivel o acesso a esse redirecionamento pelo fato do iptables se confundir quanto ao redirecionamento... assim sendo voce devera utilizar POSTROUTING e OUTPUT pra funfa... #iptables -t nat -A POSTROUTING -p TCP --dst 192.168.0.5 --dport 80 -j SNAT --to-source 192.168.local_do_servidor #iptables -t nat -A OUTPUT -p TCP --dst 200.xxx.xxx.xxx -p TCP --dport 80 -j DNAT --to-destination 192.168.0.5 nao se esqueça de habilitar o forward senao nem adianta tentar.. -:-) fallowz... ****************************************************************** De: Marcus Lima Responder-a: Marcus Lima Para: WebMaster-adt , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) vários ip no iptables Data: 25 Feb 2003 11:18:23 -0300 Sim, é bem simples... www.google.com.br Procure matérias sobre CIDR (Classless Inter-Domain Routing). - Marcus Lima. ****************************************************************** De: WebMaster-adt Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) vários ip no iptables Data: 25 Feb 2003 12:56:04 -0300 E em um regra tipo essa aqui: iptables -t filter -A FORWARD -s 192.168.1.x -p tcp -m multiport --destination-port 20,21,22,23,53,80,443,110,25,1863,1089,5190 -j ACCEPT seria possível especificar mais de um ip? Clovis > Seria possível eu especificar vários ip's em uma regra no iptables sim > por exemplo: > os ips > 192.168.1.10 até 192.168.1.20 essa tecnica é bastante utilizada para aplicações de LoadBalancers de servidores... exemplos #iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 192.168.1.10-192.168.1.20 falowwwzz ****************************************************************** De: Thiago Macieira Para: WebMaster-adt , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) vários ip no iptables Data: 25 Feb 2003 20:30:32 +0100 WebMaster-adt wrote: >Olá turma >Seria possível eu especificar vários ip's em uma regra no iptables >por exemplo: >os ips >192.168.1.10 até 192.168.1.20 >algo do tipo, como é feita com portas >da porta 10 até a 20 por exemplo >10:20 Como já responderam, sim, é possível. Se for num campo --to, de uma regra SNAT ou DNAT, você pode especificar uma gama de IPs usando o sinal de - para separá-los. Se for num campo -s ou -d, você precisa utilizar o formato CIDR para subredes. Ou seja, você pode especificar de 192.168.1.0 a 192.168.1.32 (por exemplo) usando -s 192.168.1.0/27, mas não pode especificar de 192.168.1.10 a 192.168.1.20 (também por exemplo) porque essa gama não forma uma subrede válida. -- ****************************************************************** De: Franco Catena Para: Alipio Luiz , Thyago Guimaraes Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) redirecionar com iptables Data: 25 Feb 2003 19:30:36 -0300 ola... seria possivel eu ter 4 servidores de web sendo que o NAT redirecionasse por nome para um determinado servidor e nao por IP? Algo como #iptables -t nat - A PREROUTING --dst www.joaodasilva.com.br -p TCP --dport 80 -j DNAT --to-destination 192.168.0.5 #iptables -t nat - A PREROUTING --dst www.mariajoana.com -p TCP --dport 80 -j DNAT --to-destination 192.168.0.4 nunca tentei []s ----- Original Message ----- From: "Alipio Luiz" To: "Thyago Guimaraes" Cc: Sent: Monday, February 24, 2003 6:45 PM Subject: Re: (linux-br) redirecionar com iptables > tudo q fosse para o endereço 200.xxx.xxx.xxx na porta 80 fosse redirecionado > para o endereço 192.168.0.5. Qual seria a regra para fazer isto? Muito ae.. devera utilizar nat para tanto... #iptables -t nat - A PREROUTING --dst 200.xxx.xxx.xxx -p TCP --dport 80 -j DNAT --to-destination 192.168.0.5 esta regra é o bastante pra qualquer conexao de fora entrante em seu server com destino a porta 80 ser redirecionada para o servidor 192.168... tenta que funcionara perfeitamente -:-) so que pela sua rede interna nao sera possivel o acesso a esse redirecionamento pelo fato do iptables se confundir quanto ao redirecionamento... assim sendo voce devera utilizar POSTROUTING e OUTPUT pra funfa... #iptables -t nat -A POSTROUTING -p TCP --dst 192.168.0.5 --dport 80 -j SNAT --to-source 192.168.local_do_servidor #iptables -t nat -A OUTPUT -p TCP --dst 200.xxx.xxx.xxx -p TCP --dport 80 -j DNAT --to-destination 192.168.0.5 nao se esqueça de habilitar o forward senao nem adianta tentar.. -:-) fallowz... ****************************************************************** De: Franco Catena Para: Linux - BR Assunto: (linux-br) redirecionar com o IPTABLES III Data: 26 Feb 2003 16:35:14 -0300 OLA, iptables -t nat -A PREROUTING -p tcp --dport 80 -d www.qqercoisa.com.br -j DNAT --to 192.168.1.1: 81 iptables -t nat -A PREROUTING -p tcp --dport 80 -d www.azulao.com.br -j DNAT --to 192.168.1.2: 81 isso ira funcionar? isso ira fazer todos os pacotes que chegarem na placa eth0 serem redirecionados conforme o header????? Será que isso roda? Se nao rodar, como fazer isso, ja que eu tenho servidores internos pra cada dominio???? []s ****************************************************************** De: Eder S. G. Responder-a: Eder S. G. Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Documentação Iptables Data: 09 Mar 2003 23:08:39 +0300 On Fri, 7 Mar 2003, Anderson Mattos wrote: > Olá amigos, Olá Sr. Anderson e demais assinantes da lista LinuxBR. > Alguém sabe onde encontro uma boa documentação sobre o iptables. Segue abaixo alguns sites sobre o IPtables: IPtables WebSite - english http://www.iptables.org IPtables BR - portuguese http://www.iptablesbr.cjb.net Linux Firewalls and IPtables - english http://www.knowplace.org/netfilter/ NetFilter Documentations - english http://www.netfilter.org/documentation/ IPtables NAT HOWTO - portuguese http://www.netfilter.org/documentation/HOWTO/pt/NAT-HOWTO.txt IPtables Packet Filtering HOWTO - portuguese http://www.netfilter.org/documentation/HOWTO/pt/packet-filtering-HOWTO.txt Using Linux and IPtables/IPchains to set up an Internet gateway for home or office - english http://www.yolinux.com/TUTORIALS/LinuxTutorialNetworkGateway.html LinuxGuruz IPtables - english http://www.linuxguruz.org/iptables/ Não esqueça de fazer uma busca no Google: www.google.com.br Lá você encontra até as fotos do computador ENIAC. O Google é excelente. > Desde já agradeço. Espero que os links acima possam lhe ajudar. ****************************************************************** De: 2a. Vara Federal de Caxias do Sul Para: Tiago Fischer , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) 2 Redes - Roteador Data: 25 Mar 2003 19:43:31 -0300 Historiadores acreditam que em Ter 25 Mar 2003 16:01, Tiago Fischer escreveu: > A minha situação é a seguinte, tenho 2 redes separadas fisicamente : > 1- 192.168.1.0 (eth1) > 2- 200.135.220.0 (eth0) > O servidor tem 2 placas de rede, cada uma ligada numa rede. > a roda do default gateway está para o 200.135.220.1 que é o meu roteador da > internet : > default 200.135.220.1 0.0.0.0 UG 0 0 0 > eth0 > O que devo usar e como devo fazer para que os computadores da rede > 192.168.1.0 que tem como gateway essa maquina, possam acessar a internet > que está no 200.135.220.1 ? Habilita o repasse de pacotes entre as placas editando o arquivo /etc/sysctl.conf e alterando a linha abaixo: net.ipv4.ip_forward = 1 <<--- "1" e' habilitado, "0" e' desabilitado. Reinicie o servico de rede (service network restart) Use o iptables para fazer o repasse de pacotes entre as placas: iptables -t nat -A POSTROUTING -j MASQUERADE Nas maquinas da rede 192.168.1.0, voce aponta como gateway a placa do seu servidor que esta' nessa rede (por exemplo, 192.168.1.1). Verifique com um ping, das maquinas da rede 192.168.1.0, se voce consegue acessar a rede 200.135.220.1. Acho que e' isso! Regis ****************************************************************** De: robert.rocha Para: eric.linux@uol.com.br Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Iptables inteligente!!! Data: 26 Mar 2003 18:05:37 -0300 Tem sim!!!! Não lembro direeito como ficaria, se não estou enganado é utilizando o nat,abaixo segue um exemplo de como ficaria na sua situação apresentada, modifique de acordo com suas necessidades: iptables -t nat -A PREROUTING -p tcp -d site1.provedor.com.br --dport 80 -j DNAT --to 192.168.1.1 Espero ter ajudado Roberto B. Rocha > XXX - seria o nome da empresa, pois XXX nao existe, so foi um exemplo que eu > dei. > Tenho 2 sites: > Um chamado site1.provedor.com.br e site2.provedor.com.br (são apenas > exemplos) > os 2 sites apontam para o mesmo IP, por exemplo 200.223.40.200, so que tenho > 2 maquinas uma linux e uma w2k ( que hospeda asp). Gostaria que o iptables > ao receber o pacote com cabeçalho de destino site1.provedor.com.br > redirecione para a maquina com w2k (que esta com ip 192.168.1.1) e quando > recebesse o pacote com o cabeçalho site2.provedor.com.br redirecione para o > apache que esta localmente. > Sera que o iptables faz isso?? > Estrutura: > INTERNET --------- 200.223.40.200 [LINUX] > 192.168.1.200 ----------192.168.1.1 [W2K] > Ja procurei em alguns lugares e ja estou sem esperanças sobre isto. ****************************************************************** De: Paulino Kenji Sato Para: linux-br Assunto: Re: (linux-br) Iptables inteligente!!! Data: 26 Mar 2003 19:27:08 -0300 On Wed, 26 Mar 2003, Eric.Linux wrote: > XXX - seria o nome da empresa, pois XXX nao existe, so foi um exemplo que eu > dei. > Tenho 2 sites: > Um chamado site1.provedor.com.br e site2.provedor.com.br (são apenas > exemplos) > os 2 sites apontam para o mesmo IP, por exemplo 200.223.40.200, so que tenho > 2 maquinas uma linux e uma w2k ( que hospeda asp). Gostaria que o iptables > ao receber o pacote com cabeçalho de destino site1.provedor.com.br > redirecione para a maquina com w2k (que esta com ip 192.168.1.1) e quando > recebesse o pacote com o cabeçalho site2.provedor.com.br redirecione para o > apache que esta localmente. > Sera que o iptables faz isso?? > Estrutura: > INTERNET --------- 200.223.40.200 [LINUX] > 192.168.1.200 ----------192.168.1.1 [W2K] > Ja procurei em alguns lugares e ja estou sem esperanças sobre isto. Iptables não faz isso. iptables não sabe que o que ele esta repassando e um datagrama do protocolo de nivel de aplicação http 1.1. Vai precisar de um tipo de proxy que entenda o protocolo http 1.1 e tome a decisão de acordo com as suas necessidades. Acredito que o squid possa fazer isso. Leia documentação dele referente ao HTTPD-ACCELERATOR . Leitura: http://www.ietf.org/rfc/rfc2616.txt Paulino ****************************************************************** De: alrferreira@carol.com.br Para: nery@futuravolks.com.br, linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Iptables - porta 9991 Data: 07 Apr 2003 08:28:44 -0300 Nery, Pelo que entendi será necessário fazer NAT em seu firewall. Carregue o módulo do kernel para NAT. # modprobe iptable_nat Aplique a regra: # iptables -t nat -A PREROUTING -t nat -p udp -d IP_Firewall --dport 9991 -j DNAT --to IP_Servidor_Aplicação Mais detalhes: http://focalinux.cipsga.org.br Abraços, ****************************************************************** REGRAS POR USUARIO. De: Sthenley Macedo Responder-a: sthenley@bit1.com.br Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) RE: Bloquear acesso à WEB por usuário/grupo Data: 06 Apr 2003 23:36:42 -0300 Salve! > Há alguma forma de impedir o acesso à Internet para um > determinado usuário ou grupo de usuários num certo horário? > Alguém saberia como proceder??? Via script + IPTABLES + Cron, seria uma boa alternativa: crie um script com uma variavel contendo a lista de usuarios que deseja bloquear. É preciso usar o UID do usuário com o IPTABLES, podendo-se obte-lo atraves do comando "id". Por exemplo: usuario="nobody" usuario_uid=`/usr/bin/id -u $usuario` Entao, use uma regra como esta para bloquear: iptables -I OUTPUT -m owner --uid-owner $usuario_uid -j DROP Depois, voce pode, por exemplo, colocar a regra em uma chain especifica para depois remove-la ou simplesmente apagar todas as regras ("iptables --flush"), *caso não haja outras regras ativas*, ou ainda fazer o inverso: iptables -I OUTPUT -m owner --uid-owner $usuario_uid -j ACCEPT O script seria rodado em horarios diferentes (2 regras distintas no cron), hora com um parametro para liberar, hora para travar o acesso. Voce pode, inclusive, gerar log para estatisticas de tentativas de acesso fora do horario permitido, enviar mail para o administrador, gerar html, etc, etc. Virtualmente, ****************************************************************** De: Leandro Pereira de Lima e Silva (Zed) Para: vitor@jamyrvasconcellos.com.br, Lista Conectiva Linux Assunto: (linux-br) Re: Liberar no Firewall Data: 10 Apr 2003 04:38:13 -0300 Tente assim: Caso vc esteja utilizando um firewall separado: iptables -A FORWARD -s IP.DA.MAQUINA.SOURCE -p tcp --dport PORTA -j ACCEPT Caso seja o firewall da propria maquina: iptables -A OUTPUT -p tcp --dport PORTA -j ACCEPT Depois me diz se funcionou... []s Leandro ****************************************************************** De: Bruno Mayworm Responder-a: bruno@nordah.com Para: alrferreira@carol.com.br, vitor@jamyrvasconcellos.com.br Cc: Lista Conectiva Linux , Lista de Discussão Linux Goias Assunto: (linux-br) RES: (linux-br) Liberar no Firewall Data: 09 Apr 2003 09:19:33 -0300 Sugestão: iptables -t filter -A FORWARD -s 192.xx.xx.xx -j ACCEPT iptables -t nat -A POSTROUTING -d 200.xx.xx.xx / -j MASQUERADE vc pode trocar o IP 200.xx.xx.xx por 0 e ai, estará válido para qualquer ip. boa sorte. Bruno. -----Mensagem original----- De: linux-br@bazar.conectiva.com.br [mailto:linux-br@bazar.conectiva.com.br]Em nome de alrferreira@carol.com.br Enviada em: quarta-feira, 9 de abril de 2003 08:01 Para: vitor@jamyrvasconcellos.com.br Cc: Lista Conectiva Linux; Lista de Discussão Linux Goias Assunto: Re: (linux-br) Liberar no Firewall Dê uma olhada nisto: http://www.iptablesbr.cjb.net ----- André Luiz Rodrigues Ferreira CAROL - Support Team - Orlândia - SP - Brazil alrferreira@carol.com.br "Vitor Alexandre S. Marinho" Para: "Lista Conectiva Linux" , Lista de Discussão Linux los.com.br> Goias Enviado Por: cc: linux-br@bazar.conect Assunto: (linux-br) Liberar no Firewall iva.com.br 08/04/2003 15:57 Favor responder a vitor Pessoal, preciso liberar uma máquina para acessar determinada porta da internet. Como posso fazer isso pelo firewall? Utilizo aqui o IPTables Valeu ****************************************************************** De: Lucianno Albuquerque Ramalho Para: Julio Henrique Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Squid e Apache Data: 28 Apr 2003 08:29:14 -0300 Olá, Júlio vc deve ter uma regra +- assim: iptables -t nat -A PREROUTING -i [interface interna] -p tcp -s [rede interna/24] --dport 80 -j REDIRECT --to-port 3128 então, acho q vc deveria alterar da seguinte forma: iptables -t nat -A PREROUTING -i [interface interna] -p tcp -s [rede interna/24] -d ! [rede interna] --dport 80 -j REDIRECT --to-port 3128 Note q a diferença foi q eu especifiquei o destino ( -d [rede interna]) e pus um (!) q é um sinal de negação. Então, seguindo o raciocínio: o q vier da sua "rede interna" com destino a porta 80 q não sejam para máquina na sua rede, então ele redirecionará. Em Seg, 2003-04-28 às 00:49, Julio Henrique escreveu: > Olá pessoal da lista, > > Tenho um firewall/proxy (iptables/squid) no qual tbém tenho o apache > rodando. Acontece que o proxy é transparente, então tenho uma regra no > iptables que redireciona as requisições da porta 80 para a porta 3128 (porta > do squid). O apache SÓ serve páginas para a intranet e agora não está mais > funcionando, acredito que é por causa do redirecionameto da porta, apesar de > já ter mudado a porta que o apache "escuta" no httpd.conf. > Alguém que já teve essa experiência, poderia me dar uma ajuda ou indicar > algum tutorial, link ou qualquer outra coisa. > Desde já agradeço. ****************************************************************** Re: Bloqueando MAquina Enviado por: Paulo Luvisoto (200.225.214.242) em 12 de Maio de 2003 às 19:26:24 Em resposta a: Bloqueando MAquina enviado por Borges em 12 de Maio de 2003 às 14:37:49 Vamos supor que eu queira bloquear a máquina cujo IP seja 192.168.0.15. Então basta eu criar no servidor a seguinte regra: iptables -A INPUT -s 192.168.0.15 -j DROP Só isso. De nada. Paulo Luvisoto ****************************************************************** De: zgrp unknow Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Alguém_já_conseguiu? Data: 30 May 2003 17:56:03 -0300 Olá Augusto, Voce pode notar que todas conexões do MSN vem como aplicação contendo a string "x-msn", a string completa eh "application/x-msn-messenger". Pra vc bloquear o MSN basta vc criar regras de bloqueio no squid (#acl bloqueiaMSN url_regex "/etc/squid/blockMSN") ai basta vc ativar a regra colocar dentro de /etc/squid/clockMSN a string "x-msn". Uma outra forma eh utilizar o modulo do iptables chamado "match-string" e com ele criar uma regra q bloqueie acessos q contenha "x-msn" T+ ****************************************************************** De: Ricardo Guedes Para: Rodrigo Fortes , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) iptables (redirecionamento) Data: 18 May 2003 20:01:46 -0400 Oi, ----- Original Message ----- From: "Rodrigo Fortes" To: Sent: Thursday, May 15, 2003 1:13 PM Subject: (linux-br) iptables (redirecionamento) Ficou incompleto!!! > iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 10080 -j DNAT --to-destination 172.16.24.1:80 Falta abrir o forward iptables -A FORWARD -i "interface_net" -p tcp --dport 10080 -j ACCEPT Sua eth0 deve ser a da rede local certo??? Ricardo Guedes ****************************************************************** De: Carlo Pires Para: Rodrigo Fortes Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) iptables (redirecionamento) Data: 20 May 2003 09:26:30 -0300 Rodrigo Fortes wrote: Caros colegas, criei essa regra de redirecionamento para que as requisições destinadas a porta 10080 do meu firewall fossem Vamos ver... redirecionadas para uma maquina na minha rede interna mas a maldita não funciona Tente usar algo tipo: iptables -t nat -A PREROUTING -d -p tcp --dport 10080 -j DNAT --to 172.16.24.1:80 -Carlo ****************************************************************** De: Luiz Antonio Cassetari Vieira Filho Para: Mateus Reis , linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Proxy Transparente com 2 links Data: 23 Jun 2003 20:01:59 -0300 Em Segunda 23 Junho 2003 10:45, Mateus Reis escreveu: > Blz, > aqui na empresa tenho dois links, um para internet e outro (Frame-Relay) > para a matriz. Aqui essas regras de prooxy transparente rodaram legal > quando fiz o teste (ainda nao teste junto com autenticacao), porem tive um > problema, existe uma intranet hospedada na matriz. Quando o cliente digita > http://intranet o proxy tenta mandar isso pelo link da internet e nao da > intranet. Ja existe a rota nesse servidor apontando para o roteador onde > esta ligada o frame. Existe uma forma de nessa regra do iptables colocar um > exceto rede tal ?? Ai dessa forma ele mandaria para a internet > (proxy-transparente) tudo que fosse diferente do range da minha intranet. > Caso nao tenha sido claro me falem. > > PS: o roteamento esta ok, pois tirando o proxy-transparente tudo fica ok. > Mateus Reis Tente isso. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80\ -d 10.10.10.10/24 -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \ -j REDIRECT --to-port 3128 Primeiro ele aceita os pacotes que tem destino a rede 10.10.10.10/24 (troque pela sub-rede do seus servidores). E depois ele manda os pacotes para o proxy transparente. Lembre-se que no iptables, quando um pacote se enquadra na regra, o processamento é parado. Então o pacote vai passar pela regra dos seus servidores. Se o pacote tiver como destino algum dos seus servidores, ele será aceito, e será enviado para eles. Caso contrario, ele irá bater na 2 regra e será redirecionado para o proxy. [ ]'s -- ****************************************************************** De:  sedrez@tecgraf.puc-rio.br Para:  Augusto Luiz Cardoso Cc:  linux-br@bazar2.conectiva.com.br Assunto:  RE: (linux-br) Iptables=?iso-8859-1?Q?_D=FAvida?= Data:  Fri, 11 Jul 2003 16:43:02 -0300 (BRT) On 11-Jul-2003 Augusto Luiz Cardoso wrote: > Eu stopei o iptables e com isto todas as minha regras foram por agua > abaixo. > Alguém sabe como recuperá-las? Rio de Janeiro, 11-Jul-2003 Estabeleça suas regras, depois use o comando: service iptables save Isto salva as regras no arquivo /etc/sysconfig/iptables. ----- Paulo F. Sedrez ****************************************************************** De:  Helder Jean Para:  Brunhara Cc:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br) Iptables ! --syn Data:  Fri, 27 Jun 2003 19:05:03 -0300 Brunhara wrote: > Ola Lista > > Estou usando somente esta configuraçao abaixo > o nat esta funcionando, porem  a terceira regra que > deveira impedir que alguem sincroniza-se uma > conexao nao esta dando certo... estou com o ssh > configurado na porta 2222  e estou conseguindo > fazer a conexao ... o que esta errado ??? > > iptables -t nat -A POSTROUTING -s 192.168.1.0 -o eth1 -j MASQUERADE > iptables -A FORWARD -s 192.168.1.0 -j ACCEPT > > iptables -A INPUT -p tcp -d 192.168.1.200 --dport 1024: ! --syn -j ACCEPT >   O que ele tá dizendo na terceira regra é que "qualquer pacote não-SYN que vier na direção de 192.168.1.200 para uma porta acima de 1024 aceite". Mas e quanto aos SYNs? Caem na política padrão da cadeia de regras. O problema deve estar aí.   Rode um "iptables -L INPUT" e vê logo no início qual a política padrão da cadeia INPUT. Provavelmente tá setada para ACCEPT. Aí é só dar um "iptables -P INPUT DROP" que ele seta pra dropar os pacotes por padrão. Qualquer coisa, man iptables ou iptables.org te ajudam muito. []'s ****************************************************************** De:  Thiago Macieira Para:  segfault , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Liberando Squid no IPTables Data:  Thu, 31 Jul 2003 13:51:37 +0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 segfault wrote: >/sbin/iptables -A FORWARD -i ppp0 -j ACCEPT >/sbin/iptables -A INPUT -p TCP -m state --state ESTABLISHED, RELATED -j >ACCEPT Recomendo alguma coisa semelhante para o FORWARD também. Sua regra permite qualquer repasse. >/sbin/iptables -A INPUT -p ICMP -j DROP Não faça isso. Remova essa regra. Bloquear ICMP é besteira porque você bloqueia mensagens importantes, como "No route to host" e outras informações de rede. Se você quer se simplesmente ignorar pings, use: echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all >/sbin/iptables -A INPUT -p TCP -s 0/0 --sport 25 -j ACCEPT >/sbin/iptables -A INPUT -p TCP -s 0/0 --sport 110 -j ACCEPT >/sbin/iptables -A INPUT -p TCP -s 0/0 --sport 3128 -j ACCEPT >/sbin/iptables -A INPUT -p UDP -s 0/0 --sport 3128 -j ACCEPT As regras --sport são inúteis na cadeia INPUT. Trata-se da porta remota, não do seu servidor. >Alguem pode me ajudar? >Não consigo ter acesso ao proxy com as regras cima! O que, exatamente, acontece? Tente un telnet na porta 3128 partindo de: 1) do próprio servidor 2) uma máquina da rede local 3) uma máquina externa Qual é a mensagem de erro? O que um tcpdump no servidor mostra? (tcpdump -ni any port 3128) - --   Thiago Macieira  -  Registered Linux user #65028    thiagom@mail.com    ****************************************************************** De:  Marcus Lima Responder-a:  marcuslima@marcuslima.eti.br Para:  hnk , linux-br@bazar.conectiva.com.br Assunto:  RES: (linux-br) NAT redirecionar por NOME e não por IP... IPTABLES... Data:  Sun, 10 Aug 2003 09:32:37 -0300 O único problema de você conseguir fazer isso com Iptables é com as sessões dos browsers. Se seus sites tiverem cookies, um usuário pode se conectar num site e depois se conectar no outro e perder a sessão. Eu conheço uma solução para seu problema mas não é gratuito: Firewall Aker - Marcus Lima. ****************************************************************** De:  alrferreira@carol.com.br Para:  Rodrigo Klein Santos , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Iptables - Input - Output - Forward Data:  Wed, 5 Nov 2003 08:59:09 -0200 >Por exemplo, eu tenho um Firewall com 3 placas de rede. >1 - Interna - 10.0.0.0 >2 - DMZ - 200.200.100.1 >3 - Externa - 200.200.200.1 Quando crio uma regra de INPUT ela interfere na DMZ ? Pra DMZ seria a regra Forward ? >Quando crio uma regra de INPUT ela interfere na DMZ ? >Pra DMZ seria a regra Forward ? INPUT: Tudo que vir direcionado a máquina local OUTPUT: Tudo que sair da máquina local FORWARD: Tudo que a máquina local repassar para outras máquinas. Na paz, ****************************************************************** De:  Sergio Durand Para:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Ferramenta Iptables Data:  Fri, 05 Dec 2003 14:08:11 -0300 Tem essa página... ele é feito um wizard... Voce vai colocando o q tem na sua e rede e ele gera o script.. Claro q essas coisas automatizadas nao funcionam 100%... mas dai eh soh alterar umas coisas aki e outras ali e pronto... Pelo menos a grande parte ele faz pra vc.. O endereco é: http://morizot.net/firewall/gen/index.php Eduardo Noronha wrote: Estou pretendendo usar uma ferramenta gráfica que implemente iptables. ****************************************************************** De:  Edival Mittelstad Responder-a:  Edival Mittelstad Para:  Eduardo Noronha Cc:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Ferramenta Iptables Data:  Fri, 5 Dec 2003 14:40:32 -0300 >Olá, >Estou pretendendo usar uma ferramenta gráfica que implemente iptables. >Alguém já faz uso de alguma para que possa me recomendar, haja vista, que >pesquisei e encontrei diversas ferramentas com este propósito. >Obrigado! Eu utilizo o fwbuilder e tenho conseguido tudo que preciso com ele.. ****************************************************************** De:  Luiz Gustavo Para:  Acácio , seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Ferramenta Iptables Data:  Fri, 5 Dec 2003 15:52:35 -0300 Modulo do WebMin p/ Iptables http://www.webmin.com/download/modules/firewall.wbm Ele não é muito intuitivo. É necessário que vc tenha algum conhecimento de iptables para utiliza-lo. ----- Original Message ----- From: "Acácio" To: "Luiz Gustavo" Sent: Friday, December 05, 2003 1:22 PM Subject: Re: [seguranca] Ferramenta Iptables onde encontro esse modulo? Em Sex 05 Dez 2003 15:10, Luiz Gustavo escreveu: > Eduardo. > > Existe um Modulo do webmin p/ iptables que é bem legal > ----- Original Message ----- > From: "Eduardo Noronha" > To: > Sent: Friday, December 05, 2003 1:02 PM > Subject: [seguranca] Ferramenta Iptables > > > Olá, > > > > Estou pretendendo usar uma ferramenta gráfica que implemente iptables. > > Alguém já faz uso de alguma para que possa me recomendar, haja vista, que > > pesquisei e encontrei diversas ferramentas com este propósito. ****************************************************************** De:  Sérgio M. F. Caldeira Para:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Ferramenta Iptables Data:  Fri, 5 Dec 2003 17:18:23 -0300 (Hora oficial do Brasil)    Boa tarde;   Procure em http://rpmfind.net  pelo Firestarter. Ele á bastante fácil de se utilizar, pois trabalha em ambiente gráfico, tendo inclusive um "wizard" para configuração.   Boa sorte;   Sérgio M. F. Caldeira ****************************************************************** De:  Daniel A. Melo Para:  Leonardo Queiroz Cc:  lista seguranca Assunto:  Re: [seguranca] Iptables + Webmin Data:  15 Dec 2003 17:35:58 -0300 Eu utilizo. Apesar de não ser possível trabalhar com variáveis de ambiente, nem de comentar as regras, a interface é amigável e é possível alterar a ordem de regras facilmente. Eu configurei para alterar as regras em memória e criei comandos para salvar as regras em memória e carregar alterações diferentes; Ou seja, sempre que altero as regras eu executo: /etc/init.d/iptables save active []'s -- Daniel A. Melo Consultor em Segurança da Tecnologia da Informação MCSO - Modulo Certified Security Officer Em Sáb, 2003-12-13 às 18:24, Leonardo Queiroz escreveu: > Oi pessoal, > > Alguém da lista já utilizou o Webmin para gerar regras para o Iptables? O que achou? > Estou tentando configurar más como o Conectiva não usa o script /etc/rc.d/init.d/iptables (ou estou enganado?) que o Webmin utiliza, está dando o maior trabalho. > > Queria saber se vale a pena configurar. Uso o Conectiva 8 e o Webmin-1.121. ****************************************************************** De:  William da Rocha Lima Responder-a:  William da Rocha Lima Para:  Diniz Alexandre Daminelli , linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)kazaa - Modulo kernel Data:  Tue, 18 May 2004 21:22:31 -0300 Caro Diniz,     Segue o link sobre o módulo iptables-p2p Tutorial sobre instalação do módulo iptables-p2p para iptables, para bloqueio de tráfego de aplicações p2p, como edonkey. http://www.linuxit.com.br/modules.php?name=News&file=article&sid=2758&mode=&order=0&thold=0 Até, -- William da Rocha Lima wrochal@linuxit.com.br www.linuxit.com.br ****************************************************************** De:  Jorge Godoy Para:  linux-br@bazar2.conectiva.com.br Cc:  flavio_jpa@ig.com.br Assunto:  Re: (linux-br)Re: Re Problemas com swat Data:  Thu, 27 May 2004 15:15:49 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Thursday 27 May 2004 13:50, Tiago Cruz wrote: > On Thu, 27 May 2004 11:13:53 -0300 > > flavio_jpa@ig.com.br wrote: > > Se tem um firewall default qual é e como desabilitar? (é a única > > coisa não tentei ainda!) > > # iptables -F Isso não funciona ser as políticas padrão forem alteradas de ACCEPT para outra coisa (o que é extremamente recomendável em um firewall...). Isso também não elimina cadeias criadas pelo "usuário"... - -- Godoy.     -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) ******************************************************************