Configurar firewall

Iniciado por gaules, 04 de Outubro de 2007, 12:53

tópico anterior - próximo tópico

gaules

Se vc é um iniciante e não ta com saco de ficar procurando no google como configurar um firewall para o linux, q é totalmente diferente (e melhor) q o do rwindows, então aqui está uma dica muito interessante.

Baixe esse arquivo:
http://baruch.ev-en.org/proj/autofw/autofw-0.3.4.tar.gz

extraia ele em uma pasta e abra ela num terminal e dê o comando:

./autofw -d

Pronto! o seu firewall estará configurado!!

muito bom esse script.

fonte: http://baruch.ev-en.org/proj/autofw/autofw.html

Lex Luthor

Gaules,

   Como é simples assim ? Você sabe que configuração ele coloca ? Cada um tem sua configuração, e não creio que é simplesmente rodar um script que ele configura automagicamente. Não tem mágica... cada um tem que configurar seu firewall de acodo com suas necessidades...

    Mas vou dar uma olhada no que isso faz e posto aqui o que li.

Abraço
Analista de Redes- Segurança da Informação
Bacharel em Ciências da Computação - UnB
Ubuntu Forever - Compiz Fusion -

gaules

Citação de: Lex Luthor online 05 de Outubro de 2007, 08:46
Gaules,

   Como é simples assim ? Você sabe que configuração ele coloca ? Cada um tem sua configuração, e não creio que é simplesmente rodar um script que ele configura automagicamente. Não tem mágica... cada um tem que configurar seu firewall de acodo com suas necessidades...

    Mas vou dar uma olhada no que isso faz e posto aqui o que li.

Abraço

eu fiz isso aqui e tá tudo rodando normalmente, a configuração, aparentemente, foi automática.

mas tudo bem, estou a espera da sua avaliação!

Lex Luthor

Pelo que eu li, tem que tomar cuidado, pois ele vai escanear as portas abertas e fazer as regras de acordo. Mas e se você abrir uma porta depois ? Como ele vai liberar, se já rodou no boot do sistema ?

Sei não, eu não confio muito. Sou meio suspeito pois trabalho com redes e sei configurar firewalls.
Só tomem cuidado antes de rodar esses programas automágicos, a gente tem que ter sempre em mente que se acontecer algo de errado, tem que ver se não foi esse programa...
Analista de Redes- Segurança da Informação
Bacharel em Ciências da Computação - UnB
Ubuntu Forever - Compiz Fusion -

gaules

Citação de: Lex Luthor online 05 de Outubro de 2007, 08:54
Pelo que eu li, tem que tomar cuidado, pois ele vai escanear as portas abertas e fazer as regras de acordo. Mas e se você abrir uma porta depois ? Como ele vai liberar, se já rodou no boot do sistema ?

Sei não, eu não confio muito. Sou meio suspeito pois trabalho com redes e sei configurar firewalls.
Só tomem cuidado antes de rodar esses programas automágicos, a gente tem que ter sempre em mente que se acontecer algo de errado, tem que ver se não foi esse programa...


hum...

pois é... agora já foi  :P

mas até este momento eu não tive problema nenhum com os programas q eu uso, sendo q eu já fiz esse tutorial a um tempo (estava com preguiça de posta aqui  :-X) se aparecer algum eu posto aqui.

Mas pelo q vc disse, ele não faz nada que tente fragilizar o sistema, como facilitar a invasão do desenvolvedor, não é?

e se der algum problema, não é só fazer a desinstalação completa do firewall pelo synaptic e instalar de novo? (desculpe a ignorância  :-X)

Lex Luthor

As tabelas do iptables são temporárias, a cada vez que você o coloca para rodar na inicialização ele gera as regras e ativa o iptables com elas.

Será que teria como passar as regras que ele gerou para ver o que ele faz ?

É que sou meio chato com essas coisas mesmo, nunca vi configuração de Firewall automática, eu gosto de fazer minhas próprias regras, pois sei como elas vão funcionar. Mas isso tem que entender de redes.

O Firestarter é um bom firewall (não sei se ele roda em cima de IpTables), mas até hoje não consegui fazê-lo funcionar, pois ele é muito simplificado pra mim, com ele eu não tenho controle do fluxo de saída nem de entrada, sem contar que quando fui configurá-lo ele estava trocando as bolas.... não gostei.
tem um outro firewall por aí, não sei o que DOG...
Analista de Redes- Segurança da Informação
Bacharel em Ciências da Computação - UnB
Ubuntu Forever - Compiz Fusion -

alarcon

#6
Citação de: Lex Luthor online 05 de Outubro de 2007, 14:49
As tabelas do iptables são temporárias, a cada vez que você o coloca para rodar na inicialização ele gera as regras e ativa o iptables com elas.

Será que teria como passar as regras que ele gerou para ver o que ele faz ?

É que sou meio chato com essas coisas mesmo, nunca vi configuração de Firewall automática, eu gosto de fazer minhas próprias regras, pois sei como elas vão funcionar. Mas isso tem que entender de redes.

O Firestarter é um bom firewall (não sei se ele roda em cima de IpTables), mas até hoje não consegui fazê-lo funcionar, pois ele é muito simplificado pra mim, com ele eu não tenho controle do fluxo de saída nem de entrada, sem contar que quando fui configurá-lo ele estava trocando as bolas.... não gostei.
tem um outro firewall por aí, não sei o que DOG...

Bom sou um usuário comum de desktop e não tenho propriedade para falar de regras de firewall como você, mas até onde sei o firestarter parecer seu um frontend ou interface gráfica para o iptables.

Não tenho problemas com ele não, para mim funciona perfeitamente, mas creio que seu uso seja indicado mais para desktop mesmo.

Se quiser saber algo sobre o firestarter veja:

http://www.guiadohardware.net/artigos/firestarter/


Há o outro firewall que você fala é o guarddog, mas eu não gostei dele não, é mais indicado para o KDE.

Lex Luthor

É, eu pesquisei agora aqui e vi que o cachorrão é para o KDE mesmo...

Meu problema com o firestarter é que eu preciso controlar as conexções e  fluxo de entrada e saída de cada porta, e o firestarter é bem simplificado. Utilizo hoje somente mesmo o fwbuilder, que tenho controle todal das regras.

Em outro tópico aqui rolou várias coisas sobre isso, inclusive minha procura por um Firestarter com configador como fwbuilder que eu queria... mas isso é outro assunto. Vamos voltar ao tópico mesmo...

Esse automágico é interessante, mas eu gostaria de ver como ele monta as regras.
Analista de Redes- Segurança da Informação
Bacharel em Ciências da Computação - UnB
Ubuntu Forever - Compiz Fusion -

gaules

Citação de: Lex Luthor online 05 de Outubro de 2007, 15:16
mas eu gostaria de ver como ele monta as regras.

pois é... desculpe a ignorância... mas como q eu faço para ver isso?...

me passa as instruções q eu posto pra vc.

Lex Luthor

Gaules,

   O problema é que o IPTABLES quando se cria regras ele mostra tudo maluco... não sei se tem um interpretador para visualizar mais fácil direto do IPTables.

Se você digitar iptables -L ele vai te passar todas as regras que estão ativas.

Abraços...
Analista de Redes- Segurança da Informação
Bacharel em Ciências da Computação - UnB
Ubuntu Forever - Compiz Fusion -

gaules

Citação de: Lex Luthor online 10 de Outubro de 2007, 14:46
Gaules,

   O problema é que o IPTABLES quando se cria regras ele mostra tudo maluco... não sei se tem um interpretador para visualizar mais fácil direto do IPTables.

Se você digitar iptables -L ele vai te passar todas as regras que estão ativas.

Abraços...

segue o resultado:

CitarChain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  192.168.1.1          anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT     udp  --  192.168.1.1          anywhere           
ACCEPT     0    --  anywhere             anywhere           
ACCEPT     icmp --  anywhere             anywhere            limit: avg 10/sec burst 5
DROP       0    --  anywhere             255.255.255.255     
DROP       0    --  anywhere             192.168.1.255       
DROP       0    --  BASE-ADDRESS.MCAST.NET/8  anywhere           
DROP       0    --  anywhere             BASE-ADDRESS.MCAST.NET/8
DROP       0    --  255.255.255.255      anywhere           
DROP       0    --  anywhere             0.0.0.0             
DROP       0    --  anywhere             anywhere            state INVALID
LSI        0    -f  anywhere             anywhere            limit: avg 10/min burst 5
INBOUND    0    --  anywhere             anywhere           
LOG_FILTER  0    --  anywhere             anywhere           
LOG        0    --  anywhere             anywhere            LOG level info prefix `Unknown Input'

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere            limit: avg 10/sec burst 5
LOG_FILTER  0    --  anywhere             anywhere           
LOG        0    --  anywhere             anywhere            LOG level info prefix `Unknown Forward'

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  192.168.1.101        192.168.1.1         tcp dpt:domain
ACCEPT     udp  --  192.168.1.101        192.168.1.1         udp dpt:domain
ACCEPT     0    --  anywhere             anywhere           
DROP       0    --  BASE-ADDRESS.MCAST.NET/8  anywhere           
DROP       0    --  anywhere             BASE-ADDRESS.MCAST.NET/8
DROP       0    --  255.255.255.255      anywhere           
DROP       0    --  anywhere             0.0.0.0             
DROP       0    --  anywhere             anywhere            state INVALID
OUTBOUND   0    --  anywhere             anywhere           
LOG_FILTER  0    --  anywhere             anywhere           
LOG        0    --  anywhere             anywhere            LOG level info prefix `Unknown Output'

Chain INBOUND (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            state RELATED,ESTABLISHED
LSI        0    --  anywhere             anywhere           

Chain LOG_FILTER (5 references)
target     prot opt source               destination         

Chain LSI (2 references)
target     prot opt source               destination         
LOG_FILTER  0    --  anywhere             anywhere           
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
REJECT     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN reject-with icmp-port-unreachable
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
REJECT     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST reject-with icmp-port-unreachable
LOG        icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
REJECT     icmp --  anywhere             anywhere            icmp echo-request reject-with icmp-port-unreachable
LOG        0    --  anywhere             anywhere            limit: avg 5/sec burst 5 LOG level info prefix `Inbound '
REJECT     0    --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain LSO (0 references)
target     prot opt source               destination         
LOG_FILTER  0    --  anywhere             anywhere           
LOG        0    --  anywhere             anywhere            limit: avg 5/sec burst 5 LOG level info prefix `Outbound '
REJECT     0    --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain OUTBOUND (1 references)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere           
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     0    --  anywhere             anywhere 

isso é bom ou ruim?

Lex Luthor

Amigo,
   Para analisar isso tudo é um saco mesmo...
   Deu para ver que ele liberou TUDO saindo da sua máquina, liberou ICMP (ping), ativou somente protocolos de retorno ESTABLISHED, etc...

   Não dá para analisar tudo não, é muito grande, mas minha visão é o seguinte: não tem muita mágica não, um firewall, depois que você configura, não pode deixar acessar nada senão o que foi dito nas regras, se você configurou uma coisa, e depois ativou um serviço na sua máquina e esse serviço passou a funcionar sem você mexer no firewall (tipo um web server), então o firewall não estava travando aquela porta. Esse é o principal objetivo do firewall, você bloqueia e só libera o que precisa (ainda há quem faça o contrário, mas isso é política de quem implementa)...
    Nessas regras não vi nada referente a algum serviço específico, e não sei se esse "ACCEPT     0    --  anywhere             anywhere" ele liberaria... sei não...

    Configurar um firewall não é tão difícil assim não, mas tem que conhecer de redes. Mas acho que o Firestarter é um ótimo começo, ele é simplificado, e você pode pará-lo sempre que quiser pelo ícone na barra de tarefas...
Analista de Redes- Segurança da Informação
Bacharel em Ciências da Computação - UnB
Ubuntu Forever - Compiz Fusion -