Regra Firewall [Ajuda] [RESOLVIDO]

1. Regra Firewall [Ajuda] [RESOLVIDO]

Luis Eduardo Vilella
luivilella

(usa Debian)

Enviado em 20/07/2010 - 17:50h

Pessoal na verdade eu não sei se somente regras de firewall resolve, vou expor o cenário.
Tenho uma maquina PC1 ip=192.168.0.100 e a mesma conecta-se a meu servidor Debian pela eth0 ip=192.168.0.10, e na placa eth1 tenho uma range 192.168.1.0/24, e nesta range tem uma outra maquina DB, este tem varias pastas compartilhadas e esta com Windows XP.

Agora o que eu preciso, configurar no meu servidor Debian pra que, a minha maquina PC1 so possa acessar na maquina 192.168.1.2 a pasta bancodedados.

Na maquina PC1 posso acessar \\192.168.1.2\bancodedados e nada mais, ou seja qualquer outra pasta da maquina DB e nenhuma outra maquina da range 192.168.1.0/24.

Pessoal, quem puder ajudar agradeço.


  


2. MELHOR RESPOSTA

irado furioso com tudo
irado

(usa XUbuntu)

Enviado em 23/07/2010 - 09:39h

bem.. é que nunca fiz com VM e, dado que vc vai ter apenas UMA interface na máquina é que me levou a duvidar porque os problemas com rota vão aparecer imediatamente; pra encurtar: os pacotes não saberão para onde ir - não lembro ONDE isso apareceu no curso de redes, deve ter sido - putz, óbvio - em qualquer coisa com roteamento de pacotes, etc.

Preciso dar uma revisada nos meus guardados - rs.

Bem, já que vc vai estudar o assunto, sugiro:

coloque em papel - mesmo que bem simples - qual seu topológico de rede, caminhos dos pacotes, e sua intenção (o que fazer com êles).

depois de montado o cenário vai ficar mais fácil. Aplique as regras, um bocadinho por vez, comece com algo bem simples, por exemplo APENAS as POLITICAS (sugestão: tudo DROP), depois acrescente UMA regra por vez.

ainda como sugestão: agrupe as suas regras por função: todos os INPUT, todos os OUTPUT, todos os FORWARD e os NAT (PRE/POSTROUTING). Fica mais fácil para vc mesmo analisar.

quando surgirem os problemas (sempre surgem), anote cuidadosamente as mensagens e poste novamente.

divirta-se. No fundo, é divertido :)





3. Re: Regra Firewall [Ajuda] [RESOLVIDO]

irado furioso com tudo
irado

(usa XUbuntu)

Enviado em 20/07/2010 - 21:53h

vc precisa de FORWARD na debian; estabelecer ROTA de para 192.168.1.2, e bloquear (no FORWARD) qualquer maquina, exceto esta aí, para acessar a PC1.

# route add -host ip.addr.de.origem gw ip.addr.saida dev eth??

# iptables -A FORWARD -i eth1 -s sua.maquina -o eth0 -d maquina.destino -j ACCEPT
# iptables -A FORWARD -i eth1 -s 192.168.1.0/24 -o eth0 -d maquina.destino -j REJECT
# outras regras FORWARD

bem.. acho que é isso aí - tô com sono :)


4. Re: Regra Firewall [Ajuda] [RESOLVIDO]

Andi
upc0d3

(usa Gentoo)

Enviado em 20/07/2010 - 22:37h

Teu problema eh compartilhamento. Precisa configurar o samba na maquina 192.168.1.2, para compartilhar o diretorio "bancodedados". E nao compartilhar nenhum outro diretorio.

Ateh+


5. Re: Regra Firewall [Ajuda] [RESOLVIDO]

Luis Eduardo Vilella
luivilella

(usa Debian)

Enviado em 21/07/2010 - 19:52h

Certo, mas tem como compartilhar no samba uma pasta de outro computador?
Eu tenho um outro problema se no (PC1 ip= 192.168.0.100) coloco \\192.168.1.2 ele abre todas as pastas do DB como desativo este roteamento automático. [obs. Eu por enquanto nao fiz as rotas que o irado passou]


6. Firewall

Perfil removido
removido

(usa Nenhuma)

Enviado em 21/07/2010 - 23:30h

OLa

Provavelmente o Ip_forward do kernel esta setado para =1 assim o repasse de pacotes entre as interfaces e automatico. Eu aconselho voce a fazer o seguinte faz as regras de filtro da seguibte forma:


iptables -t filter -A FORWARD -i eth0 -o eth1 -s 192.168.0.100 -d 192.168.1.10 -j ACCEPT
iptables -t filter -A FORWARD -i etho -o eth1 -j DROP


desta forma voce liberaria o acesso a maquina 192.168.0.100 somente para 192.168.1.10 o resto estaria tudo bloqueado pelo filtro!!



7. Re: Regra Firewall [Ajuda] [RESOLVIDO]

Luis Eduardo Vilella
luivilella

(usa Debian)

Enviado em 22/07/2010 - 10:32h

Certo, tava ativado o ip_forward resolvido, porem tenho que barrar o protocolo de compartilhamento, com isso que me mandaram deu certo tipo o PC1 so acessa o DB mas ainda acessa tudo dele, como faco para que quando o PC1 tente acessar o DB ele va para o Samba no Debian.
Ai no Samba eu vou tentar compartilhar so a pasta que eu quero do DB.





8. leia, leia..

irado furioso com tudo
irado

(usa XUbuntu)

Enviado em 22/07/2010 - 21:39h

vc deve LER as mensagens, olhar pra elas apenas NÃO AJUDA VC a sair fora dos problemas ;)

"Warning: weird character in interface `eth1:0' (No aliases, :, ! or *)."

que te parece? ;)

vou dar uma ajudinha:

"Atenção, caracter estranho na interface `eth1:0' (não são aceitos aliases.. )"

como eu sempre digo para meus estagiotários: "quando vc fizer certo, verá que funciona". Mas vc podia ao menos tentar ;)


9. Re: Regra Firewall [Ajuda] [RESOLVIDO]

Luis Eduardo Vilella
luivilella

(usa Debian)

Enviado em 22/07/2010 - 22:29h

Mas entao com fazer as regras quando uso alias???
traduzir eh facil, se vc fala uma alternativa para isto ficaria bem mais util.

Como vc faria com o problema de alias???

Muito obrigado


10. Re: Regra Firewall [Ajuda] [RESOLVIDO]

irado furioso com tudo
irado

(usa XUbuntu)

Enviado em 23/07/2010 - 09:16h

/arrogance perceived
traduzir eh facil, se vc fala uma alternativa para isto ficaria bem mais util.
/end arrogance

não pequeno gafanhoto, eu não sugeri que vc traduzisse apenas, senão teria sugerido vc meter lá no google ou coisa que o valha.

O que foi recomendado foi: LEIA a mensagem. O intuito subjacente seria: ENTENDA o que vc LEU mas, pelo visto, vc é um caso perdido.

"Como vc faria com o problema de alias???"

não faria. Como o iptables NÃO interpreta nada exceto o que passa pelo disposivo FISICO, então NATURALMENTE ethX:Y, não sendo dispositivos FISICOS não podem ser usados.

Como fazer? simples. IGNORE qualquer menção a elementos LOGICOS (que não existem para o iptables) e concentre-se nos FISICOS, ou seja, o tráfego de pacotes.

então, se vc vai definir que pacotes tem um destino qualquer (rede ou host) e que o dispositivo físico é que vai fazer essa transferência, basta concentrar-se em regras que digam ORIGEM-->DESTINO via ethX, como vc faz em qualquer firewall.

claro como lama, não?

BTW, tenho minhas dúvidas se vc vai conseguir algo em VM.



11. Re: Regra Firewall [Ajuda] [RESOLVIDO]

Luis Eduardo Vilella
luivilella

(usa Debian)

Enviado em 23/07/2010 - 09:26h

Irado sabe o que eu tenho que falar pra vc...
Muito obrigado meu velho. Como vc disse sou muito leigo: estou dando uma estudada aqui.

http://www.vivaolinux.com.br/artigo/Iptables-detalhado/
http://www.vivaolinux.com.br/artigo/Arno-Iptables-Firewall-(poderoso-e-simples)
http://www.vivaolinux.com.br/artigo/Iptables-protege-contra-SYN-FLOOD/
http://www.vivaolinux.com.br/artigo/Seguranca-com-iptables-1
http://www.vivaolinux.com.br/artigo/Criando-firewalls-dinamicos-com-Iptables-Recent/
http://www.vivaolinux.com.br/artigo/Estrutura-do-Iptables/
http://www.vivaolinux.com.br/artigo/Desvendando-as-regras-de-Firewall-Linux-Iptables/

Concordo nao tenho carga de conhecimento para argumentar sobre o assunto.
E novamente obrigado e desculpe-me se fui arrogante pois nao foi, (nao foi mesmo), a intenção.
Estou dando uma pesquisada aqui ja postarei minhas duvidas.




12. Re: Regra Firewall [Ajuda] [RESOLVIDO]

Luis Eduardo Vilella
luivilella

(usa Debian)

Enviado em 23/07/2010 - 09:28h

Qual seria o problema da VM, tipo coloquei em rede interna meus clientes e meu Servidor.




  
01 02 03



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts