Firewall Linux x Firewall Modem DSL.

Infunix
(usa openSUSE)

Enviado em 05/01/2012 - 01:10h

Olá a todos.
Tenho uma séria duvida, usar o firewall do linux + firewall de modem dsl causa algum conflito, interferindo de forma negativa na conexão. É mais vantajoso manter só um deles ativo? Se for melhor, qual a melhor opção?


Obrigado pela atenção.

saitam
(usa Slackware)

Enviado em 05/01/2012 - 07:58h

modem adsl em modo roteado já vem habilitado o firewall no modem.

modem adsl em modo bridge é necessário criar regras iptables no script para firewall, e precisa de duas interfaces de redes(1 para conexão internet e outra para rede local).

Infunix
(usa openSUSE)

Enviado em 05/01/2012 - 14:28h

saitam

Está configurado dessa maneira:

"Encapsulation

ISP: ( ) Dynamic IP Address
( ) Static IP Address
( ) PPPoA/PPPoE
(X) Bridge Mode

Bridge Mode


Encapsulation: 1483 Bridged IP LLC "


Qual o melhor modo a ser usado?
OBS:Divido a rede.Meu notebook + notebook da minha irmã.

saitam
(usa Slackware)

Enviado em 05/01/2012 - 14:49h

então seu modem adsl esta em modo bridge

precisa autenticar com provedor para acessar a internet né

Bem, entre os modos bridge ou roteado depende, se for servidor ou quer ter maior controle dos acessos, então bridge é melhor opção.
Já se for roteado, o próprio modem faz autenticação com provedor e compartilhamento de conexão.

Resumo:
Bridge: precisa autenticar manualmente e de duas interfaces de redes(1 para conexão e 1 para rede), e fazer o compartilhamento manualmente e criar um script de firewall (iptables), pois o ip fica de cara para internet(ip externo).
Roteado: Esta atras do NAT e recebe o ip interno e já possui um firewall padrão e também já faz o compartilhamento de conexão.

Infunix
(usa openSUSE)

Enviado em 05/01/2012 - 16:11h

Veja, eu optei pelo modo roteado mesmo, me parece mais simples, até pq não enteno nada do iptables.Então nesse modo(roteado) eu posso deixar os 2 firewalls habilitados?

saitam
(usa Slackware)

Enviado em 05/01/2012 - 18:36h

Sim, pode ter o firewall do modem adsl (roteado) em conjunto com o script de firewall(iptables), apenas com regras de proteção adicional.

script firewall básico para uso doméstico

#!/bin/bash

#Variáveis

iface="eth0" #interface de rede

LAN="192.168.1.0/24" #rede local

#carrega módulos

/sbin/modprobe ip_nat

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ip_queue

/sbin/modprobe ip_conntrack

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ip_tables

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_nat

/sbin/modprobe iptable_mangle

/sbin/modprobe ipt_state

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_multiport

/sbin/modprobe ipt_mac

/sbin/modprobe ipt_string

echo "Firewall iniciando..............................[OK]";

#limpa as regras

iptables -F

iptables -X

iptables -Z

iptables -F INPUT

iptables -F FORWARD

iptables -F OUTPUT

iptables -t nat -F

iptables -t nat -X

iptables -t nat -Z

iptables -t mangle -F

iptables -t mangle -X

iptables -t mangle -Z

#política padrão

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

 

#Permite pacotes transmitidos através da interface de loopback(localhost)

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

#políticas chain INPUT

iptables -A INPUT -p tcp -dport 80 -i -j ACCEPT #HTTP

iptables -A INPUT -p tcp -dport 53 -i -j ACCEPT #DNS TCP

iptables -A INPUT -p udp -dport 53 -i -j ACCEPT #DNS UDP

#políticas chain OUTPUT

iptables -A OUTPUT  -p tcp --dport 80 -j ACCEPT #HTTP

iptables -A OUTPUT  -p tcp --dport 443 -j ACCEPT #HTTPS

iptables -A OUTPUT  -p tcp --dport 53 -j ACCEPT#DNS TCP

iptables -A OUTPUT -p udp --dport 53 -j ACCEPT #DNS UDP

iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT #MSN

 

#Protege contra synflood

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

 

#Protege contra ping na máquina

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

 

#Proteção contra ICMP Broadcasting

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

 

#Proteção contra ataques DoS

iptables -A INPUT -m state -state INVALID -j DROP

iptables -A OUTPUT -p tcp ! -tcp-flags SYN,RST,ACK,SYN -m state -state NEW -j DROP

 

#Proteção contra IP Spoofing

iptables -A INPUT -s $LAN -i $ifaceExt -j DROP

for i in /proc/sys/net/ipv4/conf/*/rp_filter; do

echo "1" > $i

done

 

#Bloqueia tudo que não foi especificado acima:

iptables -A INPUT -p tcp -syn -j DROP

 

Infunix
(usa openSUSE)

Enviado em 31/01/2012 - 23:58h

Agradeço sua ajuda, mas tentei procurar algo para entender sobre as regras que tu me passou, mas não entendi nada sobre esse firewall, é complicado demais.
Tu conhece e poderia me indicar alguma distro com o firewall pré configurado que bloqueie todo compartilhamento por acesso remoto e algumas outras regras que diminuam as chances de invasão?

Muito obrigado.

JJSantos
(usa Gentoo)

Enviado em 01/02/2012 - 01:05h

R: Se for Debian Like:

# apt-get install firestarter

saitam
(usa Slackware)

Enviado em 01/02/2012 - 08:04h

Tem uma distro customizada para Firewall,Proxy e alguns serviços adicionais - Endian Firewall
Instalação simples e configuração pela interface web.

http://www.endian.com/en/community/

http://www.vivaolinux.com.br/artigo/Endian-Firewall-Solucao-completa-para-um-servidor-de-internet/

Infunix
(usa openSUSE)

Enviado em 10/02/2012 - 21:09h

Estou lendo e pesquisando sobre essa ditro.
Muito obrigado pela dica Saitam.