melphos
(usa Debian)
Enviado em 27/07/2007 - 10:16h
>olá,
Olá !!!
>qual o comando para abrir uma porta do firewall
(a minha instalação é a básica...)
Então, agora eu lhe pergunto, você quer abrir uma porta no firewall, ou para a sua rede interna acessar ?
Independente, você precisa entender o ocnceito de portas, CHAIN's, tabelas e como cada uma trabalha. O amigo acima perguntou qual o firewall. Creio que seja iptables, é o firewall padrão de todas as distribuições. :-)
Mas basicamente, você precisa saber onde quer abrir, se o protocolo é UDP, TCP, etc ...
Vamos lá:
Abrir a porta 22 do seu firewall (INPUT) a que as pessoas da "internet" acessem livremente.
Algumas observações, apenas ilustrativas, adapte para a sua realidade.
- Interface da rede externa(internet): eth0
- Regra padrão: DROP(INPUT)
Regra:
iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
Explicação:
Adicione ao final da CHAIN INPUT (-A INPUT) na tabela filter(neste caso não precisamos especificar a tabela, porque o iptables pega como padrão a tabela "filter", quando não se especifica tabela), que venha do protocolo TCP, com sua interface de origem "eth0", e destinado a porta 22 e deixe a pacote passar.
Regra:
iptables -I INPUT -p tcp -m state ESTABLISHED, RELATED -j ACCEPT
Explicação:
Adicione no "início" da CHAIN INPUT (-I INPUT), da tabela filter, o que vier sendo do protocolo tcp, verifique se está conexão está ESTABILIZADA ou RELATADA na tabela de conexões "handshake", ou seja, quando uma conexão é estabilizada, é quando enviamos um pacote com a falg syn setada ao host de destino, que responde com syn+ack, e você envia um ack novamente, a partir dai a conexão está ESTABELECIDA!!! Isso se chame Three-way handshake.
Mas para que isso ?
Hummm ... seguinte, quando sua CHAIN está setada com a regra padrão sendo DROP, mesmo você liberando a porta 22, as conexões estarão sendo dropadas por não estarem na tabela dinâmica de handshake, por isso deve-se setar conexões estabilizadas e relatadas para poder liberar está "trânsição".
>alguma recomendação para gerenciador gráfico para firewall??
Sim, sim. Tem o fwbuider(http://www.fwbuilder.org/), um bom artigo (http://www.vivaolinux.com.br/dicas/impressora.php?codigo=830), muito bom para quem está acostumado com CheckPoint.
>valeu,
Não por isso !!!
>hideo
abraços,
Ivan Santos