Duvida sobre Sarg [RESOLVIDO]

andrecanhadas
(usa Debian)

Enviado em 11/02/2013 - 12:29h

Se quiser um firewall que tenha mais controle do que é acessado:

http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel/

rtbarreto
(usa Ubuntu)

Enviado em 11/02/2013 - 14:10h

Andre, testei o firewall que você me passo, algumas coisas não funcionam.
quando coloco a linha

## Definindo politica padrão (Nega entrada e Forward permite saida)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

a net para de funcionar

andrecanhadas
(usa Debian)

Enviado em 11/02/2013 - 14:31h

esta usando proxy transparente?

Se sim mude:
iptables -P FORWARD DROP
para:
iptables -P FORWARD ACCEPT

rtbarreto
(usa Ubuntu)

Enviado em 11/02/2013 - 14:38h

BELEZA, na ultima linha tinha que trocar tambem

# DROP

iptables -A INPUT -i eth1 -j DROP
iptables -A FORWARD -j DROP

POR

# DROP

iptables -A INPUT -i eth1 -j DROP
iptables -A FORWARD -j ACCEPT

rtbarreto
(usa Ubuntu)

Enviado em 11/02/2013 - 14:39h

Então Andre, você acha que com esse novas regras no firewall essa questão de aparecer ips estranhos no meu relatorio do sarg, vai acabar ?

andrecanhadas
(usa Debian)

Enviado em 11/02/2013 - 14:41h

Sim ja vi isso algumas vezes .... pode remover aquela ultima linha Forward drop

Sua internet deve estar lenta devido a esse uso externo

rtbarreto
(usa Ubuntu)

Enviado em 11/02/2013 - 14:47h

Desculpa não entendi, então cara minha rede nem estava lenta tava normal. o que me preocupou foram esses ips estranhos, pois a alguns dias tive um problema com o bando do itau que bloqueou o meu acesso a conta dizendo que meu ip podia estar sendo usando por outra pessoa.
com essa novas regras vou monitorar para ver o que acontece daqui pra frente. você tem mais alguma dica sobre a segurança ?

andrecanhadas
(usa Debian)

Enviado em 11/02/2013 - 14:52h

Aquele tutorial que passei ensina como deixar seu firewall + proxy bem seguro mas não serve para proxy transparente a melhor coisa mesmo é usar proxy autenticado, com as regras que passei deve para de aparecer esses IPs estranhos no sarg pois os mesmos não vão conseguir acessar de fora.

Vejamos se tudo esta Ok poste a saida de :

iptables -L

 

andrecanhadas
(usa Debian)

Enviado em 11/02/2013 - 14:58h

Segue um script que usava para proxy transparente:

http://www.andrecanhadas.com.br/?p=351

Tem algumas proteções contra alguns tipos de ataques

Outra dica util se deixa algum serviço como ssh ftp com portas abertas externamente entre outros na sua rede local:
http://www.vivaolinux.com.br/artigo/Protecao-utilizando-fail2ban-contra-ataques-do-tipo

rtbarreto
(usa Ubuntu)

Enviado em 11/02/2013 - 14:59h

Ok, vou estudar mais sobre o assunto pra poder ajudar o pessoal como você esta me ajudando.
segue o resultado do comando

root@Firewall3:~# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere multiport dports 8 2,3550,3650,4550,5550,6550
ACCEPT tcp -- anywhere anywhere multiport dports 8 1,3551,4551,5551,6551,9823,3389
ACCEPT all -- 192.168.0.0/16 anywhere
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:81
ACCEPT tcp -- anywhere anywhere tcp dpt:3551
ACCEPT tcp -- anywhere anywhere tcp dpt:4551
ACCEPT tcp -- anywhere anywhere tcp dpt:5551
ACCEPT tcp -- anywhere anywhere tcp dpt:6551
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:82
ACCEPT tcp -- anywhere anywhere tcp dpt:3550
ACCEPT tcp -- anywhere anywhere tcp dpt:3650
ACCEPT tcp -- anywhere anywhere tcp dpt:4550
ACCEPT tcp -- anywhere anywhere tcp dpt:5550
ACCEPT tcp -- anywhere anywhere tcp dpt:6550
ACCEPT tcp -- anywhere anywhere tcp dpt:3389
ACCEPT tcp -- anywhere anywhere tcp dpt:9823
ACCEPT tcp -- anywhere anywhere tcp dpt:81
ACCEPT tcp -- anywhere anywhere tcp dpt:3551
ACCEPT tcp -- anywhere anywhere tcp dpt:4551
ACCEPT tcp -- anywhere anywhere tcp dpt:5551
ACCEPT tcp -- anywhere anywhere tcp dpt:6551
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:82
ACCEPT tcp -- anywhere anywhere tcp dpt:3550
ACCEPT tcp -- anywhere anywhere tcp dpt:3650
ACCEPT tcp -- anywhere anywhere tcp dpt:4550
ACCEPT tcp -- anywhere anywhere tcp dpt:5550
ACCEPT tcp -- anywhere anywhere tcp dpt:6550
ACCEPT tcp -- anywhere anywhere tcp dpt:3389
ACCEPT tcp -- anywhere anywhere tcp dpt:9823
ACCEPT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

rtbarreto
(usa Ubuntu)

Enviado em 11/02/2013 - 15:04h

O resultado do comando iptables -L está normal ?

andrecanhadas
(usa Debian)

Enviado em 11/02/2013 - 15:07h

Sim esta ok:
Esta aceitando acesso externo as portas que definiu
ACCEPT tcp -- anywhere anywhere multiport dports 8 2,3550,3650,4550,5550,6550
ACCEPT tcp -- anywhere anywhere multiport dports 8 1,3551,4551,5551,6551,9823,3389
# Esta aceitando input da sua rede local
ACCEPT all -- 192.168.0.0/16 anywhere
# esta aceitando conexoes abertas por seus usuários da redee local como retrono de FTP entre outros
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
# Esta fechado o resto das portas
DROP all -- anywhere anywhere

Sim tudo Ok pode remover as regras:
# FORWARD
iptables -A FORWARD -p tcp --dport 81 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3551 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4551 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5551 -j ACCEPT
iptables -A FORWARD -p tcp --dport 6551 -j ACCEPT

iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 82 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3550 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3650 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4550 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5550 -j ACCEPT
iptables -A FORWARD -p tcp --dport 6550 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -p tcp --dport 9823 -j ACCEPT


Pois como deixou o forward em accept não precisa delas veja:

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:81

>>>>..........................
# aceita forward para qualquer porta
ACCEPT all -- anywhere anywhere