Liberação de portas

hunter2800aa
(usa Debian)

Enviado em 18/10/2024 - 15:09h

Boa tarde galera...

Vejo muito firewalls iptables configurados com uma das regras de inicio como :

iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP

Isso não deixaria um servidor de iptables/squid mais vulnerável?
Ou eh muito importante ter essas regras para navegações entre outras liberações?

eduardo
(usa Linux Mint)

Enviado em 18/10/2024 - 15:31h

Sim, o ideal seria ter política padrão do INPUT como DROP também e liberar apenas o necessário.
No caso, um servidor proxy squid, você precisaria liberar no INPUT apenas a porta do proxy (3128/TCP) e SSH (caso necessário).
Se o servidor for a borda, você precisará liberar outros serviços no FORWARD (DNS, e-mails etc.), pois eles não passam pelo proxy. Se for apenas um servidor proxy interno, FORWARD nem será necessário.

hunter2800aa
(usa Debian)

Enviado em 18/10/2024 - 15:47h

Muito obrigado por responder Eduardo!!!

Teria como eu saber as portas q estão sendo usadas no momento?

Tipo....deixaria um log pra ver as portas do INPUT durante um dia e depois abriria apenas elas!!! É possivel fazer algo assim?

eduardo
(usa Linux Mint)

Enviado em 18/10/2024 - 15:58h

Você pode monitorar utilizando o tcpdump, mas não é bem assim que você liberar o INPUT. A chain INPUT refere-se aos pacotes direcionados ao seu servidor. Sendo assim, você deve liberar apenas as portas que ele "escuta". Ou seja, se o seu squid está rodando na porta 3128, você vai liberar ela. Se você quer acessar via ssh esse servidor, você vai liberar a porta 22 (ou porta do ssh)Se você tem um serviço http rodando, vai liberar as portas dele.
Em outras palavras, se você só tem o proxy squid, só essas regras de INPUT são necessárias:
iptables -P INPUT DROP
iptables -j ACCEPT -m state --state RELATED,ESTABLISHED -m comment --comment "Libera conexoes relatadas e estabelecidas"
iptables -j ACCEPT -p tcp --dport 3128 --syn -m comment --comment "Proxy Squid"
iptbales -j ACCEPT -p tcp --dport 3129 --syn -m comment --comment "Proxy Squid - proxy transparente"

hunter2800aa
(usa Debian)

Enviado em 18/10/2024 - 16:02h

Blz...vou testar!!!


Muito obrigado!!!

hunter2800aa
(usa Debian)

Enviado em 21/10/2024 - 09:47h

Mais uma duvida galera!!!

Se eu colocar as linhas abaixo no inicio do Firewall...e um funcionario na minha rede for acessar algo em qquer porta vai bloquear o retorno ou aceita de boas?
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT

Exemplo: Se conectar no meeting / navegar (porta 80 e 443) / escutar Spotify / etc

eduardo
(usa Linux Mint)

Enviado em 21/10/2024 - 09:54h

O -P é a política padrão. A política padrão é a política que será aplicada se não entrar em nenhuma regra (indiferente da posição).

No seu exemplo, nenhuma dessas conexões vai ser aplicada no INPUT. Se o destino for o seu firewall utilizando o proxy (usuário está com o proxy marcado), a porta de destino será a do proxy e o proxy vai tratar os acessos. Ou seja, a conexão vai chegar com destino porta 3128 (ou porta do seu Squid) e o proxy vai fazer o acesso ao Spotify, por exemplo. Se o usuário estiver com o proxy desmarcado, o destino do pacote não será o firewall, mas o servidor do Spotify, por exemplo, nesse caso não vai entrar nas regras de INPUT, mas de FORWARD (isso se esse firewall for o gateway da rede).

hunter2800aa
(usa Debian)

Enviado em 21/10/2024 - 10:50h

Metade da minha rede esta fora do proxy....
por isso q preciso desse bloqueio de portas...

Entao usando dessa forma q postei acima, apenas as portas q forem com origem da minha rede será aceita? Seria isso msm?

eduardo
(usa Linux Mint)

Enviado em 21/10/2024 - 11:01h

Para acessos de dentro da rede com destino Internet sem utilizar proxy as chains INPUT e OUTPUT não serão analisadas. INPUT é só quando o firewall é destino. OUTPUT é só quando a origem é o firewall.
Nesse caso, vai passar pela FORWARD (novamente, considerando que esse firewall é o gateway da rede). Com política padrão DROP na FORWARD, será necessário liberar todas as portas e destinos necessário para acesso sem proxy. Exemplo de regras:

iptables -P FORWARD -j DROP #politica padrao
iptables -A FORWARD -j ACCEPT -m state --state RELATED,ESTABLISHED #libera conexoes relatadas ou estabelecidas, para nao precisar liberar a -ida- e a -volta-
iptables -A FORWARD -j ACCEPT -s 192.168.0.10 -p tcp -m multiport --dports 80,443 --syn #libera http e https para uma origem especifica
iptables -A FORWARD -j ACCEPT -s 192.168.0.0/24 -d vivaolinux.com.br -p tcp --syn #libera um destino para a rede

Você vai precisar colocar todas as regras necessárias. Liberando 80 e 443 já libera o acesso à maioria dos sites. Para Google Meet e outros serviços, será necessário monitorar o acesso, pois alguns utilizam portas diferentes e até comunicação por UDP.

hunter2800aa
(usa Debian)

Enviado em 23/10/2024 - 14:10h

Muito obrigado pela resposta Eduardo....vou testar no fds quando não tiver ninguem na firma!!!

Vlw!!!