[10/10]
:. Resumo do dia [10/10] :. UAC será menos irritante e mais eficaz no Windows 7 [10/10] :. Empresa japonesa lança curiosa tela LCD secundária [10/10] :. Primeira chamada de celular completará 25 anos [10/10] :. Depois de 10 anos, Apple consegue patente do Dock [10/10] :. Quiz sobre DSL [10/10] :. Wikimedia migrará seus servidores para Ubuntu [10/10] :. Lançado kernel Linux 2.6.27 [09/10] :. Resumo do dia [09/10] :. Asus Eee PC touchscreen e dual-core em 2009 [09/10] :. Ericsson desenvolve torre de transmissão movida a vento [09/10] :. Lançado Mandriva 2009 final [08/10] :. Open Hack Day no Brasil, inscrições para evento do Yahoo! [08/10] :. NVIDIA lança revisão 177.80 dos drivers para Linux [08/10] :. Mozilla introduz o Geode, extensão de geolocalização :. Mais noticias » |
Todo administrador de rede que se prese, tem um bom firewall implementado no seu servidor não é?? Bem espero que sim, mas se não tiver aqui vai o exemplo de um simples e bom firewall!
Vou começar explicando algumas regras que deverão ser seguidas na configuração do seu firewall. Quando começar a colocar as regras deverá começar pelas regras que habilitam as conexões por você desejadas, e por final bloquear as conexões indesejáveis. ACCEPT, REJECT e DROP - Quando colocar um, e quando colocar o outro? Você colocará ACCEPT quando quiser aceitar a conexão. REJECT quando quiser rejeitar a conexão, e DROP você estará rejeitando a conexão, porém quem estiver tentando conectar a sua máquina não receberá nenhum aviso do tipo:
Em seguida eu coloquei um modelo de um firewall no qual você poderá escolher as regras que mais se adaptam com o que você precisa. As opções por você escolhidas deverão ser retiradas este sinal #, e definindo as mesmas com os parâmetros (ACCEPT;DROP;REJECT) Compartilhamento via modem ou ADSL:. Para compartilhar a conexão do modem com a rede local: #modprobe iptable_nat Para compartilhar uma conexão via ADSL ou cabo instalada na eth0: #modprobe iptable_nat Habilitando LocalHost: #iptables -A INPUT -p tcp --syn -s 127.0.0.1 -j ACCEPT Habilitando conexões vindas da rede local (usando a seguinte faixa de IP e máscara de rede): #iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT Habilitando outras conexões na seguinte porta do micro: (adicionei estas linhas como exemplo para habilitar outras conexões). #iptables -A INPUT -p tcp --destination-port XXX -j ACCEPT Bloqueando conexão via SSh: #iptables -A INPUT -p tcp --destination-port 22 -j DROP Evitando scans do tipo "porta origem=porta destino": #$IPT -A INPUT -p tcp --sport $i --dport $i -j DROP Bloqueando AIM: #$IPT -A FORWARD -d login.oscar.aol.com -j REJECT Bloqueando ICQ: #$IPT -A FORWARD -p TCP --dport 5190 -j REJECT Bloqueando MSN: #$IPT -A FORWARD -p TCP --dport 1863 -j REJECT Bloqueando Yahoo Messenger: #$IPT -A FORWARD -d cs.yahoo.com -j REJECT Bloqueando os -:P2P:- (se você deseja utilizar um desses softwares, apenas retire o comentário #, e substitua a condição de: REJECT, para ACCEPT). Bittorrent: #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6881:6889 -j DNAT --to-dest 192.168.0.2 iMesh: #$IPT -A FORWARD -d 216.35.208.0/24 -j REJECT BearShare: #$IPT -A FORWARD -p TCP --dport 6346 -j REJECT ToadNode: #$IPT -A FORWARD -p TCP --dport 6346 -j REJECT WinMX: #$IPT -A FORWARD -d 209.61.186.0/24 -j REJECT Napigator: #$IPT -A FORWARD -d 209.25.178.0/24 -j REJECT Morpheus: #$IPT -A FORWARD -d 206.142.53.0/24 -j REJECT KaZaA: #$IPT -A FORWARD -d 213.248.112.0/24 -j REJECT Limewire: #$IPT -A FORWARD -p TCP --dport 6346 -j REJECT Audiogalaxy: #$IPT -A FORWARD -d 64.245.58.0/23 -j REJECT Mais uma linha interessante de se adicionar, que protege contra pacotes danificados (usados em ataques DoS por exemplo) é: #iptables -A FORWARD -m unclean -j DROP Bloqueando conexões vindas em qualquer porta tcp do seu micro: #iptables -A INPUT -p tcp --syn -j DROP Se você quiser que o PC também não responda a pings, adicione a seguinte linha: #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all Agora chegou a vez das portas UDP (para jogar Unreal Tournament na NET, apenas retire o comentário #:). #iptables -t nat -A PREROUTING -i eth0 -p udp --dport 7777:7779 -j DNAT --to-dest 192.168.0.2 Bloqueando parte das portas udp: #iptables -A INPUT -i ppp0 -p udp --dport 0:30000 -j DROP Com esse exemplo de firewall que fiz, você poderá copia-lo e salva-lo dentro de um arquivo de texto. Exemplo: /usr/local/bin/firewall. Em seguida, dê permissão de execução para esse arquivo digitando (chmod +x /usr/local/bin/firewall) e com essa "receitinha de bolo", você acaba de criar um shell script, que poderá ser chamado por você a qualquer momento. Apenas digitando num terminal: firewall. E para facilitar ainda mais a sua vida aqui vai uma dica: Coloque uma copia desse arquivo em um dos diretórios de inicialização do sistema como: /etc/init.d/. Pronto agora toda vez que você reinicializar a sua máquina, o seu firewall será iniciado junto com o sistema. Se quiser "limpar as regras estabelecidas por você no firewall, digite no terminal: iptable -F Bem agora com este firewall garanto pra você que a banda da sua rede ficará bem melhor não tendo os chamados "P2P come- banda". Fazendo com que aquele funcionário da sua empresa que vivia matando a rede com os seus downloads no KazaA, agora passe a trabalhar mais. Sabe estou até com idéia de escrever sobre motivação no trabalho, no qual o título do tema seria: Como aumentar o rendimento dos seus funcionários!!
|
|||||
