Dúvida simples com firewall

Question

Boa Tarde,

Estou com uma d&uacute;vida em uma configura&ccedil;&atilde;o de um firewall que estou fazendo em um computador de casa. O cen&aacute;rio &eacute; o seguinte:

Eu tenho um t&uacute;nel para um computador remoto na minha porta local 3724 (fiz utilizando o ssh, &eacute; um tunnel local).

Eu gostaria que somente as conex&otilde;es atrav&eacute;s dessa porta pudessem ser utilizadas, colocando as pol&iacute;ticas do INPUT e OUTPUT como drop.

A minha conex&atilde;o &eacute; ADSL (ppp0).

O firewall que configurei &eacute; esse:

# Setando as regras padr&otilde;es para as tabelas
iptables -P INPUT DROP
iptables -P OUTPUT DROP

echo Setting iptables INPUT rules........... [OK]

#Regras de Seguran&ccedil;a e configura&ccedil;&atilde;o

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP

#Regras de entrada e interfaces locais

iptables -A INPUT -i lo -p ALL -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --syn -j REJECT
iptables -A INPUT -p udp --dport 0:1023 -j REJECT

#echo Setting iptables  OUTPUT rules........... [OK]
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -p tcp --sport 0:65535 --dport 3724 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 2220 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

Perguntas:

1) Para poder usar o DROP na pol&iacute;tica do INPUT o &uacute;nico jeito que consegui foi fazer:

iptables -A INPUT -i ppp0 -m state --state ESTABLISHED -j ACCEPT

Mas tenho impress&atilde;o que torna a entrada do firewall uma peneira ... Estou Certo?

2) Caso o firewall esteja uma peneira por conta disso como devo fazer para que o computador continue a navegar, utilizar dns ,etc utilizando a pol&iacute;tica DROP para o INPUT?

Desde j&aacute; agrade&ccedil;o a aten&ccedil;&atilde;o de todos!

Answer

[quote=arthas_dk, post: 5206446]Perguntas:

1) Para poder usar o DROP na pol&iacute;tica do INPUT o &uacute;nico jeito que consegui foi fazer:

iptables -A INPUT -i ppp0 -m state --state ESTABLISHED -j ACCEPT

Mas tenho impress&atilde;o que torna a entrada do firewall uma peneira ... Estou Certo?

2) Caso o firewall esteja uma peneira por conta disso como devo fazer para que o computador continue a navegar, utilizar dns ,etc utilizando a pol&iacute;tica DROP para o INPUT?

Desde j&aacute; agrade&ccedil;o a aten&ccedil;&atilde;o de todos![/quote]

mano, apesar de gostar muito de linux, especialmente do iptables estou  ainda iniciando na &aacute;rea, mas tava avaliando seu script, n&atilde;o pude testar  que estou sem meu note, mas me interessei, vc pode me explicar como  seria uma peneira?:nao_sei:
e sobre a navega&ccedil;&atilde;o, creio para que haja navega&ccedil;&atilde;o vc tem que deixar uns  portas de INPUT aberta, tais como a tcp->21(FTP, se for usar), tcp  e udp->53(DNS),tcp->80(HTTP), tcp->443(HTTPS) e portas altas  udp que s&atilde;o utilizadas para resposta de DNS.
isso se tratanto apenas somente de navega&ccedil;&atilde;o.

Realmente espero ter ajudado, qualquer coisa posta ai

Answer

Eu aconselho vc colocar uma linha iptables -P FORWARD DROP tamb&eacute;m pois n&atilde;o vi em seu script.

E para abrir entrada somente pelo tunel que vc criou, acredito que seja assim:

iptables -A INPUT -p tcp --dport 3724 -j ACCEPT

E caso esse fw seja uma m&aacute;quina separada por onde os acessos passar&atilde;o por ele para chegar em outra m&aacute;quina, insira a linha abaixo tamb&eacute;m.

iptables -A FORWARD -p tcp --dport 3724 -j ACCEPT

Coloquei no link abaixo, um scritp bem b&aacute;sico de iptables mas que pode te ajudar.

http://mshonorato.t35.com/iptables-basico.php

Answer

Eu tenho um t&uacute;nel para um computador remoto na minha porta local 3724 (fiz utilizando o ssh, &eacute; um tunnel local).

Eu gostaria que somente as conex&otilde;es atrav&eacute;s dessa porta pudessem ser utilizadas, colocando as pol&iacute;ticas do INPUT e OUTPUT como drop.

O t&uacute;nel passa por uma interface especial (tun0 ou tap0). Use essa interface para filtrar os pacotes que podem entrar ou sair.

PS: N&atilde;o bloqueie os pacotes que entram ou saem pela interface loopback, ou seu sistema vai ficar irritantemente lento.

Answer

Jqueiroz,

Quando voc&ecirc; fala pra utilizar tun ou tap vc est&aacute; se referindo a um bridge?

Answer

N&atilde;o, estou dizendo que se vc cria uma VPN, ela &eacute; criada em torno de uma dessas interfaces (p.ex. tun0).

Se bem que, relendo agora, vc est&aacute; usando o SSH, ele n&atilde;o cria um t&uacute;nel, e sim um redirecionamento.

Sendo um redirecionamento SSH, ele redireciona uma porta do localhost, ent&atilde;o vc poderia bloquear as interfaces ethX, pra todas as portas, exceto aquelas que vc est&aacute; usando pra conex&atilde;o SSH original.

Answer

Acredito que eu tenha entendido hehe

Vou testar home quando chegar em casa e dou um retorno.

Mas j&aacute; vou agredecendo a aten&ccedil;&atilde;o dispensada.

Ferramentas

Mover Tópico