1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

firewall do Fedora Core

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por mafas, 15 de Fevereiro de 2004. (Respostas: 11; Visualizações: 838)

  1. mafas

    mafas Power Member

    Instalei o Fedora Core e activei a firewall que já vem incluída. Nem sei o nome (será ip tables?)

    O problema é que não sei como se configura e queria fazer algumas alterações ao ICMP.

    Obrigado.
     
  2. Tafinho

    Tafinho Power Member


    Sim, chama-se IPTables...

    Mas mais especificamente o que queres fazer com o ICMP....?
     
  3. mafas

    mafas Power Member

    Queria adicionar regras para:

    permitir ICMP 0,8 saída
    permitir ICMP 0,3,11 entrada
    bloquear os outros casos
     
  4. Tafinho

    Tafinho Power Member

    iptables -A OUTPUT -i eth0 -p icmp DROP
    iptables -A OUTPUT -i eth0 -p icmp -icmp-type 8 -j ACCEPT
    iptables -A OUTPUT -i eth0 -p icmp -icmp-type 0 -j ACCEPT
    iptables -A INPUT -i eth0 -p icmp DROP
    iptables -A INPUT -i eth0 -p icmp -icmp-type 0 -j ACCEPT
    iptables -A INPUT -i eth0 -p icmp -icmp-type 3 -j ACCEPT
    iptables -A INPUT -i eth0 -p icmp -icmp-type 11 -j ACCEPT


    Se não me engano, é raro mexer nas IPtables...
     
  5. mafas

    mafas Power Member

    Tentei a 1ª linha mas deu um erro:

    [[email protected] iptables]# iptables -A OUTPUT -i eth0 -p icmp DROP
    Bad argument `DROP'


    Pela ajuda também não me oriento. Existe alguma GUI para isto?

    ------------------------------------------------------------------------
    iptables v1.2.9

    Usage: iptables -[AD] chain rule-specification [options]
    iptables -[RI] chain rulenum rule-specification [options]
    iptables -D chain rulenum [options]
    iptables -[LFZ] [chain] [options]
    iptables -[NX] chain
    iptables -E old-chain-name new-chain-name
    iptables -P chain target [options]
    iptables -h (print this help information)

    Commands:
    Either long or short options are allowed.
    --append -A chain Append to chain
    --delete -D chain Delete matching rule from chain
    --delete -D chain rulenum
    Delete rule rulenum (1 = first) from chain
    --insert -I chain [rulenum]
    Insert in chain as rulenum (default 1=first)
    --replace -R chain rulenum
    Replace rule rulenum (1 = first) in chain
    --list -L [chain] List the rules in a chain or all chains
    --flush -F [chain] Delete all rules in chain or all chains
    --zero -Z [chain] Zero counters in chain or all chains
    --new -N chain Create a new user-defined chain
    --delete-chain
    -X [chain] Delete a user-defined chain
    --policy -P chain target
    Change policy on chain to target
    --rename-chain
    -E old-chain new-chain
    Change chain name, (moving any references)
    Options:
    --proto -p [!] proto protocol: by number or name, eg. `tcp'
    --source -s [!] address[/mask]
    source specification
    --destination -d [!] address[/mask]
    destination specification
    --in-interface -i [!] input name[+]
    network interface name ([+] for wildcard)
    --jump -j target
    target for rule (may load target extension)
    --match -m match
    extended match (may load extension)
    --numeric -n numeric output of addresses and ports
    --out-interface -o [!] output name[+]
    network interface name ([+] for wildcard)
    --table -t table table to manipulate (default: `filter')
    --verbose -v verbose mode
    --line-numbers print line numbers when listing
    --exact -x expand numbers (display exact values)
    [!] --fragment -f match second or further fragments only
    --modprobe=<command> try to insert modules using this command
    --set-counters PKTS BYTES set the counter during insert/append
    [!] --version -V print package version.
     
  6. Tafinho

    Tafinho Power Member

    Claro, erro estúpido.

    iptables -A OUTPUT -i eth0 -p icmp -j DROP
    iptables -A OUTPUT -i eth0 -p icmp -icmp-type 8 -j ACCEPT
    iptables -A OUTPUT -i eth0 -p icmp -icmp-type 0 -j ACCEPT
    iptables -A INPUT -i eth0 -p icmp -j DROP
    iptables -A INPUT -i eth0 -p icmp -icmp-type 0 -j ACCEPT
    iptables -A INPUT -i eth0 -p icmp -icmp-type 3 -j ACCEPT
    iptables -A INPUT -i eth0 -p icmp -icmp-type 11 -j ACCEPT



    tenta agora.
     
  7. mafas

    mafas Power Member

    Obrigado pelas informações, mas acabei por instalar o Firestarter (http://firestarter.sourceforge.net/)

    Já agora, dos seguinte pacotes ICMP é preciso deixar algum "não filtrado". Activei o filtro para todos e até agora isto funciona bem.
    Echo
    Traceroute
    Traceroute MS
    Inacessível
    Indicação Data
    Mascarar Endereço
    Redireccionamento
    Extinção Origem
     
  8. Tafinho

    Tafinho Power Member

    Eu não percebo pq queres filtrar o ICMP... por isso...
     
  9. mafas

    mafas Power Member

    É para não responder aos "ICMP Echo Requests".

    Mas realmente é mais por mania...
    Gostei do Firestarter, é muito simples e funciona bem.
     
  10. Tafinho

    Tafinho Power Member


    Não te vale de nada...
     
  11. WarLock

    WarLock Power Member

    ajuda a primeira vista a parecer um bocadito mais invisivel, pois se te pingarem nao respondes..

    mas de qualquer maneira se originas trafego e porque existes, e os teus destinatarios sabem automaticamente da tua existencia...

    e claro que um portscan vai ai bater-te na maquina na mesma....


    eu nas minhas walls antigamente so deixava entrar echo reply para poder "pingar" para fora mas ja nao ligo muito a isso, tenho deixado o icmp trabalhar ate porque ele e importante para negociar mtu's etc, os acessos adsl com as packets todas fragmentadas por vezes tem stress's com sites que nao aceitem icmp...
     
  12. Tafinho

    Tafinho Power Member


    man tcptraceroute
     

Partilhar esta Página