Mostrando postagens com marcador Firewall. Mostrar todas as postagens
Mostrando postagens com marcador Firewall. Mostrar todas as postagens

28 maio 2014

Alterando Endereço de IP (LAN) Roteador Coletek W-N2120 / W-M1101 / W-M1120 / DM2270 – OpenRG – Vivo Fibra

Caros Amigos,

Estou de volta!!!!
Bom, utilizando-se de uma ferramenta, o GOOGLE ANALYTICS. Uma excelente ferramenta…
Faço o uso desta ferramenta para que possa analisar a freqüência dos sites que administro e o meu próprio blog e site.
Exatamente procuro saber como as pessoas fazem as suas pesquisas nas ferramentas de buscas. Em determinado campo desta ferramenta existe as palavras chaves de como o usuário chegou ao meu BLOG ou SITE.
Percebi que este equipamento da VIVO Fibra e Vivo ADSL+2 (W-N2120, W-M1101 e W-M1120), e principalmente os equipamentos que detém o OpenRG como sistema operacional. Tem deixado muita gente de orelhas em PÉ…
Não utilizo o VIVO Fibra e ADSL, mas presto serviços a muitas empresas de necessitam de profissionais que conheçam este equipamentos. Então tenho que esmiuçar estes equipamentos. E com certeza, ajudar muitos outros administradores. E vamos que vamos….
Uma das maiores procuras são; COMO MUDAR O IP DA LAN (padrão 192.168.1.1)? COMO RESETAR O ROTEADOR?
Bom, vou deixar a primeira pergunta para responder e orientar logo abaixo. Vamos a segunda pergunta!
COMO RESETAR O ROTEADOR (W-N2120, W-M1100 e W-M1120)?
  • Resposta: Desligue o modem, pegue algo fino (palito de dente ou clips), introduza no botão reset atrás do modem desligado. Com o reset pressionado ligue o modem. Mantenha pressionado por 20 segundo e retire o objeto fino do reset. Aguarde a inicialização do modem. Ele encontra-se com o padrão de fabrica.
COMO MUDAR O IP DA LAN (padrão 192.168.1.1)??
  • Após alterar as configurações padrões de fabrica e abrir as configurações por completo (Caso não saiba como fazer, siga esta postagem). Vamos no browser de preferencia, digite o endereço padrão http://192.168.1.1/padrão, coloque o usuário e senha.
  • Após logar, clique em ADVANCED, CONFIGURAÇÕES DE SISTEMA, MANUTENÇÃO, CONFIGURATION FILE, FAZER DOWNLOAD DO ARQUIVO DE CONFIGURAÇÃO;
  • Abra o arquivo com seu editor padrão;
  • Localize o endereço IP da LAN (ex.: 192.168.1.1);**
  • Altere para o endereço de IP que desejar;
  • Salve o arquivo;
  • Com a pagina ainda aberta do roteador, clique em FAZER UPLOAD DE ARQUIVO DE CONFIGURAÇÃO, confirme o UPLOAD.
  • E o ROTEADOR irá reinicializar.
  • Pronto, seu roteador encontra-se alterado.
**Observação: Caso altere o segundo octeto ex.: 192.168.25.1. Não esqueça de alterar as outras linhas ou DHCP assim que reiniciar o roteador.
Veja o VIDEO abaixo;

Espero ter ajudado.
Continuem visitando e divulgando esta informações…. Sempre será útil em algum momento….

Um Abraço,

Jose Carlos Oliveira
Consultor Infraestrutura Sr

29 março 2014

Tutorial–Configurando Roteador DLINK DSL-2750b Vivo Fibra para IP DYNAMIC ou IP DINÂMICO (NET)


Caros Amigos Leitores,
Estamos aqui para demostrar como configurar mais um roteador da VIVO, para que funcione no IP DYNAMIC.
No meu cenário utilizo a NET, e esta empresa são precisa de usuário e senha para conexão de internet. Ela gerencia esta função por IP DYNAMIC.
O modem da net você consegue fazer esta forma em duas funções;
1º Configuração padrão. Após a instalação pelo técnico, quando você conecta ele te atribui seu IP via DHCP. E o ip fornecido é local, exemplo; 192.168.1.10
2º Mas para que eu não tenha que ficar liberando porta e outras funções, no meu cenário transformo o modem da NET em BRIDGE. O IP que ele atribui é um  IP válido de internet. O modem tem a função apenas de modular e não faz mais a função de roteador. Deixo tudo para os roteadores convencionais.
Bom, não vou entrar muito neste assunto. Logo vou preparar um TUTORIAL de como VOCÊS podem fazer esta configurações nos modem da NET.
Vamos lá para o assunto principal que é utilizar o roteador D-LINK DSL-2750b Vivo Fibra.
81761
1º Abra o seu navegar e digite a seguinte URL; http://192.168.1.1/padrao;
2º Digite o usuário e senha. Como padrão é o seguinte; Usuário: admin e Senha: são os quatros últimos dígitos do MAC do roteador, contido na etiqueta, localizada no fundo do roteador;
3º No menu ao lado esquerdo, clique em WAN SERVICE, do lado direito, clique na checkbox REMOVE e em seguida no botão REMOVE;
4º Clique no botão ADD, NEXT, IP OVER ETHERNET, NEXT, NEXT, verifique se as caixa de checkboxs está ticadas e NEXT e APPLY/SAVE;
5º Verifique que o PRIMARY DNS já é um IP Externo ou Ip Válido de Internet. O roteador já esta conectado.
Em alguns casos, é necessário desligar por 10 segundo o Modem da Net para que ele atribua um novo IP.

Pronto seu roteador OK… Basta apenas navegar….
Veja o vídeo

Continuem visitando, sugerindo e compartilhando este BLOG….
Obrigado a todos,
Jose Carlos Oliveira

20 fevereiro 2014

TUTORIAL - Abrindo configurações avançadas do Coletek W-M2120N–Vivo Fibra

Caros Amigos Leitores,
Após uma vasta procura na net e sem sucesso. Ou melhor, com algumas junções de informações. Consegui descobrir como alterar as configurações do roteador COLETEK W-M2120N. Suei e muito… kkkkk
Eu precisava deixar o ROTEADOR para atribuição de IP DINÂMICO. As configurações padrão deixava apenas a opção de PPPOE da VIVO.
Mas vamos lá. Hoje apenas vou explicar como ter toda a configuração do COLETEK W-M2120N com base OPENRG.
Veja as configurações originais…
browser_2
Bom vocês necessitaram dos seguinte programa para que possamos baixar os arquivos de configuração do roteador. O software é o TELNET2764.
Clique aqui para fazer DOWNLOAD
Feito o DOWNLOAD do arquivo, abra o TELNET. Conforme imagem abaixo;
TELNET2764
Por padrão a gateway rede é 192.168.1.1. Altere o endereço de ip pelo GATEWAY do seu roteador.
Eu poderia aqui, informar como descobrir o GATEWAY. Mas tem um detalhe, caso não tenha esta experiência com rede. Não aconselho continuar tal feito, pois é por sua conta e risco, caso venha danificar seu roteador.
O username é admin e a senha são os quatros últimos alfanumérico do MAC do roteador. Você irá encontrar esta informação no fundo do ROTEADOR ou na caixa onde ele encontrava-se acondicionado.
Clique em GET CONFIG. O TELNET2764 vai trazer as informações do modem. Muito cuidado com estas informações e como você deve altera-lá. Pois pode não deixar seu ROTEADOR voltar a funcionar.
Poderia explicar como funciona as ROLES de configuração. Mas gastaríamos muito tempo aqui. Deixa para um próximo post.
Encontre a ROLE USER, neste objeto esta a configuração do usuário. Quando você conectar na pagina do roteador, existe apenas um usuário, correto??? Mas não, como você vera no arquivo de configuração, existe mais alguns usuário. E além disso, existe a categoria. Por padrão da TELEFONICA ou VIVO como queriam, a categoria do usuário ADMIN esta como HOME, precisamos alterar ele para SUPER (todos os poderes).
Não se esqueça de clicar no checkbox UNLOCK CONFIG TO ALLOW MANUAL EDITING. Caso contrario, você não conseguirá editar o arquivo.
Localize o (username(admin)), logo abaixo tem um objeto chamado (rule(home)), Altere este campo para (role(super))
Alterado, clique em PUT CONFIG. Pronto seu arquivo já encontra-se alterado e enviado.
TELNET2764_4
Abra o browser de preferencia, conecte no seu roteador. Introduza usuário e senha. Verá agora que aumentarão os números de campos de configuração, edição de configurações no seu formato desejado.
browser
Caso necessite dar um RESET de FABRICA, o roteador voltará a ter as mesmas configurações anteriores.
Veja o VIDEO que preparei para as minhas configurações de IP DINAMICO.
http://youtube.com/sepjcarlos
Espero ter ajudado.
Um abraço e divulguem meu blog.
Jose Carlos Oliveira

19 fevereiro 2009

Iptables Firewall em modo Gráfico

Certamente o melhor Firewall é o Iptables... Caso você tenha dificuldades em criar as suas chains em modo texto, existem alguns firewalls em modo gráfico (baseados no iptables).

Lembre-se que o Linux possui na realidade um só firewall, que se chama Iptables e vem embutido no kernel desse sistema operacional. Então, os softwares que se apresentam como firewalls do Linux servem na realidade como programas de configuração automática do Iptables, isto é, dispensam a digitação de linhas de comando no Terminal.

Firestarter

O Firestarter é um firewall do Linux.

Usuários avançados, entretanto, digitam as regras no Terminal, com isso podem abrir e fechar as portas de Internet quando quiserem, ou deixar abertas apenas as portas desejadas. Isso é importante porque programas automáticos como o Firestarter deixam abertas portas "perigosas", como aquelas necessárias para baixar arquivos por FTP e P2P. Sem elas não se baixa um vídeo, por exemplo (via torrent), mas também se corre o risco de expor o computador a um hacker, que poderá se aproveitar delas para invadir o computador. O Firestarter é recomendado para usuários iniciantes, aqueles que ainda não sabem scrpits de regras.

Site para baixar o FireStarter: http://www.fs-security.com/

Firewall Builder

O Firewall Builder é uma ferramenta GUI para configuração de regras de firewall que usa uma camada de abstração independente do firewall para o qual ele gera as regras. Essa característica "guarda-chuva" faz com que todo o projeto das regras seja feito de acordo com esse "firewall abstrato" do fwbuilder, o que demanda alguns cuidados extras.

Para o Firewall Builder existem 3 tipos de regras:

=> NAT: regras de tradução de endereços (origem ou destino) ou serviços;

=> Política de intefaces: regras de filtro referentes a cada interface do firewall (para entrada ou saída);

=> Política geral: regras de filtro independentes de interface.

Tenha bem claro a diferença entre estes tipos de regras. Ter cuidado para fazer o filtro de pacotes sempre que necessário, lembrando que o NAT apenas troca informações do pacote, mas não autoriza nem rejeita nenhum pacote.

As regras são casadas na seguinte ordem: NAT, política de interfaces, política geral. O projeto do firewall é armazenado em um aquivo .xml e a partir dele o fwbuilder gera um script que define e carrega as regras no firewall desejado. Após a compilação das regras, o fwbuilder permite que o script gerado seja instalado no diretório /etc da máquina do firewall. Esse script deve ser executado na inicialização do sistema para que as regras sejam carregadas automaticamente.

Link para baixar a ferramenta: http://www.fwbuilder.org/

Shorewall

O Shorewall é uma ferramenta "front-end" de configuração do Iptables. Com ele é possível implementar um firewall ou gateway através de entradas em um conjunto de arquivos de configuração. O Shorewall lê estes arquivos e informa ao Iptables as regras a serem implementadas.

A vantagem da utilização do Shorewall é uma estrutura mais legível dos arquivos e regras do firewall e um número reduzido de linhas para implementação do código desejado. O Shorewall não é a ferramenta de configuração do Iptables mais amigável, mas oferece uma flexibilidade de configuração singular.

Uma ferramenta que não exije muitos conhecimentos técnicos, é o Firestarter (www.fs-security.com).

Baixe aquio shorewall: http://www.shorewall.net/

 

fonte: Clube do Hacker – www.clubedohacker.com.br

01 setembro 2008

IPTABLES - Implementado um firewall em apenas 10 minutos

Atualmente, vivemos em uma contínua guerra virtual, onde tentativas de invasão são frequentes não só em ambientes corporativos como também em ambientes domésticos. Assim, pretende-se mostrar aqui como se pode implementar um pequeno firewall pessoal como base no iptables, o filtro de pacotes instalado por padrão em todas as distribuições de GNU/Linux, com o intuito de aumentar a segurança das estações de trabalho de usuários domésticos. Para tanto, utilizar-se-á apenas a tabela filter do iptables, visto que para este caso as demais tabelas são desnecessárias.

Vale ressaltar que nessa dica não há uma rigidez na construção das regras para o firewall, visto que o que pode ser bom para um certo usuário pode não ser bom para outro.

Entretanto, a intenção aqui é procurar apresentar um conjunto comum de regras aplicáveis a todos, podendo posteriormente, de acordo com o usuário, ser realizado apenas algumas adaptações.

A dica baseia-se na distribuição Debian, porém, pode ser utilizada para todas as distribuições. Como requerimentos, caso ainda não estejam carregados, será necessário o acréscimo dos módulos do Kernel ip_tables e ipt_LOG

# modprobe ip_tables

# modprobe ipt_LOG

Verificando serviços instalados e portas abertas

================================================

O primeiro passo é verificar quais são os serviços que estão sendo executados na estação já que, em geral, de acordo com a instalação de uma dada distribuição, certos serviços já estarão rodando, tais como:

| **sshd** | Secure Shell Server, serviço de terminal remoto seguro. |

| **http** | Servidor web Apache |

| **rpcbind** | utilizado por alguns serviços de arquivos, como NFS. Seu uso deve ser evitado. |

Para tanto, pode-se fazer uso das ferramentas netstat ou nmap.

Tendo nmap instalado na máquina, pode-se executar o seguinte comando para identificar os serviços e portas abertas na estação: <Leia o post sobre NMAP>

# nmap -sS Nome_da_sua_Maquina ou Seu_endereco_IP

Starting Nmap 4.50 ( http://insecure.org ) at 2008-03-18 17:18 BRT

Interesting ports on Sua_Maquina (Seu endereco_IP):

Not shown: 1704 closed ports

PORT STATE SERVICE

22/tcp open ssh

80/tcp open http

111/tcp open rpcbind

113/tcp open auth

Nmap done: 1 IP address (1 host up) scanned in 0.671 seconds

Pela saída do comando, podemos observar que há na estação os serviços ssh, o servidor web Apache (http), o serviço rpcbind (Remote Procedure Call, Chamada Remota de Procedimentos), utilizado pelo NFS para montar uma unidade remotamente. Há, também, o serviço auth, que é utilizado para identificação e autorização, muito freqüentemente usado por servidores de notícias, IRC (Internet Relay Chat) ou Correio.

Todos esse serviços da estação estão abertos a conexões provenientes de outras máquinas e, em geral, não se necessita disponibilizá-los, exceto feita ao

o serviço ssh, que poderá ser necessário para se conectar a partir de uma outra máquina e que se costuma liberar apenas se esta tiver um endereço IP fixo.

Assim, é necessário apenas escolher quais serviços se deseja disponiblizar o acesso externo. Para esta dica foi escolhido o seguinte esquema de filtragem:

- Acesso total a estação localmente. Ou seja, todos os serviços devem estar disponíveis para o localhost ou endereço IP 127.0.0.1.

- Tentativas de conexão originadas de uma máquina remota para os serviços rcpbind, http e auth devem ser bloqueadas.

- Permitir acesso por meio do protocolo udp apenas para servidores DNS.

- Permitir a acesso ssh apenas a apartir de certos endereços específicos, por exemplo, 192.168.0.10.

- Conexões estabelecidas e já relacionadas a algum conexão devem ser autorizadas.

Nota: Convém comentar (para os leitores iniciantes) sobre os termos new, established e related, relacionados ao protocolo TCP. TCP é um protocolo orientado a Conexão. Por Orientado a Conexão entende-se que todos os pacotes chegarão ao destino, sem qualquer perda de pacotes em trânsito. Caso um pacote seja perdido, há a retransmissão do mesmo. Essas propriedades são obtidas por meio de um conjunto de flags. As principais flags são SYN (SYNchronize, Sincronizar) e ACK (ACKnowledge, Confirmar). Por exemplo, quando se clica em um determinado link no navegador, seu computador envia um pacote SYN para o servidor remoto que hospeda o link. Esse processo é o ínicio de nova conexão, representado por NEW.

Quando o servidor recebe o pedido que tem a flag SYN, envia um aviso de confirmação de volta para a sua máquina, fixando a ele uma flag SYN-ACK . Podemos chamar essa etapa de "relacionamento" da conexão, representada por RELATED. Assim que a sua máquina recebe o pacote SYN-ACK, ela responde com um pacote ACK final, que informa a máquina remota que o pacote foi realmente recebido. Nesse momento, a conexão está estabelecida, o que se representa por ESTABLISHED.

Esse mecanismo é chamado de Three-Way-Handshake.

- Não permitir o ínicio de uma nova conexão (NEW) para a estação a partir de uma máquina remota, ou seja, conexões só devem ser iniciadas pela estação.

- Permitir todas as conexões originadas a partir estação.

- Restringir todas as demais conexões de entrada.

Construindo as Regras

=====================

Permitir a localhost acesso a tudo

iptables -A INPUT -s 127.0.0.1 -j ACCEPT

iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT

Permitir todas conexões tcp estabelecidas e já relacionadas a alguma conexão para a máquina

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

Permitir acesso pelo protocolo udp apenas para o servidor DNS, supondo que este seja 192.168.0.1

iptables -A INPUT -p udp -s 192.168.0.1 -j ACCEPT

Permitir acesso SSH apenas a partir do IP 192.168.0.10

iptables -A INPUT -p tcp -s $IP_LIBERADO --dport 22 -j ACCEPT

Permitir todas as conexões de saída a partir da máquina

iptables -A OUTPUT -j ACCEPT

Deste ponto em diante, colocar-se-á Regras de Negação.

Negar todas as novos conexões tcp a partir de máquinas remotas, registrando as tentativas.

iptables -A INPUT -p tcp -m state --state NEW -j LOG

iptables -A INPUT -p tcp -m state --state NEW -j DROP

Bloquear a porta 80 do servdior web Apache da máquina e, da mesma forma, também registrar as tentativas de conexão.

iptables -A INPUT -p tcp -s 0/0 --dport 80 -j LOG

iptables -A INPUT -p tcp -s 0/0 --dport 80 -j DROP

Nota: A regra LOG sempre deve anteceder a respectiva regra de filtragem.

Bloquear os demais acessos a SSH para a máquina, registrando tentativas.

iptables -A INPUT -p tcp -s 0/0 --dport 22 -j LOG

iptables -A INPUT -p tcp -s 0/0 --dport 22 -j DROP

Por fim, negar tudo que não se enquadrar em nenhuma das regras.

iptables -A INPUT -j DROP

iptables -A FORWARD -j DROP

Elaborando um script para automatizar o processo

================================================

Para automatizar, cria-se um arquivo em /etc/init.d/firewall com o seguinte contéudo:

#!/bin/sh

#

# Exemplo de script Firewall Pessoal para GNU/Linux 2.6.x e iptables

#

# por Jose' Messias Alves da Silva

#

#

LO_IFACE="lo"

LO_IP="127.0.0.1"

IP_LIBERADO="192.168.0.10"

DNS="192.168.0.1"

IPTABLES="/sbin/iptables"

case "$1" in

start)

echo -e 'Iniciando Firewall Pessoal..\n'

# Carregando os Modulos do Kernel

modprobe ip_tables

modprobe ipt_LOG

# LocalHost - Aceita todos os pacotes

$IPTABLES -A INPUT -s $LO_IP -j ACCEPT

$IPTABLES -A OUTPUT -s $LO_IP -j ACCEPT

$IPTABLES -A OUTPUT -j ACCEPT

$IPTABLES -A INPUT -p udp -s $DNS -j ACCEPT

$IPTABLES -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p tcp -m state --state NEW -j LOG

$IPTABLES -A INPUT -p tcp -m state --state NEW -j DROP

$IPTABLES -A INPUT -p tcp -s 0/0 --dport 80 -j LOG

$IPTABLES -A INPUT -p tcp -s 0/0 --dport 80 -j DROP

# Permitir acesso SSH apenas a partir do IP 192.168.0.10

$IPTABLES -A INPUT -p tcp -s $IP_LIBERADO --dport 22 -j ACCEPT

#As demais tentativas a SSH, negar

$IPTABLES -A INPUT -p tcp -s 0/0 --dport 22 -j LOG

$IPTABLES -A INPUT -p tcp -s 0/0 --dport 22 -j DROP

# Negar tudo que nao se enquadrar nas regras anteriores

$IPTABLES -A INPUT -j DROP

$IPTABLES -A FORWARD -j DROP

echo -e 'Firewall Pessoal Iniciado ..\n'

;;

stop)

echo -e 'Parando Firewall Pessoal ..\n'

# Limpando regras

$IPTABLES -F

;;

restart)

echo -e 'Reiniciando Firewall Pessoal, aguarde ..\n'

$0 stop

sleep 2

$0 start

;;

*)

echo "Sintaxe: $0 [ start | stop | restart ]"

;;

esac

Após a criação do arquivo, é necessário torná-lo executável:

# chmod +x /etc/init.d/firewall

Por fim, digita-se o seguinte comando para criar os links simbólicos nos diretórios de inicialização:

# update-rc.d firewall defaults

Para iniciar o firewall, basta executar:

# /etc/init.d/firewall start

ou

# invoke-rc.d firewall start

Considerações Finais

====================

Enfim, após a inicialização/execução do script as regras estarão carregadas no kernel, tendo se implementado um excelente firewall pessoal. Pode-se verificar se as regras foram corretamente aplicadas executando novamente o comando nmap, que mostrará que as portas estão filtradas pelo firewall:

# nmap -sS Nome_da_sua_Maquina ou Seu_endereco_IP -p 22,80,111,113

Ou simplesmente listando as regras utilizadas por meio do comando:

# iptables -L

Ademais, essa dica serve para os usuários perceberem a importância da segurança também em suas estações, incentivar e estimular a criação de firewalls pessoais bem mais poderosos.

Fonte: José Messias Alves da Silva (Dicas-L) - http://www.Dicas-L.com.br/

José Messias Alves da Silva é Matemático, Cientista da Computação pela UFPI, Especialista em Administração em Redes Linux e Coordenador Geral do Grupo de Usuários Debian do Piauí.