You are on page 1of 10

Mini tutrial de IP tables: Comandos do iptables -A cadeia Anexa regras ao final de uma cadeia.

. Se um nome de host fornecido, como fonte ou como destino, uma regra adicionada para cada IP relacionado a este host. -D cadeia Apaga uma ou mais regras da cadeia especificada -D cadeia regra_num Apaga a regra residente na posio indicada por regra_num da cadeia especificada. A primeira regra na cadeia a de nmero 1. -R cadeia regra_num Substitu a regra regra_num da cadeia especificada pela regra dada -I cadeia regra_num Insere uma ou mais regras no comeo da cadeia. Se um nome de host fornecido, como fonte ou como destino, uma regra adicionada para cada IP relacionado a este host. -L [cadeia] Lista todas as regras em uma cadeia. Caso no haja nenhuma cadeia especificada, todas as regras em todas as cadeias so listadas. -F [cadeia] Remove todas as regras de uma cadeia. Se nenhuma cadeia for especificada, remove as regras de todas as cadeias existentes, inclusive as do usurio. -Z [cadeia] Restaura os contadores de datagramas e de bytes em todas as regras das cadeias especificadas para zero, ou para todas as cadeias se nenhuma for especificada. -N cadeia Cria uma cadeia definida pelo usurio com o nome especificado. -X [cadeia] Apaga a cadeia definida pelo usurio ou todas se no for especificada uma. -C cadeia Verifica o datagrama descrito pela regra especificada contra a cadeia especificada. Este comando retorna uma mensagem descrevendo como a cadeia processou o datagrama. Isto muito til para testar a configuraco do firewall, e para uma anlise posterior. -P cadeia poltica Define a poltica padro para uma cadeia dentro de uma poltica especificada. As polticas vlidas: ACCEPT, DROP, QUEUE e RETURN. ACCEPT permite a passagem do datagrama. DROP descarta o datagrama. QUEUE passa o datagrama para rea do usurio para posterior processamento. RETURN fora o cdigo do firewall a retornar para a cadeia anterior e continua o processamento na regra seguinte que retornou.

Regras As seguintes regras podem ser usadas: -p[!] Protocol Define o protocolo ao qual a regra se aplica. O parmetro protocol pode ser qualquer valor numrico do arquivo /etc/protocol ou uma das palavras chave: tcp,udp ou icmp -s [!] addres[/mask] Define a origem do pacote ao qual a regra se aplica. O parmetro address pode ser um nome de host, um nome de rede ou um endereo IP com uma mscara de rede opcional. -d [!] address[/mask] Define o destino do pacote ao qual a regra se aplica. O endereo e a porta so definidos usando-se as mesmas regras utilizadas para definir esses valores para a origem do pacote. -j alvo Define um alvo para o pacote caso ele se encaixe nesta regra. Os alvos possveis so ACCEPT, DROP, QUEUE ou RETURN. possvel especificar uma cadeia do usurio. Tambm possvel especificar uma extenso. -i [!] interface_name Define o nome da interface por onde o datagrama foi recebido. Um nome de interface parcial pode ser usado encerrando-o com um sinal de +; por exemplo, eth+ corresponderia a todas as interfaces Ethernet iniciadas com eth. -o [!] interface_name Define o nome da interface por onde o datagrama ser transmitido. [!] -f Indica que a regra somente se refere ao segundo fragmento e aos subseqentes de pacotes fragamentados. Observao: O smbolo ! usado na regras como uma negao da expresso. Exemplo: -s 192.168.0.10/32 equivale ao endereo de origem 192.168.0.10, -s !192.168.0.10/32 equivale a todos os endereos exceto o 192.168.0.10.

Opes -v Sada em modo verbose. Mais rico em termos de detalhes sobre o que est acontecendo ou sendo feito. -n Sada em modo numrico e no por nome de host, rede ou porta. -x Exibe o valor exato do pacote e dos contadores de bytes em vez de arrendond-los para o milhar,

milho ou bilho mais prximo. --line-numbers Quando lista as regras, adiciona um nmero de linha ao comeo de cada regra, correspondendo posio da regra dentro da cadeia. Extenses O utilitrio iptables extensvel atravs de uma biblioteca de mdulo compartilhados opcional. Para fazer uso das extenses preciso especificar o seu nome usando o parmetro m [argumento] para o que o iptables carregue este mdulo. Em alguns casos usuado o parmetro p para determinar o protocolo (em certos casos no necessrio o parmetro m pois ele carregado automaticamente, por exemplo quando se usa tcp, udp ou icmp). Extenso TCP: usada com m tcp p tcp --sport [!] [port[:port]] Especifica a porta que a origem do datagrama usa. Portas podem ser especificadas com um conjunto especificando-se o seu limite superior e inferior separados por dois pontos ( Por exemplo, 20:25 descreve todas as portas numeradas de 20 at 25 inclusive. Tambm possvel usar o caracter ! para inverter a expresso. --dport [!] [port[:port]] Especifica a porta que o destino do datagrama usa. --tcp-flags [!] mask comp Especifica que esta regra somente ser validada quando os flags do datagrama TCP coincidirem com o especificado em mask e comp. Mask uma lista separada por vrgulas dos flags que devem ser examinados quando for feito o teste. Comp uma lista separada por vrgulas dos flas que devem ser configurados. Os flags vlidos so: SYN, ACK, FIN, RST, URG, PSH, ALL ou NONE. --syn Especifica que a regre deve encontrar somente datagramas com o bit SYN ligado e os bits ACK e FIN desligados. Datagramas com essas opes so usados para requisitar incio de conexo TCP. Extenso UDP: usada com m udp p udp --sport[!][port[:port]] Este parmetro tem funcionamento idnyico ao da extenso TCP. --dport[!][port[:port]] Este parmetro tem funcionamento idntico ao da extenso TCP. Extenso ICMP: usada com m icmp p icmp --icmp-type [!] typername Especifica o tipo de mensagem ICMP que a regra deve satisfazer. O tipo pode ser determinado por um nmero ou nome. Alguns nomes vlidos so: echo-request, echo-reply, source-quench, time-exceeded, destionation-unreachable, network-unreachable, host-unreanchable, protocol-unreachable e port-unreachable. Extenso MAC: usada com m mac --mac-source [!] address Especifica o endereo Ethernet do host que transmitiu o datagrama que esta regra deve encontrar.

Proteo contra IP Spoofing O IP Spoofing uma tcnica de forjar endereos IP falsos para executar ataques a uma mquina na web. Geralmente utilizam-se IP falsos nas redes 10.0.0.0, 172.16.0.0 e 192.168.0.0. Para bloquear estes endereos: Para mquinas com interface de rede: # iptables A INPUT s 10.0.0.0/8 i eth0 j DROP # iptables A INPUT s 172.16.0.0/8 i eth0 j DROP

# iptables A INPUT s 192.168.0.0/8 i eth0 j DROP Para mquinas com interface com modens ADSL: # iptables A INPUT s 10.0.0.0/8 i ppp0 j DROP # iptables A INPUT s 172.16.0.0/8 i ppp0 j DROP # iptables A INPUT s 192.168.0.0/8 i ppp0 j DROP Para garantir a navegao do nosso equipamento: # iptables A INPUT m state state RELATED, ESTABLISHED j ACCEPT

Sem este comando, a estao no navegaria. O mdulo ip_conntrack permite especificar regras de acordo com o estado da conexo do pacote. Isto feito atravs do parmetro state. NEW Confere os pacotes que estabelecem novas conexes. ESTABLISHED Confere os pacotes com conexes j estabelecidas. RELATED Confere com pacotes relacionados indiretamente a uma conexo, como mensagens de erro. INVALID Confere com pacotes que no puderem ser identificados por algum motivo. Como respostas de conexo desconhecidas. Registrar conexes a portas no autorizadas importante sabermos quando estamos sendo monitorados, a fim de prever e se defender de possveis ataques. Para isso podemos fazer com que o iptables registre no messages do Linux tentativas de conexo a portas bloqueadas no sistemas. # iptables A INPUT s 0.0.0.0/0 i eth0 j LOG log-prefix Conexo proibida Se quisermos fechar algumas portas especificamente: # iptables A INPUT p tcp dport 21 j LOG log-prefix Servio: ftp # iptables A INPUT p tcp dport 23 j LOG log-prefix Servio:telnet O tamanho da mensagem para o parmetro log-prefix de 64 caracteres. Filtrar mensagem echo-request do ping ou traceroute Atravs do comando ping, podemos descobrir qual o sistema operacional est executando num servidor. De posse desta informao, possvel programas ataques e exploraes direcionados para este sistema. Caso no queiramos que algum execute um ping na nossa mquina. # iptables A INPUT p icmp icmp-type echo-request j DROP

Montando ou Aperfeioando um Firewall com Iptables ... Aviso importante: Esse tutorial serve apenas exemplo de comandos iptables para quem quer apreender. 90% desses comandos o BrazilFW J FAZ internamente de acordo com o que voc configura. # Protegendo contra Syn-flood e ataque DoS iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

# Protegendo contra Port Scanners (nmap) iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP # Protegendo contra o Ping-of-dead e o Ping iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP # Protegendo contra IP Spoofing iptables -A INPUT -s 10.0.0.0/8 -i $IF_INET -j DROP iptables -A INPUT -s 172.16.0.0/16 -i $IF_INET -j DROP iptables -A INPUT -s 192.168.0.0/24 -i $IF_INET -j DROP #Bloqueando pacotes fragmentados iptables -A INPUT -i INTEXT -m unclean -j log_unclean iptables -A INPUT -f -i INTEXT -j log_fragment #Anulando as respostas a ICMP 8 (echo reply), bloqueia requisies de ping externo echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #Bloqueando tracertroute iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP #Protecoes contra ataques iptables -A INPUT -m state --state INVALID -j DROP #proteo contra pacotes danificados ou suspeitos. iptables -A FORWARD -m unclean -j DROP #Bloqueando ping de um ip iptables -A INPUT -p icmp -s 192.168.1.1/24 -j DROP

# Acelerando sua conexo iptables -t mangle -A OUTPUT -p tcp -j TOS --sport 80 --set-tos 0x08 iptables -t mangle -A PREROUTING -p tcp --dport 80 -j TOS --set-tos 0x08 iptables -t mangle -A OUTPUT -p tcp -j TOS --sport 80 --set-tos 0x10 Agora, Iptables q podem ser teis a situaes diversas... Exemplos comentados de regras de firewall (tabela filter) #Lista todas as regras existentes. iptables -L #Apaga todas as regras sem alterar a poltica. iptables -F #Estabelece uma poltica de proibio inicial de passagem de pacotes entre sub-redes. iptables -P FORWARD DROP #Todos os pacotes oriundos de qualquer sub-rede e destinados a qualquer sub-rede devero ser descartados. iptables -A FORWARD -j DROP #Todos os pacotes oriundos de qualquer sub-rede e destinados a qualquer sub-rede devero ser aceitos. iptables -A FORWARD -j ACCEPT #Os pacotes oriundos da sub-rede 10.0.0.0 (mscara 255.0.0.0) e destinados ao host www.chat.com.br

devero ser descartados. iptables -A FORWARD -s 10.0.0.0/8 -d www.chat.com.br -j DROP #Os pacotes oriundos da sub-rede 10.0.0.0 (mscara 255.0.0.0) e destinados ao host www.chat.com.br devero ser descartados. Dever ser enviado um ICMP avisando origem. iptables -A FORWARD -s 10.0.0.0/8 -d www.chat.com.br -j REJECT #Os pacotes oriundos de qualquer lugar e destinados ao host www.chat.com.br devero ser descartados. iptables -A FORWARD -d www.chat.com.br -j DROP #Os pacotes destinados sub-rede 10.0.0.0 (mscara 255.0.0.0) e oriundos do host www.chat.com.br devero ser descartados. iptables -A FORWARD -d 10.0.0.0/8 -s www.chat.com.br -j DROP #Os pacotes oriundos do host www.chat.com.br e destinados a qualquer lugar devero ser descartados. iptables -A FORWARD -s www.chat.com.br -j DROP #Os pacotes oriundos da sub-rede 200.221.20.0 (mscara 255.255.255.0) e destinados a qualquer lugar devero ser descartados. iptables -A FORWARD -s 200.221.20.0/24 -j DROP #Os pacotes icmp oriundos do host 10.0.0.5 e destinados a qualquer lugar devero ser descartados. iptables -A FORWARD -s 10.0.0.5 -p icmp -j DROP #Os pacotes que entrarem pela interface eth0 sero aceitos. iptables -A FORWARD -i eth0 -j ACCEPT #Os pacotes que entrarem por qualquer interface, exceto a eth0, sero aceitos. iptables -A FORWARD -i ! eth0 -j ACCEPT #O trfego de pacotes TCP oriundos da porta 80 do host 10.0.0.5 e destinados a qualquer lugar dever ser gravado em log. No caso, /var/log/messages. iptables -A FORWARD -s 10.0.0.5 -p tcp --sport 80 -j LOG #Os pacotes TCP destinados porta 25 de qualquer host devero ser aceitos. iptables -A FORWARD -p tcp --dport 25 -j ACCEPT Exemplos comentados de regras de firewall (tabela nat) #iptables -t nat -L Mostra as regras de NAT ativas. #iptables -t nat -F Apaga todas as regras de NAT existentes. #iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE Todos os pacotes que sarem pela interface ppp0 (modem) sero mascarados. Isso d um nvel de segurana elevado rede que est atrs da ppp0. uma boa regra para navegao na Internet. Note que esse tipo de mascaramento no usa SNAT. #iptables -t nat -A POSTROUTING -d 0/0 -j MASQUERADE Tem o mesmo efeito da regra anterior. No entanto, parece ser menos segura, pois estabelece que qualquer pacote destinado a qualquer outra rede, diferente da interna, ser mascarado. A regra anterior refere-se aos pacotes que saem por determinada interface. A opo -d 0/0 poderia ser -d 0.0.0.0/0 tambm. uma outra regra para navegao na Internet.

#iptables -t nat -A PREROUTING -t nat -p tcp -d 10.0.0.2 --dport 80 -j DNAT --to 172.20.0.1 Redireciona todos os pacotes destinados porta 80 da mquina 10.0.0.2 para a mquina 172.20.0.1. Esse tipo de regra exige a especificao do protocolo. Como no foi especificada uma porta de destino, a porta de origem (80) ser mantida como destino. #iptables -t nat -A OUTPUT -p tcp -d 10.0.0.10 -j DNAT --to 10.0.0.1 Qualquer pacote TCP, originado na mquina firewall, destinado a qualquer porta da mquina 10.0.0.10, ser desviado para a mquina 10.0.0.1 . #iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 200.20.0.1 Essa regra faz com que todos os pacotes que iro sair pela interface eth0 tenham o seu endereo de origem alterado para 200.20.0.1 . #iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 172.20.0.1 Todos os pacotes que entrarem pela eth0 sero enviados para a mquina 172.20.0.1 . #iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 172.20.0.1-172.20.0.3 Aqui haver o load balance. Todos os pacotes que entrarem pela eth0 sero distribudos entre as mquinas 172.20.0.1 , 172.20.0.2 e 172.20.0.3 . #iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p tcp --dport 80 -j REDIRECT --to-port 3128 Todos os pacotes TCP que vierem da rede 10.0.0.0, com mscara 255.0.0.0, destinados porta 80 de qualquer host, no sairo; sero redirecionados para a porta 3128 do firewall. Isso o passo necessrio para fazer um proxy transparente. O proxy utilizado dever aceitar esse tipo de recurso. No caso, o Squid, que aceita transparncia, dever estar instalado na mquina firewall, servindo na porta 3128. #iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT 200.20.5.0/24 Uma situao interessante: todos os pacotes que sarem da rede 192.168.1.0 sero transformados em 200.20.5.0 . ------>uma rede na Internet Vamos permitir que a rede 10.0.0.0 navegue na Internet. A mquina firewall ser a 10.0.0.1. Regras: #echo 1 > /proc/sys/net/ipv4/ip_forward #modprobe iptable_nat #iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o ppp0 -j MASQUERADE O procedimento totalmente seguro, pois discrimina uma origem, que s poder sair pela ppp0, de forma mascarada. ----->alguns hosts na Internet Vamos permitir que alguns hosts, no caso, o 10.0.0.10, o 10.0.0.20 e o 10.5.2.41, naveguem na Internet. A mquina firewall ser a 10.0.0.1. Regras: #echo 1 > /proc/sys/net/ipv4/ip_forward #modprobe iptable_nat #iptables -t nat -A POSTROUTING -s 10.0.0.10 -o ppp0 -j MASQUERADE #iptables -t nat -A POSTROUTING -s 10.0.0.20 -o ppp0 -j MASQUERADE #iptables -t nat -A POSTROUTING -s 10.5.2.41 -o ppp0 -j MASQUERADE Execuo de FTP

Para executar sesses de FTP, ser necessrio o carregamento de dois mdulos: #insmod ip_conntrack_ftp #insmod ip_nat_ftp -------------------outros iptables Nas linhas abaixo, algumas regras que so comumente utilizadas. Algumas destas podem ser teis para fazer o seu firewall mas lembre-se de adapt-las para sua rede/interface/mquina antes de aplic-las: #Libera o apache pra web iptables -A INPUT -p tcp --destination-port 6080 -j ACCEPT iptables -A INPUT -p tcp --destination-port 443 -j ACCEPT #Libera o loopback iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT #Bloqueando todos os endereos vindo de uma determinada rede para a minha mquina iptables -A INPUT -s 10.0.0.0/8 -j DROP #Liberando o endereo vindo de uma rede para a minha mquina iptables -A INPUT -s 10.0.0.1 -j ACCEPT #Gerando Logs de Portas proibidas iptables -A INPUT -p tcp --dport 21 -j --log-prefix "Servio de FTP" #Gerando log de Backdoors iptables -A INPUT -p tcp --dport 5042 -j LOG -log-prefix "Wincrash" iptables -A INPUT -p tcp --dport 12345 -j LOG -log-prefix "backOrifice" iptables -A INPUT -p tcp --dport 12346 -j LOG -log-prefix "backOrifice" #Habilitando porta de FTP iptables -A INPUT -p tcp -s 192.168.0.45 --dport 21 -j ACCEPT #Habilitando porta de SSH iptables -A INPUT -p tcp -s 192.168.0.45 --dport 22 -j ACCEPT #Habilitando porta de SMTP iptables -A INPUT -p tcp -s 192.168.0.45 --dport 25 -j ACCEPT #Habilitando porta de DNS iptables -A INPUT -p tcp -s 192.168.0.45 --dport 53 -j ACCEPT #Habilitando porta de POP3 iptables -A INPUT -p tcp -s 192.168.0.45 --dport 110 -j ACCEPT #Habilitando porta de DNS (UDP) iptables -A INPUT -p udp -s 192.168.0.45 --source-port 53 -j ACCEPT #Redirecionar Porta iptables -t nat -A PREROUTING -s IP_NET -i EXT_INT -j DNAT --to IP_DESTINO iptables -t nat -A POSTROUTING -s IP_NET -o EXT_INT -p tcp --dport PORT -j ACCEPT iptables -t nat -A POSTROUTING -s IP_DESTINO -o EXT_INT -j SNAT --to IP_NET iptables -t nat -A POSTROUTING -s IP_DESTINO -o EXT_INT --p tcp --dport PORT -j ACCEPT IP_NET = IP vlido da internet. EXT_INT = Interface da Internet. IP_DESTINO = IP invlido da Internet ou melhor ip da rede que vai fazer redirecionamento. PORT = porta

#Fazendo redirecionamento de portas iptables -t nat -A PREROUTING -i FACE -p tcp --dport 80 -j REDIRECT --to-port 3128 FACE = interface de rede #Bloqueando todos os pacotes originrios da rede 10.0.0.0 para o host www.seila.com.br iptables -A FORWARD -s 10.0.0.0/8 -d www.seila.com.br -j DROP #Liberando todos os pacotes originrios da rede 10.0.0.0 para o host www.seila.com.br iptables -A FORWARD -s 10.0.0.0/8 -d www.seila.com.br -j ACCEPT #Liberando todos os pacotes tcp destinados a porta 25 iptables -A FORWARD -p tcp --dport 25 -j ACCEPT #Liberando acesso interno da rede iptables -A INPUT -p tcp --syn -s 192.168.1.0/24 -j ACCEPT iptables -A OUTPUT -p tcp --syn -s 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -p tcp --syn -s 192.168.1.0/24 -j ACCEPT #compartilhando a web na rede interna iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward && #Libera Bittorrent somente para esta maquina iptables -A INPUT -p tcp --destination-port 6881:6889 -j ACCEPT #Bloqueando uma mquina pelo endereo MAC iptables -A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP # Regras para bloquear Kazaa, Morpheus, iMesh, Grokster, eDonkey, eMule, DC++, etc: iptables -t mangle -A POSTROUTING -m layer7 --l7proto fasttrack -j DROP iptables -t mangle -A POSTROUTING -m layer7 --l7proto edonkey -j DROP iptables -t mangle -A POSTROUTING -m layer7 --l7proto directconnect -j DROP # Liberando a mquina de ip 192.168.0.4 de utilizar proxy iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.4 --dport 80 -j ACCEPT # e definindo que as outras mquinas devem utilizar proxy iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080 # a regra abaixo tambm define que a mquina com um ip expecfico deve utilizar o proxy (no caso ip 192.168.0.6) iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.6 --dport 80 -j REDIRECT --to-port 8080 #Fechar a Mquina Filtro de Pacotes com Iptables, de modo que todas os pacotes destinados diretamente a ela sejam descartados. iptables -P INPUT DROP #A linha abaixo determina que todos os pacotes destinados mquina 192.168.1.1 devem ser descartados. iptables -A FORWARD -d 192.168.1.1 -j DROP ------Topologias de firewall O posicionamento de um firewall dentro da rede de extrema importncia para ela. H duas possibilidades bsicas para a utilizao de um firewall: firewall isolado e firewall incorporado, sendo este ltimo o mais inseguro e menos desejvel. O firewall ser isolado quando estiver entre mquinas, com funo exclusiva de firewall: O firewall ser incorporado quando no houver uma mquina isolada como firewall. Nesse caso, as

mquinas da rede devero estabelecer, individualmente, as suas prprias regras de firewall. o sistema mais inseguro: Nada impede que os dois sistemas sejam utilizados em parceria. Cabe ressaltar que no firewall incorporado h maior nvel de insegurana, uma vez que outros processos rodam junto com o firewall. ----------site de exemplo p/ testes de segurana e antivrus. http://security.symantec.com/sscv6/home.asp?langid=br&venid=sym&plfid=23&pkj=AEKOSKVYRMH CGVRVRMN&bhcp=1 ----------site de exemplo p/ teste de antivrus, s entrem com o antivrus atualizado. normalmente tem vrus na pgina inicial. http://cracks.am

Como rodar o IPTRAF no BrazilFW. O que ? O IPTraf um utilitrio de estatstica de rede baseado em console para Linux. Ele rene uma variedade de indicadores como por exemplo pacotes de conexo TCP e contagem de bytes, estatstica de interface e indicadores de atividade, TCP/UDP interrupes no trfego, e pacote da estao LAN e contagem de bytes. Como Usar? - D boot na mquina com o BrazilFW, faa o login como root, e saia do menu com a opo [Q]- Digite: Por default, o iptraf exibe o trfego da sua rede informando o MAC de cada mquina, entretanto muito mais simples para o administrador identificar um usurio pelo IP ou pelo nome do HOST. Para isso o pacote tem um script que monta uma lista das estaes automaticamente, basta digitar o seguinte comando: OBS: Antes de dar esse comando, va no Webadministrador, em "Configurao DHCP/Local Host/Editar Arquivo do Host Local" E adicione uma linha para cada IP. EX: Onde 192.168.0.2, vc troca pelo IP do PC da sua rede. E iceman, vc troca pelo nome do PC na rede. E Carlos, vc troca pelo nome da pessoa que usa o PC. Pois assim o IPTraf ira mostrar alem do IP, o nome do PC que usa aquele IP. Essa lista baseada nas informaes do servidor de DHCP, logo ela ser mais efetiva se suas estaes estiverem obtendo o IP atravs do servidor de dhcp do BrazilFW. Se o seu iptraf mostrar a mensagem "LAN station monitor already running on eth0" porque alguma outra estao j est executando outra cpia dele. Se voc no encontrar essa estao, voc pode fora-lo a executar novamente com este comando: Cdigo: iptraf -f

Como Recuperar Uma Senha Perdida Do BrazilFW Antes de mais nada vou deixar claro que impossivel recuperar a senha que foi esquecida, o que d para fazer alter-la digitando uma nova senha. BrazilFw Instalado Em Disquete Se for em disquete fcil, leve-o at uma outra maquina qualquer e edite o arquivo a:\config\coyote.cfg BrazilFw Instalado Em HD Voc vai precisar de um disco de boot do DOS com algum editor de textos incluso. Um bom disco que pode ser usado para isso o disco de boot/recuperao do Windows98. D boot na maquina do BrazilFW com esse disco e digite: C: CD \CONFIG EDIT COYOTE.CFG

Localize essa linha ADMIN_AUTH='xxxx' onde o xxxx a sua senha criptografada. Troque a sua linha por isso:

Aps a alterao Sua senha agora brazilfw muito importante que voc a altere imediatamente logo aps o primeiro login.

Pgina: 13