HEHEHEHEEH, tomo papudo, foi dar de esperto e acabou sendo descoberto.
É isso aí demiurgo
Versão Imprimível
HEHEHEHEEH, tomo papudo, foi dar de esperto e acabou sendo descoberto.
É isso aí demiurgo
Testa o www.ipcop.org talvez ele tenha limitacoes tecnicas pra oque voce ta fazendo, mas pelo oque eu vi no seu script nao vai ter problema em usar ele e com certeza vai poupar muita horas escrevendo ruleset... ou entao se quiser algo robusto eh realmente flexivel usa o tuxfrw que e' muito bom mesmo!!!! http://tuxfrw.sourceforge.net/Citação:
Postado originalmente por DarkSide
Resolvido !
Nada como estudar um pouco....
Valeu galera (inclusive o nosso "amigo" que diz que vai me hackear, agradeço o toke do ip :wink: ), os links indicados por todos foi de bom uso. Agora tah tudo funcionando redondim.
Vou postar minha solução encontrada, pois foi dificil achar na net alguém que fizesse o mesmo pra poder servir de base. Fica aki minha contribuição a todos.
Vejam como ficou meu script:
# Limpando regras
iptables -t nat -F
iptables -F
# Fechando repasse e entrada
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# Relatando conexoes
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# Aceitando conexões para o Loopback do Firewall
iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 200.200.200.254 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 201.201.201.254 -i lo -j ACCEPT
# Liberar SSH partido do firewall
iptables -A INPUT -i eth2 -p tcp --sport 22 -j ACCEPT
# Liberar REPASSE das portas para o servidor 200.200.200.1 (Server1)
# DNS tcp,udp / SMTP / POP / IMAP / FTP / HTTP / HTTPS
iptables -A FORWARD -p udp -d 200.200.200.1 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 53 -d 200.200.200.1 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 25 -d 200.200.200.1 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 110 -d 200.200.200.1 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 143 -d 200.200.200.1 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 20 -d 200.200.200.1 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 21 -d 200.200.200.1 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 200.200.200.1 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 443 -d 200.200.200.1 -j ACCEPT
# Liberar REPASSE das portas para o servidor 200.200.200.2 (Server2)
# DNS tcp,udp / FTP / HTTP / HTTPS
iptables -A FORWARD -p udp -d 200.200.200.2 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 53 -d 200.200.200.2 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 20 -d 200.200.200.2 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 21 -d 200.200.200.2 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 200.200.200.2 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 443 -d 200.200.200.2 -j ACCEPT
# Liberar REPASSE das portas para o servidor 200.200.200.3 (Windows 2000)
# VNC
iptables -A FORWARD -p tcp -m tcp --dport 5900:5999 -d 200.200.200.3 -j ACCEPT
# Mascaramento
modprobe ipt_conntrack
modprobe ip_conntrack
modprobe ip_conntrack_ftp
iptables -t nat -F
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth2 -j SNAT --to 201.201.201.254
# Proteções
# Ping
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
# Ping da morte
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Syn-flood
iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
# Portscan
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
# Bugs em traducao NAT
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP
# Ataques DoS
iptables -A FORWARD -m unclean -j DROP
# spoofing
iptables -A INPUT -i eth2 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth2 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth2 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth2 -s 224.0.0.0/4 -j DROP
iptables -A INPUT -i eth2 -s 240.0.0.0/5 -j DROP
# Descarte de pacotes com cabeçalhos invalidos
iptables -A FORWARD -m state --state INVALID -j DROP
As configurações sugeridas para o iptables foram interessantes, mas um bom firewall não vem só das configurações do seu software que você vai usar, no caso o iptables. Tenta mudar a arquitetura de segurança do seu sistema firewall como um todo. Coloca mais barreiras, como zonas dmz, roteadores, etc.
Valeu, qualquer coisa, estamos aí..
pois é colega, a minha intenção não é tentar invadir os server de ninguem, principalmente ae do colega, entende, mas sim alerta a ele para não postar o ip dele em foruns, mesmo o pq, quem vai fazer não avisa que vai fazer certo. bom peço desculpa a todos pela minha ignorancia em ter feito uma postagen destas, e não é causar repercusão sobre isto, certo.Citação:
Postado originalmente por demiurgo
Bom mais uma vez desculpas e vlw,