Bom dia
Estou criando meu primeiro firewall em linux e gostaria da colaboração da comunidade, vou coloar o script abaixo e gostaria que dessem uma olhada, gostaria de sugestões sobre o que devo mudar, se esta correto ou não. Desde ja agradeço a atenção de todos os colegas.
# Atos Firewall V 1.2-2004
# Proteção e Conectividade
# e-mail: [email protected]
# Todos os direitos reservado
#Redireciona para Firebird -SAUDE-
iptables -A FORWARD -p tcp -i eth0 --dport 3050 -d 191.161.10.253 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.253 --sport -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 3050 -j DNAT --to 191.161.10.253
iptables -t nat -A POSTROUTING -j MASQUERADE
#IPs liberados -sem proxy-
iptables -A FORWARD -p tcp -s 191.161.10.12 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.2 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.148 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.199 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.116 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.195 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.187 -d 0.0.0.0/0 -j ACCEPT
#Bloquear navegação sem proxy
iptables -A FORWARD -p tcp -i eth1 -j REJECT
iptables -t nat -A POSTROUTING -j MASQUERADE
#Liberar acesso ao banco
iptables -A FORWARD -p tcp -s 191.161.10.114 --dport 3002 -j ACCEPT
#Liberar SMTP e POP3
iptables -A FORWARD -p tcp -i eth1 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 --dport 110 -j ACCEPT
#Negar conexão externa nos seguintes serviços
iptables -A INPUT -i
#Evitando scans do tipo "porta origem=porta destino":
iptables -A INPUT -p tcp --sport $i --dport $i -j DROP
#Bloqueando Traceroute
iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP
#Proteção contra IP Spoofing
iptables -A INPUT -s 191.161.10.0/24 -i eth1 -j DROP
#Proteção contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
#Proteção contra port scanners ocultos
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#Proteção contra ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT