- esse firewall é seguro?
+ Responder ao Tópico
-
esse firewall é seguro?
boa tarde galera, gostaria de saber a opniao de voces sobre esse firewall, encontrei na net.
#!/bin/bash
echo "Iniciando o Firewall"
#Ativa Modulos
#---------------------------------------------------------------
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
echo "Carga dos Modulos OK"
#-----------------------------------------------------------------
#Protecao anti spoofing
#-----------------------------------------------------------------
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
echo -n "Anti Spoofing..."
else
echo
echo
echo "Problema ao levantar a protecao anti-spoofing."
echo "CONTROL-D para sair do script e continuar a inicializacao."
echo
#start a single user shell on the console
/sbin/sulogin #CONSOLE
fi
echo -n "Iniciando regras de input..."
#---------------------------------------------------------------------------
#zera regras
#----------------------------------------------------------------------------
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -F -t mangle
/sbin/iptables -X -t mangle
echo "Flush de Regras OK..."
#negar porta trinoo
/sbin/iptables -t filter -A INPUT -p tcp -i eth1 --dport 27444 -j DROP
/sbin/iptables -t filter -A INPUT -p tcp -i eth1 --dport 31335 -j DROP
#negar porta trojans
/sbin/iptables -t filter -A INPUT -p tcp -i eth1 --dport 666 -j DROP
/sbin/iptables -t filter -A INPUT -p udp -i eth1 --dport 666 -j DROP
/sbin/iptables -t filter -A INPUT -p tcp -i eth1 --dport 4000 -j DROP
/sbin/iptables -t filter -A INPUT -p udp -i eth1 --dport 4000 -j DROP
/sbin/iptables -t filter -A INPUT -p tcp -i eth1 --dport 5190 -j DROP
/sbin/iptables -t filter -A INPUT -p udp -i eth1 --dport 5190 -j DROP
#------------------------------------------------------------------------
#negar ping da morte
#-------------------------------------------------------------------------
/sbin/iptables -t filter -A FORWARD -i eth1 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#negar porta scanners
/sbin/iptables -t filter -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN - m limit --limit 1/s -j ACCEPT
#negar pacotes suspeitos ou danificados
/sbin/iptables -t filter -A FORWARD -m uncliean -j DROP
#negar ping
/sbin/iptables -t filter -A FORWARD -i eth1 -p icmp --icmp-type echo-request -j DROP
#negar ping da morte
/sbin/iptables -t filter -A FORWARD -i eth1 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#bloquear MSN
/sbin/iptables -A FORWARD -p tcp --dport 1863 -j REJECT
/sbin/iptables -A FORWARD -p tcp --dport -d 64.4.13.0/24 -j REJECT
#bloquear kazaa
/sbin/iptables -A FORWARD -d 213.112.0/24 -j REJECT
/sbin/iptables -A FORWARD -p tcp --dport 1214 -j REJECT
#-----------------------------------------------------------------------------
#Proxy transparente
#------------------------------------------------------------------------------
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
/sbin/iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "Carga do proxy transparente OK"
se possivel, se tem algo de errado e o que pode ser melhorado.
fico no aguardo ae galera.
valew
-
kra firewall é bem particular... esse aí pode estar bom pra vc.... mas pra mim nao...entende... pode esta bom pra mim, mas pra outro nao...
firewall tem q ser conforme a sua necessidade...oq vc precisa ??
-
algumas coisas estao "confusas" .. tipo isso
#negar ping
/sbin/iptables -t filter -A FORWARD -i eth1 -p icmp --icmp-type echo-request -j DROP
#negar ping da morte
/sbin/iptables -t filter -A FORWARD -i eth1 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
se vc NEGA o icmp.. acabou.. a proxima regra de limitar icmp a 1 reque/s .. nao vai ser necessaria..
agora se voce INVERTER a ordem .. ai funciona rsrsr
firewall.. cada caso um caso...
recomendo usar o APF que eh muito bom !!
-
Kra... esperiência própria... RECEITA DE BOLO NÃO PRESTA!
Eu já quebrei a kra d+ com isso, o certo mesmo é vc aprender e fazer o seu firewall.
O guia foca é um referencial completo:
Guia Foca GNU/Linux - Firewall iptables
-
Firewall com IPTABLES - by Eriberto
esses documentos ai do site do eriberto sao excelentes !!
-
Cara, seguinte ...
Firewall como já foi citado, é bem particular, vc tem que entender sua estrutura de rede
para poder aplicar as regras e segurançao cabivel, seu firewall tem que está relacionado com a topologia de sua rede, pegar scrips prontinhos só retarda o seu aprendisado
com o que se diz respeito a firewall, mais ... se funcionou bem pra vc ... manda bala ...
Falow ...
-
firewall
como o colega de cima falow, firewall cada um tem o seu, se quer um conselho, tente implementar o modulo ipp2p e layer7 no seu firewall ai sim, da pra fazer bloqueios bons mesmo, no caso da suas regras de bloquear msn, kaazaa, pode testar que nao deve estar funcionando....
valew...
-
Aí vai uma dica bacana...
Já ouviu falar em lápis, papel e borracha?
Então, tirá um tempo pra você, senta com toda a galera que será afetada por esse firewall e troca uma idéia com eles (se preciso for) para ver o que necessitam acessar.
Feito isso, senta você com você e começa a bolar o que você precisa para trabalhar e se "entreter" (afinal, ninguém é de ferro). Depois, senta você e o servidor e comece a bolar como que o firewall pode ser pra que todas as necessidades sejam atendidas.
Após toda essa maratona, corra atrás da documentação necessária e desenvolva o script.
Tente-o bem. Nada possui 100% de desempenho.
Depois é só partir pro abraco hehe.