- melhorar scrip firewall
+ Responder ao Tópico
-
melhorar scrip firewall
bom dia estou postando aqui o seu script de firewall ele e simples pois estou comecando agora e gostaria de alguma dicas para melhoralo
obrigado desde ja
#! /bin/sh
clear
#
echo "Iniciando Firewall..."
#variaveis
ipt="/sbin/iptables" #iptables
net="200.200.200.200" #eth1
rede="192.168.1.5" # ip da placa de rede local
webserver="192.168.1.3" #ip do servidor de web interno na rede webserver
#limpando regras
$ipt -F INPUT
$ipt -F
$ipt -t nat -F
$ipt -F FORWARD
#Bloqueia entrada regra padrao para drop
$ipt -P INPUT ACCEPT
$ipt -P INPUT DROP
$ipt -A INPUT -i lo -j ACCEPT
$ipt -A INPUT -p tcp -i eth1 --dport 1024:5600 -j ACCEPT
$ipt -A INPUT -p udp -i eth1 --dport 1024:5600 -j ACCEPT
#echo "PROTECAO CONTRA SYN-FLOODS"
$ipt -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
#log e bloqueio do ping da internet
$ipt -A INPUT -p icmp -s 0/0 -i eth1 -j LOG --log-prefix "ping"
#$ipt -A INPUT -p icmp -s 0/0 -i eth1 -j DROP
#libera o acesse da rede local
$ipt -A INPUT -i eth0 -s 192.168.0.0/0 -j ACCEPT
#libera o acesse da rede loopBack
$ipt -A INPUT -i lo -j ACCEPT
$ipt -A FORWARD -o lo -j ACCEPT
$ipt -A OUTOUT -o lo -j ACCEPT
$ipt -A POSTROUTING -o lo -j ACCEPT
#caregando modulos
depmod -a
modprobe ip_tables
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack
modprobe ipt_LOG
modprobe ipt_state
modprobe ipt_MASQUERADE
#echo "REGRAS FTP"
$ipt -A INPUT -p tcp -s 0/0 -i eth1 --dport 21 -j ACCEPT
$ipt -A INPUT -p udp -s 0/0 -i eth1 --dport 20 -j ACCEPT
echo "REGRA E LOG SSH E TELNET"
$ipt -A INPUT -p tcp -s 0/0 -i eth1 --dport 22 -j LOG --log-prefix "ssh"
$ipt -A INPUT -p tcp -s 0/0 -i eth1 --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp -s 0/0 -i eth1 --dport 23 -j LOG --log-prefix "TELNET"
$ipt -A INPUT -p tcp -s 0/0 -i eth1 --dport 23 -j ACCEPT
echo "REGRAS SMTP "
$ipt -A INPUT -p tcp -s 0/0 -d $net --dport 25 -j ACCEPT
echo "REGRAS DNS "
$ipt -A INPUT -p udp -s 0/0 -i eth1 --dport 53 -j ACCEPT
$ipt -A INPUT -p tcp -s 0/0 -i eth1 --dport 53 -j ACCEPT
echo "REGRAS WWW "
$ipt -A INPUT -p tcp -s 0/0 -i eth1 --dport 80 -j ACCEPT
$ipt -A INPUT -p udp -s 0/0 -i eth1 --dport 80 -j ACCEPT
echo "REGRAS POP3"
$ipt -A INPUT -p tcp -s 0/0 --dport 110 -j ACCEPT
echo "REGRAS TERMINAL "
$ipt -A INPUT -p tcp -s 0/0 -i eth1 --dport 3389 -j ACCEPT
$ipt -A INPUT -p udp -s 0/0 -i eth1 --dport 3389 -j ACCEPT
#redirecionar portas
echo "REDIRECIONAMENTO DE PORTAS(DMZ)"
#
echo "FTP(DMZ)"
$ipt -t nat -A PREROUTING -s 0/0 -i eth1 -p tcp --dport 21 -j DNAT --to $webserver
$ipt -t nat -A PREROUTING -s 0/0 -i eth1 -p udp --dport 20 -j DNAT --to $webserver
echo "WWW(DMZ)"
$ipt -t nat -A PREROUTING -s 0/0 -i eth1 -p tcp --dport 80 -j DNAT --to $webserver
$ipt -t nat -A PREROUTING -s 0/0 -i eth1 -p udp --dport 80 -j DNAT --to $webserver
echo "TERMINAL(DMZ)"
$ipt -t nat -A PREROUTING -d $net -p tcp --dport 3389 -j DNAT --to $webserver
$ipt -t nat -A PREROUTING -d $net -p udp --dport 3389 -j DNAT --to $webserver
#NAT compartilhamento de internet
echo "NAT COMPARTILHAMENTO DE INTERNET "
echo 1 > /proc/sys/net/ipv4/ip_forward
$ipt -t nat -A POSTROUTING -o eth1 -j MASQUERADE
$ipt -A FORWARD -i eth0 -j ACCEPT
#echo "REDIRECIONAMENTO DO PROXY"
$ipt -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
$ipt -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDIRECT --to-port 3128
echo "FIREWALL INICIALIZADO"
-
dmz
Se for publicar servidores (acesso externo) adicione uma interface de rede e coloque em uma rede nova (DMZ), nao é prudente deixar o seu servidor publico na mesma rede que seus usuarios, pois caso ocorra uma invasao estará tudo exposto...
ps- E quando for publicar o seu script de fw, mude os ips validos !:-)
-
melhorar scrip firewall
Ficou bom seu FW mas é como o amigo disso monte uma DMZ literalmente....coloque uma placa de rede só para a DMZ e crie outra rede só para isso
-
melhorar scrip firewall
-
melhorar scrip firewall
cara... vc nao precisa de muitas modificacoes no su FW... eu so colocaria os comando que carrenagam os modulos primeiro... so isso ahhh como o pessoal disse nao coloque seu ips validos para todos verem... e meuio perigoso.
[] Dotta :twisted: