- Configuração de Iptables
+ Responder ao Tópico
-
Configuração de Iptables
Bom dia
Estou criando meu primeiro firewall em linux e gostaria da colaboração da comunidade, vou coloar o script abaixo e gostaria que dessem uma olhada, gostaria de sugestões sobre o que devo mudar, se esta correto ou não. Desde ja agradeço a atenção de todos os colegas.
# Atos Firewall V 1.2-2004
# Proteção e Conectividade
# e-mail: [email protected]
# Todos os direitos reservado
#Redireciona para Firebird -SAUDE-
iptables -A FORWARD -p tcp -i eth0 --dport 3050 -d 191.161.10.253 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.253 --sport -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 3050 -j DNAT --to 191.161.10.253
iptables -t nat -A POSTROUTING -j MASQUERADE
#IPs liberados -sem proxy-
iptables -A FORWARD -p tcp -s 191.161.10.12 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.2 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.148 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.199 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.116 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.195 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.187 -d 0.0.0.0/0 -j ACCEPT
#Bloquear navegação sem proxy
iptables -A FORWARD -p tcp -i eth1 -j REJECT
iptables -t nat -A POSTROUTING -j MASQUERADE
#Liberar acesso ao banco
iptables -A FORWARD -p tcp -s 191.161.10.114 --dport 3002 -j ACCEPT
#Liberar SMTP e POP3
iptables -A FORWARD -p tcp -i eth1 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 --dport 110 -j ACCEPT
#Negar conexão externa nos seguintes serviços
iptables -A INPUT -i
#Evitando scans do tipo "porta origem=porta destino":
iptables -A INPUT -p tcp --sport $i --dport $i -j DROP
#Bloqueando Traceroute
iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP
#Proteção contra IP Spoofing
iptables -A INPUT -s 191.161.10.0/24 -i eth1 -j DROP
#Proteção contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
#Proteção contra port scanners ocultos
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#Proteção contra ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
-
Está funcionando essa regra?
Essa sua regra que você criou está funcionando?
principalmente no diz a redirecionamento Firebird...
Rato
-
Configuração de Iptables
Só apliquei a regra do Firebird até agora, e a mesma esta funcionando perfeitamente.
Acha que vou ter problemas com as outras?
-
Sem problemas
Não terá problemas, é uma regra simples sem muito nível de segurança, poderia ser aprimorada, dá uma lida e tente decorar as regras, uma das regras que pode ser aprimorada, principalmente a de input e output, que não há nenhuma.
-
Configuração de Iptables
cara era bom, so por seguraca, vc deletar as reguas do iptables ante de mais nada. vc pode fazer isso desta forma:
obs: eth1 = rede interna, eth0 = internet
iptables -F
iptables -Z
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
depois vc pode colocar as seguintes regas para melhorar a seguranca da sua rede:
# -=- [ Regras Gerais do Firewall ] -=-
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# -=- [ Protecao de entrada (INPUT) ] -=-
iptables -I INPUT -i lo -j ACCEPT
iptables -I OUTPUT -o lo -j ACCEPT
iptables -I INPUT -i ! lo -s 127.0.0.0/255.0.0.0 -j DROP
iptables -A INPUT -p tcp ! --syn -i eth1 -j ACCEPT
iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
iptables -A INPUT -s 172.16.0.0/12 -i eth1 -j DROP
iptables -A INPUT -s 192.168.0.0/16 -i eth1 -j DROP
iptables -A INPUT -s 224.0.0.0/4 -i eth1 -j DROP
iptables -A INPUT -s 240.0.0.0/5 -i eth1 -j DROP
# -=- [ Protecoes Extras ] -=-
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --dport 135 -i $INTERNAL_INTERFACE -j REJECT
iptables -N syn-flood
iptables -A INPUT -i $INTERNAL_INTERFACE -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP
#
# OBS: [ Protecoes Extras ] 1) protecao contra pacotes indesejaveis
# 2) protecao contra syn-flood
# 3) protecao contra ping da morte
# 4) protecao contra worms
# 5-8) protecao contra IP spoofing
# -=- [ Portas Bloqueadas (MSN) ] -=-
iptables -A FORWARD -s LAN -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s LAN -d loginnet.passport.com -j REJECT
pronto... vc melhorou seu firewall
-
acrescetar no firewall
é bom acrescentar essa regra
#Portas netbios
iptables -A FORWARD -p tcp --dport 135 -j DROP
iptables -A FORWARD -p udp --dport 135 -j DROP
iptables -A FORWARD -p udp --dport 137 -j DROP
iptables -A FORWARD -p udp --dport 138 -j DROP
iptables -A FORWARD -p tcp --dport 139 -j DROP
iptables -A FORWARD -p udp --dport 445 -j DROP
iptables -A FORWARD -p tcp --dport 445 -j DROP
iptables -A FORWARD -p tcp --dport 593 -j DROP
Abraços
Muganga
MSN: [email protected]
ICQ: 314528019