Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Olá pessoal, esse não é o local mais apropriado para postar essa informação, mas como não encontrei outro local, pesso desculpas a todos.

    Quero apenas compartilhar umas regras de firewall para colocar nos rádios dos clientes, vai rodar em qualquer rádio com firmware em linux e pode ser adaptado a outros sem trauma.

    Para quem utiliza APRouter, basta ir em Menu Gerenciamento --> Editar Script Pessoal e colar o seguinte conteúdo:

    # Redes
    iptables -t nat -A BLOCK -d 10.0.0.0/8 -j DROP
    iptables -t nat -A BLOCK -s 10.0.0.0/8 -j DROP
    iptables -t nat -A BLOCK -d 5.0.0.0/8 -j DROP
    iptables -t nat -A BLOCK -s 5.0.0.0/8 -j DROP
    iptables -t nat -A BLOCK -d 14.0.0.0/8 -j DROP
    iptables -t nat -A BLOCK -s 14.0.0.0/8 -j DROP
    iptables -t nat -A BLOCK -d 23.0.0.0/8 -j DROP
    iptables -t nat -A BLOCK -s 23.0.0.0/8 -j DROP
    iptables -t nat -A BLOCK -d 172.16.0.0/12 -j DROP
    iptables -t nat -A BLOCK -s 172.16.0.0/12 -j DROP
    iptables -t nat -A BLOCK -d 169.254.0.0/16 -j DROP
    iptables -t nat -A BLOCK -s 169.254.0.0/16 -j DROP
    iptables -t nat -A BLOCK -d 127.0.0.0/8 -j DROP
    iptables -t nat -A BLOCK -s 127.0.0.0/8 -j DROP

    # STATE INVALID
    iptables -t nat -A BLOCK -p ALL -m state --state INVALID -j DROP

    # BO, BO Client, BO2, Bo facil, Bo Whack
    iptables -t nat -A BLOCK --protocol tcp --destination-port 31336:31337 -j DROP

    # Bagle Virus
    iptables -t nat -A BLOCK --protocol tcp --destination-port 2745 -j DROP
    iptables -t nat -A BLOCK --protocol tcp --destination-port 2535 -j DROP

    # Beagle.B
    iptables -t nat -A BLOCK --protocol tcp --destination-port 8866 -j DROP

    # Blaster
    iptables -t nat -A BLOCK --protocol tcp --destination-port 135:139 -j DROP
    iptables -t nat -A BLOCK --protocol tcp --source-port 135:139 -j DROP
    iptables -t nat -A BLOCK --protocol udp --destination-port 135:139 -j DROP
    iptables -t nat -A BLOCK --protocol udp --source-port 135:139 -j DROP
    iptables -t nat -A BLOCK --protocol tcp --destination-port 445 -j DROP
    iptables -t nat -A BLOCK --protocol tcp --source-port 445 -j DROP
    iptables -t nat -A BLOCK --protocol udp --destination-port 445 -j DROP
    iptables -t nat -A BLOCK --protocol udp --source-port 445 -j DROP

    # Cichlid
    iptables -t nat -A BLOCK --protocol tcp --destination-port 1377 -j DROP

    # Dabber.A-B
    iptables -t nat -A BLOCK --protocol tcp --destination-port 9898 -j DROP

    # Dumaru.Y
    iptables -t nat -A BLOCK --protocol tcp --destination-port 2283 -j DROP
    iptables -t nat -A BLOCK --protocol tcp --destination-port 10000 -j DROP

    # Gaobot, PhatBot, Agobot
    iptables -t nat -A BLOCK --protocol tcp --destination-port 65503 -j DROP

    # Grafx
    iptables -t nat -A BLOCK --protocol tcp --destination-port 1373 -j DROP

    # WinCrash
    iptables -t nat -A BLOCK --protocol tcp --destination-port 2583 -j DROP
    iptables -t nat -A BLOCK --protocol tcp --destination-port 3024 -j DROP
    iptables -t nat -A BLOCK --protocol tcp --destination-port 5742 -j DROP

    # Worm
    iptables -t nat -A BLOCK --protocol tcp --destination-port 1433:1434 -j DROP
    iptables -t nat -A BLOCK --protocol tcp --destination-port 4444 -j DROP
    iptables -t nat -A BLOCK --protocol udp --destination-port 4444 -j DROP

    # Kuang2
    iptables -t nat -A BLOCK --protocol tcp --destination-port 17300 -j DROP

    # MyDoom
    iptables -t nat -A BLOCK --protocol tcp --destination-port 1080 -j DROP
    iptables -t nat -A BLOCK --protocol tcp --destination-port 3127:3128 -j DROP

    # MyDoom.B
    iptables -t nat -A BLOCK --protocol tcp --destination-port 10080 --j DROP

    # Messenger Worm
    iptables -t nat -A BLOCK --protocol udp --destination-port 135:139 -j DROP

    # NetBus
    iptables -t nat -A BLOCK --protocol tcp --destination-port 12345 -j DROP

    # NetBus Pro
    iptables -t nat -A BLOCK --protocol tcp --destination-port 20034 -j DROP

    # NDM Requester
    iptables -t nat -A BLOCK --protocol tcp --destination-port 1364 -j DROP

    # OptixPro
    iptables -t nat -A BLOCK --protocol tcp --destination-port 3410 -j DROP

    # Sasser
    iptables -t nat -A BLOCK --protocol tcp --destination-port 5554 -j DROP

    # Screen Cast
    iptables -t nat -A BLOCK --protocol tcp --destination-port 1368 -j DROP

    # SubSeven
    iptables -t nat -A BLOCK --protocol tcp --destination-port 27374 -j DROP

    # Outros vírus
    iptables -t nat -A BLOCK --protocol tcp --destination-port 593 -j DROP
    iptables -t nat -A BLOCK --protocol tcp --destination-port 1024:1030 -j DROP
    iptables -t nat -A BLOCK --protocol tcp --destination-port 1214 -j DROP
    ### FIM


    Atenção melhorias são bem vindas

  2. Boa noite caro Farias
    sempre usei ap nos meu clientes , mais sobre esse seu topico

    1-pode ser usado em bridge ou so em cliente isp
    2- aquele script q ja vem eu posso apagar ?

    agora fora do seu topico , existe algum tipo de otimização dos ap usando os recusos
    Fragment Threshold,RTS Threshold,Intervalo Beacon,Taxa de Dados,
    Tipo de Preamble,Block Relay,IAPP,Proteção 802.11g,ACK Timeout
    em que eles ficam melhor ajustados ?
    eu sempre deixo em padrao so o act q regulo q acordo com a distancia e a taxa de dados seto em 11 e a pontecia de 63 a 100mw
    grato desde de ja



  3. Olá Elymaiads, sempre trabalhei com os rádios em modo cliente isp para evitar lixo de rede, como worms, spyware, spam etc. Já pensei em fazer testes no modo bridge, "não tive tempo", e não achei aplicação que me force a utilizar ele como bridge. Mas vale a tentativa, porem terá que fazer algumas alterações no firewall sim.

    Quanto ao script que vem, note que ele vem comentado, não tem uso real, mas não é necessário apagar nada, pode apenas incrementar o firewall a qualquer outro script.

    Quanto a pergunta fora do tópico, cada rede é um caso, em muitos casos algumas funções não terão efeitos por serem feitas para redes totalmente em APRouter que acredito não ser o caso de nenhum provedor, fixar a taxa de Dados em 11Mbps e diminuir a potência do rádio quando instalado próximo ao pop, é algo que sempre aconselho, e não aumentar a potência... rsrsrs

  4. Caro Farias para que server este script que você postou, e no campo redes aqueles IPs é da rede interna, ou seja, tenho que adptar a minha rede, se vc puder explicar cada item seria ótimo, desde já obrigado.



  5. Elielton na verdade o firewall é baseado para quem utiliza a rede default da lan do APRouter que no caso 192.168.2.0/24, e claro que caso você utilize uma das redes acima, terá que retira-la.

    Existe organizações que criam um espécie de lista negra, o qual é incluso ips, redes que ficam constantemente enviando ataques, você poderá consultar um exemplo em SANS Internet Storm Center; Cooperative Network Security Community - Internet Security

    Também poderá remover o item redes, lembre-se que o correto é ter um firewall central para acompanhar os logs, no caso esse firewall é apenas para limpar a rede wireless.






Tópicos Similares

  1. Firewall para um cliente de minha empresa
    Por infor3 no fórum Redes
    Respostas: 12
    Último Post: 24-04-2014, 06:17
  2. Respostas: 4
    Último Post: 04-10-2011, 23:16
  3. Respostas: 19
    Último Post: 16-08-2010, 07:15
  4. Radio com bom throughput para 2 clientes
    Por fabianoheringer no fórum Redes
    Respostas: 3
    Último Post: 15-11-2008, 22:08
  5. Respostas: 3
    Último Post: 22-09-2004, 07:24

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L