Firewall Para Rádio Cliente

[farias]

Olá pessoal, esse não é o local mais apropriado para postar essa informação, mas como não encontrei outro local, pesso desculpas a todos.

Quero apenas compartilhar umas regras de firewall para colocar nos rádios dos clientes, vai rodar em qualquer rádio com firmware em linux e pode ser adaptado a outros sem trauma.

Para quem utiliza APRouter, basta ir em Menu Gerenciamento --> Editar Script Pessoal e colar o seguinte conteúdo:

# Redes
iptables -t nat -A BLOCK -d 10.0.0.0/8 -j DROP
iptables -t nat -A BLOCK -s 10.0.0.0/8 -j DROP
iptables -t nat -A BLOCK -d 5.0.0.0/8 -j DROP
iptables -t nat -A BLOCK -s 5.0.0.0/8 -j DROP
iptables -t nat -A BLOCK -d 14.0.0.0/8 -j DROP
iptables -t nat -A BLOCK -s 14.0.0.0/8 -j DROP
iptables -t nat -A BLOCK -d 23.0.0.0/8 -j DROP
iptables -t nat -A BLOCK -s 23.0.0.0/8 -j DROP
iptables -t nat -A BLOCK -d 172.16.0.0/12 -j DROP
iptables -t nat -A BLOCK -s 172.16.0.0/12 -j DROP
iptables -t nat -A BLOCK -d 169.254.0.0/16 -j DROP
iptables -t nat -A BLOCK -s 169.254.0.0/16 -j DROP
iptables -t nat -A BLOCK -d 127.0.0.0/8 -j DROP
iptables -t nat -A BLOCK -s 127.0.0.0/8 -j DROP

# STATE INVALID
iptables -t nat -A BLOCK -p ALL -m state --state INVALID -j DROP

# BO, BO Client, BO2, Bo facil, Bo Whack
iptables -t nat -A BLOCK --protocol tcp --destination-port 31336:31337 -j DROP

# Bagle Virus
iptables -t nat -A BLOCK --protocol tcp --destination-port 2745 -j DROP
iptables -t nat -A BLOCK --protocol tcp --destination-port 2535 -j DROP

# Beagle.B
iptables -t nat -A BLOCK --protocol tcp --destination-port 8866 -j DROP

# Blaster
iptables -t nat -A BLOCK --protocol tcp --destination-port 135:139 -j DROP
iptables -t nat -A BLOCK --protocol tcp --source-port 135:139 -j DROP
iptables -t nat -A BLOCK --protocol udp --destination-port 135:139 -j DROP
iptables -t nat -A BLOCK --protocol udp --source-port 135:139 -j DROP
iptables -t nat -A BLOCK --protocol tcp --destination-port 445 -j DROP
iptables -t nat -A BLOCK --protocol tcp --source-port 445 -j DROP
iptables -t nat -A BLOCK --protocol udp --destination-port 445 -j DROP
iptables -t nat -A BLOCK --protocol udp --source-port 445 -j DROP

# Cichlid
iptables -t nat -A BLOCK --protocol tcp --destination-port 1377 -j DROP

# Dabber.A-B
iptables -t nat -A BLOCK --protocol tcp --destination-port 9898 -j DROP

# Dumaru.Y
iptables -t nat -A BLOCK --protocol tcp --destination-port 2283 -j DROP
iptables -t nat -A BLOCK --protocol tcp --destination-port 10000 -j DROP

# Gaobot, PhatBot, Agobot
iptables -t nat -A BLOCK --protocol tcp --destination-port 65503 -j DROP

# Grafx
iptables -t nat -A BLOCK --protocol tcp --destination-port 1373 -j DROP

# WinCrash
iptables -t nat -A BLOCK --protocol tcp --destination-port 2583 -j DROP
iptables -t nat -A BLOCK --protocol tcp --destination-port 3024 -j DROP
iptables -t nat -A BLOCK --protocol tcp --destination-port 5742 -j DROP

# Worm
iptables -t nat -A BLOCK --protocol tcp --destination-port 1433:1434 -j DROP
iptables -t nat -A BLOCK --protocol tcp --destination-port 4444 -j DROP
iptables -t nat -A BLOCK --protocol udp --destination-port 4444 -j DROP

# Kuang2
iptables -t nat -A BLOCK --protocol tcp --destination-port 17300 -j DROP

# MyDoom
iptables -t nat -A BLOCK --protocol tcp --destination-port 1080 -j DROP
iptables -t nat -A BLOCK --protocol tcp --destination-port 3127:3128 -j DROP

# MyDoom.B
iptables -t nat -A BLOCK --protocol tcp --destination-port 10080 --j DROP

# Messenger Worm
iptables -t nat -A BLOCK --protocol udp --destination-port 135:139 -j DROP

# NetBus
iptables -t nat -A BLOCK --protocol tcp --destination-port 12345 -j DROP

# NetBus Pro
iptables -t nat -A BLOCK --protocol tcp --destination-port 20034 -j DROP

# NDM Requester
iptables -t nat -A BLOCK --protocol tcp --destination-port 1364 -j DROP

# OptixPro
iptables -t nat -A BLOCK --protocol tcp --destination-port 3410 -j DROP

# Sasser
iptables -t nat -A BLOCK --protocol tcp --destination-port 5554 -j DROP

# Screen Cast
iptables -t nat -A BLOCK --protocol tcp --destination-port 1368 -j DROP

# SubSeven
iptables -t nat -A BLOCK --protocol tcp --destination-port 27374 -j DROP

# Outros vírus
iptables -t nat -A BLOCK --protocol tcp --destination-port 593 -j DROP
iptables -t nat -A BLOCK --protocol tcp --destination-port 1024:1030 -j DROP
iptables -t nat -A BLOCK --protocol tcp --destination-port 1214 -j DROP
### FIM


Atenção melhorias são bem vindas

[elymaiads]

Boa noite caro Farias
sempre usei ap nos meu clientes , mais sobre esse seu topico

1-pode ser usado em bridge ou so em cliente isp
2- aquele script q ja vem eu posso apagar ?

agora fora do seu topico , existe algum tipo de otimização dos ap usando os recusos
Fragment Threshold,RTS Threshold,Intervalo Beacon,Taxa de Dados,
Tipo de Preamble,Block Relay,IAPP,Proteção 802.11g,ACK Timeout
em que eles ficam melhor ajustados ?
eu sempre deixo em padrao so o act q regulo q acordo com a distancia e a taxa de dados seto em 11 e a pontecia de 63 a 100mw
grato desde de ja

[farias]

Olá Elymaiads, sempre trabalhei com os rádios em modo cliente isp para evitar lixo de rede, como worms, spyware, spam etc. Já pensei em fazer testes no modo bridge, "não tive tempo", e não achei aplicação que me force a utilizar ele como bridge. Mas vale a tentativa, porem terá que fazer algumas alterações no firewall sim.

Quanto ao script que vem, note que ele vem comentado, não tem uso real, mas não é necessário apagar nada, pode apenas incrementar o firewall a qualquer outro script.

Quanto a pergunta fora do tópico, cada rede é um caso, em muitos casos algumas funções não terão efeitos por serem feitas para redes totalmente em APRouter que acredito não ser o caso de nenhum provedor, fixar a taxa de Dados em 11Mbps e diminuir a potência do rádio quando instalado próximo ao pop, é algo que sempre aconselho, e não aumentar a potência... rsrsrs

[elielton]

Caro Farias para que server este script que você postou, e no campo redes aqueles IPs é da rede interna, ou seja, tenho que adptar a minha rede, se vc puder explicar cada item seria ótimo, desde já obrigado.

[farias]

Elielton na verdade o firewall é baseado para quem utiliza a rede default da lan do APRouter que no caso 192.168.2.0/24, e claro que caso você utilize uma das redes acima, terá que retira-la.

Existe organizações que criam um espécie de lista negra, o qual é incluso ips, redes que ficam constantemente enviando ataques, você poderá consultar um exemplo em SANS Internet Storm Center; Cooperative Network Security Community - Internet Security

Também poderá remover o item redes, lembre-se que o correto é ter um firewall central para acompanhar os logs, no caso esse firewall é apenas para limpar a rede wireless.

[marco]

Farias desculpe postar este meu pedido de ajuda aqui é que sou novo no assunto e estouquase pirando, to aqui quebrando a cabeça e ainda não deu certo, pode me ajudar, estou tentando configurar um roteador Tp-Link (WR471ND) com wds no Mikrotik , no mk ativo o wds na wlan1 e vejo tanto na aba interface como na aba portas da bridge1 onde esta a wlan1 e o roteador ta lá tranquilo(ativa automatico), mas quando vou configurar o tp-link wr471 tento de todadas as formas e não pinga, nem a pau!!! Qualquer ajuda é bem vinda...

[Roberto21]

Olá pessoal, esse não é o local mais apropriado para postar essa informação, mas como não encontrei outro local, pesso desculpas a todos.

Quero apenas compartilhar umas regras de firewall para colocar nos rádios dos clientes, vai rodar em qualquer rádio com firmware em linux e pode ser adaptado a outros sem trauma.

Para quem utiliza APRouter, basta ir em Menu Gerenciamento --> Editar Script Pessoal e colar o seguinte conteúdo:

Olá irmão...tudo em paz?

Parabéns pelo seu post, estava precisando muito de algo do tipo aqui, e você postou de mão beijada a solução, muito obrigado.

O que preciso muito aqui é o bloqueio tcp/udp 135-139, e 445 tcp/udp, isso para os ap's em wireless ISP, acredito que não funfe para ap's em bridge, por que o firewall do rádio estaria desabilitado, isso terá que ser feito em camada2 no caso de ap's em bridge.

Ainda poderemos adaptar para várias situações, vou fazer o que preciso e postar aqui, obrigado mais uma vez.

[farias]

Olá irmão...tudo em paz?

Parabéns pelo seu post, estava precisando muito de algo do tipo aqui, e você postou de mão beijada a solução, muito obrigado.

O que preciso muito aqui é o bloqueio tcp/udp 135-139, e 445 tcp/udp, isso para os ap's em wireless ISP, acredito que não funfe para ap's em bridge, por que o firewall do rádio estaria desabilitado, isso terá que ser feito em camada2 no caso de ap's em bridge.

Ainda poderemos adaptar para várias situações, vou fazer o que preciso e postar aqui, obrigado mais uma vez.

Obrigado, faz os testes e poste aqui... irá contribuir muito, qualquer coisa criamos um wiki, para ficar mais organizado.

Até

[farias]

Não tenho nada para ubnt... e inclusive é muito chato de fazer firewall manualmente nele.