Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    chvt
    As minhas regras que estão no diretório: /etc/rc.d/rc.local:

    /bin/echo "1" > /proc/sys/net/ipv4/tcp_syncookies
    /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
    iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j DROP
    iptables -A INPUT -p icmp -j DROP
    iptables -A INPUT -m unclean -j DROP
    iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j DROP
    iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT
    iptables -A INPUT -m state -p icmp --state INVALID -j REJECT
    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -A INPUT -p tcp ! --syn -m state --state NEW -j REJECT
    iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j DROP
    iptables -A INPUT -p tcp --dport 11 -j DROP
    iptables -A INPUT -p tcp --dport 13 -j DROP
    iptables -A INPUT -p tcp --dport 19 -j DROP
    iptables -A INPUT -p tcp --dport 22 -j DROP
    iptables -A INPUT -p tcp --dport 23 -j DROP
    iptables -A INPUT -p tcp --dport 37 -j DROP
    iptables -A INPUT -p tcp --dport 79 -j DROP
    iptables -A INPUT -p tcp --dport 107 -j DROP
    iptables -A INPUT -p tcp --dport 113 -j DROP
    iptables -A INPUT -p tcp --dport 389 -j DROP
    iptables -A INPUT -p tcp --dport 469 -j DROP
    iptables -A INPUT -p tcp --dport 513 -j DROP
    iptables -A INPUT -p tcp --dport 514 -j DROP
    iptables -A INPUT -p tcp --dport 517 -j DROP
    iptables -A INPUT -p tcp --dport 518 -j DROP
    iptables -A INPUT -p udp --dport 11 -j DROP
    iptables -A INPUT -p udp --dport 13 -j DROP
    iptables -A INPUT -p udp --dport 19 -j DROP
    iptables -A INPUT -p udp --dport 22 -j DROP
    iptables -A INPUT -p udp --dport 23 -j DROP
    iptables -A INPUT -p udp --dport 37 -j DROP
    iptables -A INPUT -p udp --dport 79 -j DROP
    iptables -A INPUT -p udp --dport 107 -j DROP
    iptables -A INPUT -p udp --dport 113 -j DROP
    iptables -A INPUT -p udp --dport 389 -j DROP
    iptables -A INPUT -p udp --dport 469 -j DROP
    iptables -A INPUT -p udp --dport 517 -j DROP
    iptables -A INPUT -p udp --dport 518 -j DROP

    Como eu nunca fiz um script, também nunca liguei para isso, agora eu estou querendo criar um script Estou querendo criar um rc.firewall no diretório: /etc/rc.d/ e depois torna-lo executável, mas para isso eu preciso de um script para o iptables. Então, a minha dúvida é a seguinte: Como ficaria um script com as regras que eu citei acima :?:

  2. #2
    wrochal
    Caro CHVT,

    Exemplo de um script para seu firewall, localizado /etc/rc.d/rc.firewall

    Código :
    #!/bin/sh
    #
    # chkconfig: 2345 83 83 83 83
    # description: Firewall
    # para todos os terminais.
     
    iptables=/usr/sbin/iptables
     
    /bin/echo "1" > /proc/sys/net/ipv4/tcp_syncookies 
    /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all 
    $iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j DROP 
    $iptables -A INPUT -p icmp -j DROP 
    $iptables -A INPUT -m unclean -j DROP 
    $iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j DROP 
    $iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT 
    $iptables -A INPUT -m state -p icmp --state INVALID -j REJECT 
    $iptables -A INPUT -m state --state INVALID -j DROP 
    $iptables -A INPUT -p tcp ! --syn -m state --state NEW -j REJECT 
    $iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j DROP 
    $iptables -A INPUT -p tcp --dport 11 -j DROP 
    $iptables -A INPUT -p tcp --dport 13 -j DROP 
    $iptables -A INPUT -p tcp --dport 19 -j DROP 
    $iptables -A INPUT -p tcp --dport 22 -j DROP 
    $iptables -A INPUT -p tcp --dport 23 -j DROP 
    $iptables -A INPUT -p tcp --dport 37 -j DROP 
    $iptables -A INPUT -p tcp --dport 79 -j DROP 
    $iptables -A INPUT -p tcp --dport 107 -j DROP 
    $iptables -A INPUT -p tcp --dport 113 -j DROP 
    $iptables -A INPUT -p tcp --dport 389 -j DROP 
    $iptables -A INPUT -p tcp --dport 469 -j DROP 
    $iptables -A INPUT -p tcp --dport 513 -j DROP 
    $iptables -A INPUT -p tcp --dport 514 -j DROP 
    $iptables -A INPUT -p tcp --dport 517 -j DROP 
    $iptables -A INPUT -p tcp --dport 518 -j DROP 
    $iptables -A INPUT -p udp --dport 11 -j DROP 
    $iptables -A INPUT -p udp --dport 13 -j DROP 
    $iptables -A INPUT -p udp --dport 19 -j DROP 
    $iptables -A INPUT -p udp --dport 22 -j DROP 
    $iptables -A INPUT -p udp --dport 23 -j DROP 
    $iptables -A INPUT -p udp --dport 37 -j DROP 
    $iptables -A INPUT -p udp --dport 79 -j DROP 
    $iptables -A INPUT -p udp --dport 107 -j DROP 
    $iptables -A INPUT -p udp --dport 113 -j DROP 
    $iptables -A INPUT -p udp --dport 389 -j DROP 
    $iptables -A INPUT -p udp --dport 469 -j DROP 
    $iptables -A INPUT -p udp --dport 517 -j DROP 
    $iptables -A INPUT -p udp --dport 518 -j DROP

    O valor 83 foi usado por nenhum motivo importante, poderia ser um valor diferente. Digamos que esse valor define a prioridade de execução, quanto menor é o valor mais rápido esse será executado na inicialização do sistema.

    Listando todos os serviços
    # chkconfig --list

    Adicionando o serviço firewall
    # chkconfig --add firewall

    Excluindo o serviço firewall
    # chkconfig --del firewall

    Adicionando o serviço numlock com vários níveis de execução
    # chkconfig --level 2345 firewall on

    Agora dizem que você pode colocar o script no /etc/rc.d/rc.firewall

    # chmod +x /etc/rc.d/rc.firewall

    # initcfg

    e habilite.

    Falou, :!:



  3. #3
    chvt
    Não é esse tipo de script que eu quero, quero um script que informe para que serve cada regra.

  4. ick nao existe assim q eu sabia, o q vc pode fazer eh um usar um script q gere q talvez venha comentado. mas nao ajuda em muito afinal voce tem q entender o q eh cada regra...

    sigh

    man iptables



  5. #5
    chvt
    mistymst,

    Além desse script que vou mostrar abaixo, quero que antes de cada regra, tenha uma descrição informando para que serve cada regra...

    #!/bin/bash
    #scipt bla bla bla....
    /bin/echo "1" > /proc/sys/net/ipv4/tcp_syncookies
    /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
    iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j DROP
    iptables -A INPUT -p icmp -j DROP
    iptables -A INPUT -m unclean -j DROP
    iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j DROP
    iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT
    iptables -A INPUT -m state -p icmp --state INVALID -j REJECT
    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -A INPUT -p tcp ! --syn -m state --state NEW -j REJECT
    iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j DROP
    iptables -A INPUT -p tcp --dport 11 -j DROP
    iptables -A INPUT -p tcp --dport 13 -j DROP
    iptables -A INPUT -p tcp --dport 19 -j DROP
    iptables -A INPUT -p tcp --dport 22 -j DROP
    iptables -A INPUT -p tcp --dport 23 -j DROP
    iptables -A INPUT -p tcp --dport 37 -j DROP
    iptables -A INPUT -p tcp --dport 79 -j DROP
    iptables -A INPUT -p tcp --dport 107 -j DROP
    iptables -A INPUT -p tcp --dport 113 -j DROP
    iptables -A INPUT -p tcp --dport 389 -j DROP
    iptables -A INPUT -p tcp --dport 469 -j DROP
    iptables -A INPUT -p tcp --dport 513 -j DROP
    iptables -A INPUT -p tcp --dport 514 -j DROP
    iptables -A INPUT -p tcp --dport 517 -j DROP
    iptables -A INPUT -p tcp --dport 518 -j DROP
    iptables -A INPUT -p udp --dport 11 -j DROP
    iptables -A INPUT -p udp --dport 13 -j DROP
    iptables -A INPUT -p udp --dport 19 -j DROP
    iptables -A INPUT -p udp --dport 22 -j DROP
    iptables -A INPUT -p udp --dport 23 -j DROP
    iptables -A INPUT -p udp --dport 37 -j DROP
    iptables -A INPUT -p udp --dport 79 -j DROP
    iptables -A INPUT -p udp --dport 107 -j DROP
    iptables -A INPUT -p udp --dport 113 -j DROP
    iptables -A INPUT -p udp --dport 389 -j DROP
    iptables -A INPUT -p udp --dport 469 -j DROP
    iptables -A INPUT -p udp --dport 517 -j DROP
    iptables -A INPUT -p udp --dport 518 -j DROP






Tópicos Similares

  1. Script para Habilitar e Desabilitar Bloqueios feitos em IPtables
    Por flaviobatistela no fórum Servidores de Rede
    Respostas: 4
    Último Post: 31-10-2006, 16:17
  2. script para criação de contas
    Por no fórum Linguagens de Programação
    Respostas: 1
    Último Post: 08-02-2003, 16:08
  3. Regra de ipchains para iptables!
    Por no fórum Servidores de Rede
    Respostas: 6
    Último Post: 27-12-2002, 10:43
  4. Regra para IpTables
    Por no fórum Servidores de Rede
    Respostas: 2
    Último Post: 08-11-2002, 13:36
  5. scripts para logs do Radius
    Por dboom no fórum Servidores de Rede
    Respostas: 1
    Último Post: 15-09-2002, 15:00

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L