+ Responder ao Tópico



  1. #1
    Dougld
    Visitante

    Padrão (snort_decoder) : Truncated Tcp Options

    [**] (snort_decoder): Truncated Tcp Options [**]
    01/22/04-13:28:08.385596 200.255.228.65:80 -> 200.xxx.xxx.xx:19125
    TCP TTL:50 TOS:0x0 ID:675 IpLen:20 DgmLen:52 DF
    ***A**** Seq: 0x2F615534 Ack: 0xCB82855B Win: 0x6028 TcpLen: 32

    olá tudo bom?

    Por favor , alguém poderia me dizer o q significa este alert do snort

    Eu procurei na net e não encontrei nada sobre

    Qualquer informação eu agradeço

    valeu

    dougld

  2. #2
    meiolouco
    Visitante

    Padrão (snort_decoder) : Truncated Tcp Options

    Dougld,
    Se você estiver usando iptables dá uma checada se você possui alguma regra para aceite de pacotes ao loopback, pois se vc usou o comando
    iptables -P INPUT DROP
    ele estará dropando inclusive pacotes para o lo.
    Isso pode ser presumido pela linha: 200.255.228.65:80 -> 200.xxx.xxx.xx:19125 onde houve um redirecionamento de portas.
    Repare que o Time To Live é de 50, ou seja, padrão! Se fosse uma tentativa de invasão esse tempo estaria setado como muito maior.
    o Type of Service é de 0x0 que é de NORMAL-SERVICE.
    Então, acredito que este seja o problema.
    Se não resolver, tá um toque pois esse problema "não ocorre todo dia"!

    []´s
    Rodrigo



  3. #3
    Dougld
    Visitante

    Padrão ALERTA SNORT

    Citação Postado originalmente por meiolouco
    Dougld,
    Se você estiver usando iptables dá uma checada se você possui alguma regra para aceite de pacotes ao loopback, pois se vc usou o comando
    iptables -P INPUT DROP
    ele estará dropando inclusive pacotes para o lo.
    Isso pode ser presumido pela linha: 200.255.228.65:80 -> 200.xxx.xxx.xx:19125 onde houve um redirecionamento de portas.
    Repare que o Time To Live é de 50, ou seja, padrão! Se fosse uma tentativa de invasão esse tempo estaria setado como muito maior.
    o Type of Service é de 0x0 que é de NORMAL-SERVICE.
    Então, acredito que este seja o problema.
    Se não resolver, tá um toque pois esse problema "não ocorre todo dia"!

    []´s
    Rodrigo
    fala meiolouco , blz eu utilizo sim o iptables e lá tem as regras para aceitar do loopback e negar o restante se liga ai

    #INTERFACE DE LOOPBACK
    iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

    #BLOQUEIA O RESTANTE
    iptables -A INPUT -p tcp --syn -j DROP

    eu vou dar mais uma olhada no log e se ver algo de diferente eu posto valeu

    Dougld

  4. #4
    Visitante

    Padrão (snort_decoder) : Truncated Tcp Options

    Legal Doug...
    Nessas regras vc pode fazer o seguinte pra dar uma melhorada!!!
    iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
    Essa regra diz pra aceitar apenas pacotes tcp com a flag em syn, porém como é um loopback, ele pode conter um sinal de ack (acknoledge) que ele respondeu pra ele mesmo, então a melhor coisa seria um
    iptables -A INPUT -s 127.0.0.1 -j ACCEPT

    Já na regra:
    iptables -A INPUT -p tcp --syn -j DROP
    repare que vc está dropando apenas respostas para o protocolo tcp com a flag syn, (olha a brecha) todos os pacotes UDP, ICMP e tcp exceto syn estão passando direto pelo seu firewall, e então se vc pingar o ip dessa máquina ela deve responder, coisa que ela normalmente não deveria!
    Para resolver esse problema segue a regra, repare que essa regra vc pôe no começo do arquivo de regras:
    iptables -P INPUT DROP
    o -P serve para indicar uma regra padrão
    e o DROP não precisa de -j pq se trata de regra estática.

    espero ter exclarecido
    qualquer dúvida estamos aí...
    []´s



  5. #5
    Dougld
    Visitante

    Padrão (snort_decoder) : Truncated Tcp Options

    Citação Postado originalmente por Anonymous
    Legal Doug...
    Nessas regras vc pode fazer o seguinte pra dar uma melhorada!!!
    iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
    Essa regra diz pra aceitar apenas pacotes tcp com a flag em syn, porém como é um loopback, ele pode conter um sinal de ack (acknoledge) que ele respondeu pra ele mesmo, então a melhor coisa seria um
    iptables -A INPUT -s 127.0.0.1 -j ACCEPT

    Já na regra:
    iptables -A INPUT -p tcp --syn -j DROP
    repare que vc está dropando apenas respostas para o protocolo tcp com a flag syn, (olha a brecha) todos os pacotes UDP, ICMP e tcp exceto syn estão passando direto pelo seu firewall, e então se vc pingar o ip dessa máquina ela deve responder, coisa que ela normalmente não deveria!
    Para resolver esse problema segue a regra, repare que essa regra vc pôe no começo do arquivo de regras:
    iptables -P INPUT DROP
    o -P serve para indicar uma regra padrão
    e o DROP não precisa de -j pq se trata de regra estática.

    espero ter exclarecido
    qualquer dúvida estamos aí...
    []´s
    fala meiolouco blz

    realmente no de loopback eu posso passar o flag ack q não tem problema e apenas eu flag de resposta de recebimento do pacote

    agora tipo eu concordo tbm em mexer no polices do INPUT eu tava meio preocupado em parar tudo , mas lá para o final de expediente vou mudar lá o polices e ver no q dá!!!!!!!

    sobre os os protocolos udp tcp e icmp eles estão protegidos ,o ping não funciona mas realmente eu terei q ver se as udp e tcp apenas com syn estão dropando ok

    valeu , qualquer dúvida eu posto aki

  6. #6
    Dougld
    Visitante

    Padrão (snort_decoder) : Truncated Tcp Options

    Citação Postado originalmente por Dougld
    Citação Postado originalmente por Anonymous
    Legal Doug...
    Nessas regras vc pode fazer o seguinte pra dar uma melhorada!!!
    iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
    Essa regra diz pra aceitar apenas pacotes tcp com a flag em syn, porém como é um loopback, ele pode conter um sinal de ack (acknoledge) que ele respondeu pra ele mesmo, então a melhor coisa seria um
    iptables -A INPUT -s 127.0.0.1 -j ACCEPT

    Já na regra:
    iptables -A INPUT -p tcp --syn -j DROP
    repare que vc está dropando apenas respostas para o protocolo tcp com a flag syn, (olha a brecha) todos os pacotes UDP, ICMP e tcp exceto syn estão passando direto pelo seu firewall, e então se vc pingar o ip dessa máquina ela deve responder, coisa que ela normalmente não deveria!
    Para resolver esse problema segue a regra, repare que essa regra vc pôe no começo do arquivo de regras:
    iptables -P INPUT DROP
    o -P serve para indicar uma regra padrão
    e o DROP não precisa de -j pq se trata de regra estática.

    espero ter exclarecido
    qualquer dúvida estamos aí...
    []´s
    fala meiolouco blz

    realmente no de loopback eu posso passar o flag ack q não tem problema e apenas eu flag de resposta de recebimento do pacote

    agora tipo eu concordo tbm em mexer no polices do INPUT eu tava meio preocupado em parar tudo , mas lá para o final de expediente vou mudar lá o polices e ver no q dá!!!!!!!

    sobre os os protocolos udp tcp e icmp eles estão protegidos ,o ping não funciona mas realmente eu terei q ver se as udp e tcp apenas com syn estão dropando ok

    valeu , qualquer dúvida eu posto aki
    cara não ta passando não olha só
    iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP



  7. #7
    meiolouco
    Visitante

    Padrão (snort_decoder) : Truncated Tcp Options

    Fala aí Doug.

    Quanto a essa regra:
    iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    ela vai dropar todos os pacotes de syncronismo e de aceite (ack) e por estar numa chain FORWARD, vc provavelmente não acessará a internet e nem pingará o host.

    Ao invés de barrar ou liberar as flags, (o controle por flag pode levar a perda de pacote), nega tudo e depois autorize apenas os serviços necessários.
    Assim seu arquivo fica pequeno e com poucas regras para serem administradas.

    Se vc quiser posso te mandar meu arquivo rc.firewall que fiz, aparentemente minha situação é bem próxima da realidade que vc encontra aí.

    []´s
    ½louco

  8. #8
    Dougld
    Visitante

    Padrão fala ai veio

    Citação Postado originalmente por meiolouco
    Fala aí Doug.

    Quanto a essa regra:
    iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    ela vai dropar todos os pacotes de syncronismo e de aceite (ack) e por estar numa chain FORWARD, vc provavelmente não acessará a internet e nem pingará o host.

    Ao invés de barrar ou liberar as flags, (o controle por flag pode levar a perda de pacote), nega tudo e depois autorize apenas os serviços necessários.
    Assim seu arquivo fica pequeno e com poucas regras para serem administradas.

    Se vc quiser posso te mandar meu arquivo rc.firewall que fiz, aparentemente minha situação é bem próxima da realidade que vc encontra aí.

    []´s
    ½louco
    pode mandar veio, será bem vindo!!!!

    vc utiliza que distribuição?

    cara outra coisa q ia te perguntar vc já mexeu com o coyote o firewall dele e redirecionamento , irei passar o meu aki:

    iptables -F
    iptables -t nat -F

    modprobe ip_tables
    modprobe iptable_nat

    #PROTEÇÃO CONTRA HACKERS
    iptables -A FORWARD -m unclean -j DROP

    # ACESSO AO SSH
    iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp --dport 22 -j DROP

    # NEGANDO ACESSO EXTERNO AO SAMBA
    iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 139 -j ACCEPT
    iptables -A INPUT -p udp --source 192.168.1.0/255.255.255.0 --dport 138 -j ACCEPT
    iptables -A INPUT -p udp --source 192.168.1.0/255.255.255.0 --dport 137 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 901 -j ACCEPT
    iptables -A INPUT -p tcp --dport 139 -j DROP
    iptables -A INPUT -p tcp --dport 901 -j DROP

    # BLOQUEIO ICQ
    iptables -A FORWARD -p TCP --dport 5190 -j DROP
    iptables -A FORWARD -d login.icq.com -j DROP

    # BLOQUEIO MSN
    iptables -A FORWARD -p TCP --dport 1863 -j DROP

    # SQUID
    iptables -A INPUT -p tcp --dport 80 -j DROP
    iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.2.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.3.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.4.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.5.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.6.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.7.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 10.0.0.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --dport 3128 -j DROP

    # SERVIDOR APACHE
    iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 443 -j ACCEPT
    iptables -A INPUT -p tcp --dport 443 -j DROP

    # BLOQUEANDO OUTRAS PORTAS
    iptables -A INPUT -p udp --dport 138 -j DROP
    iptables -A INPUT -p udp --dport 137 -j DROP
    iptables -A INPUT -p udp --dport 749 -j DROP
    iptables -A INPUT -p udp --dport 1900 -j DROP

    #PROTEÇÃO CONTRA HACKERS
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

    # RESPONDER E NEGAR A PINGS
    iptables -A INPUT -s 192.168.1.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.2.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.3.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.4.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.5.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.6.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.7.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 10.0.0.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
    iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
    #iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
    iptables -A INPUT -p icmp -j DROP

    # PROXY TRANSPARENTE
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    # NAT
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # REDIRECIONAMENTO DE PORTA DA CONEXÃO
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 3389 -j DNAT --to 192.168.1.3:3389
    iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.3 --sport 3389 -j SNAT --to 200.xxx.xxx.xxx:3389
    iptables -A INPUT -p tcp --source 200.xxx.xxx.xxx/255.255.255.255 --dport 3389 -j ACCEPT
    iptables -A INPUT -p tcp --dport 3389 -j DROP

    #INTERFACE DE LOOPBACK
    iptables -A INPUT -s 127.0.0.1/255.0.0.0 -j ACCEPT

    # Rede local e EXTERNO
    iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.3.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.2.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.4.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.5.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.6.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.7.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT
    #iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT

    #BLOQUEIA O RESTANTE
    iptables -A INPUT -p tcp --syn -j DROP

    falou meio...

    até mais



  9. #9
    meiolouco
    Visitante

    Padrão (snort_decoder) : Truncated Tcp Options

    Segue meu rc.firewall, atualmente estou usando um Slackware!
    Eu usava o Coyote num pentium 100 que eu tenho em casa, mas eu acabei desenvolvendo um halted firewall que funciona bem melhor e ele ainda gera logs de conexão.

    []´s
    Meio louco

    #Script Ninja para Firewall
    if [ "$1" = "flush" ]; then
    echo " Flushing Firewall... Wait a second! "
    iptables -F
    iptables -t nat -F
    iptables -t mangle -F
    iptables -A INPUT -p tcp --dport 22 -s 192.168.0.2 -j ACCEPT
    echo " Flushing DOne! "
    else
    iptables -P INPUT DROP
    iptables -P FORWARD ACCEPT


    iptables -P OUTPUT ACCEPT
    #REGRA PARA COMPARTILHAMENTO DA INTERNEVERS
    echo " Chamando o firewall "
    iptables -t nat -A POSTROUTING -s 0/0 -j MASQUERADE
    iptables -A INPUT -i lo -j ACCEPT
    #ACEITA OS SERVICOS DESIGNADOS
    #SERVICOS DE SERVIDOR : FTP, SSH, HTTPD ,HTTPS SAMBA
    iptables -A INPUT -p tcp --dport 20 -i eth0 -j ACCEPT # FTP services
    iptables -A INPUT -p tcp --dport 21 -i eth0 -j ACCEPT # FTP
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT #HTTP
    #iptables -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS
    iptables -A INPUT -i eth0 -p udp --dport 139 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p udp --dport 138 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p udp --dport 137 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p tcp --dport 137 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p tcp --dport 138 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT #SAMBA

    # ACEITA OS SERVICOS DESIGNADOS:
    # SERVICOS DE CLIENTE
    iptables -A FORWARD -i eth0 -p tcp --dport 20 -j ACCEPT # FTP services
    iptables -A FORWARD -i eth0 -p tcp --dport 21 -j ACCEPT # FTP
    iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT # ICMP
    iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT # ICMP
    iptables -A FORWARD -i eth0 -p tcp --dport 53 -j ACCEPT # CORREIO
    iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT # INTERNET
    iptables -A FORWARD -i eth0 -p tcp --dport 443 -j ACCEPT # HTTPS
    # Regras de Proteção
    iptables -t nat -A PREROUTING -i eth1 -s 10.0.0.0/8 -j DROP
    iptables -t nat -A PREROUTING -i eth1 -s 172.16.0.0/16 -j DROP
    iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/24 -j DROP
    # Fazendo Log
    iptables -A INPUT -p tcp -i eth1 -j LOG --log-level DEBUG --log-prefix "Pacote tcp:"
    iptables -A INPUT -p icmp -i eth1 -j LOG --log-level DEBUG --log-prefix "Pacote icmp:"
    iptables -A INPUT -p icmp -i eth0 -j LOG --log-level DEBUG --log-prefix "Pacote icmp:"
    # leitura de pacotes
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    echo " Firewall chamado!!! "
    fi

  10. #10
    Dougld
    Visitante

    Padrão firewall simples porém legal

    Citação Postado originalmente por meiolouco
    Segue meu rc.firewall, atualmente estou usando um Slackware!
    Eu usava o Coyote num pentium 100 que eu tenho em casa, mas eu acabei desenvolvendo um halted firewall que funciona bem melhor e ele ainda gera logs de conexão.

    []´s
    Meio louco

    #Script Ninja para Firewall
    if [ "$1" = "flush" ]; then
    echo " Flushing Firewall... Wait a second! "
    iptables -F
    iptables -t nat -F
    iptables -t mangle -F
    iptables -A INPUT -p tcp --dport 22 -s 192.168.0.2 -j ACCEPT
    echo " Flushing DOne! "
    else
    iptables -P INPUT DROP
    iptables -P FORWARD ACCEPT


    iptables -P OUTPUT ACCEPT
    #REGRA PARA COMPARTILHAMENTO DA INTERNEVERS
    echo " Chamando o firewall "
    iptables -t nat -A POSTROUTING -s 0/0 -j MASQUERADE
    iptables -A INPUT -i lo -j ACCEPT
    #ACEITA OS SERVICOS DESIGNADOS
    #SERVICOS DE SERVIDOR : FTP, SSH, HTTPD ,HTTPS SAMBA
    iptables -A INPUT -p tcp --dport 20 -i eth0 -j ACCEPT # FTP services
    iptables -A INPUT -p tcp --dport 21 -i eth0 -j ACCEPT # FTP
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT #HTTP
    #iptables -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS
    iptables -A INPUT -i eth0 -p udp --dport 139 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p udp --dport 138 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p udp --dport 137 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p tcp --dport 137 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p tcp --dport 138 -j ACCEPT #SAMBA
    iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT #SAMBA

    # ACEITA OS SERVICOS DESIGNADOS:
    # SERVICOS DE CLIENTE
    iptables -A FORWARD -i eth0 -p tcp --dport 20 -j ACCEPT # FTP services
    iptables -A FORWARD -i eth0 -p tcp --dport 21 -j ACCEPT # FTP
    iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT # ICMP
    iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT # ICMP
    iptables -A FORWARD -i eth0 -p tcp --dport 53 -j ACCEPT # CORREIO
    iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT # INTERNET
    iptables -A FORWARD -i eth0 -p tcp --dport 443 -j ACCEPT # HTTPS
    # Regras de Proteção
    iptables -t nat -A PREROUTING -i eth1 -s 10.0.0.0/8 -j DROP
    iptables -t nat -A PREROUTING -i eth1 -s 172.16.0.0/16 -j DROP
    iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/24 -j DROP
    # Fazendo Log
    iptables -A INPUT -p tcp -i eth1 -j LOG --log-level DEBUG --log-prefix "Pacote tcp:"
    iptables -A INPUT -p icmp -i eth1 -j LOG --log-level DEBUG --log-prefix "Pacote icmp:"
    iptables -A INPUT -p icmp -i eth0 -j LOG --log-level DEBUG --log-prefix "Pacote icmp:"
    # leitura de pacotes
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    ficou legal o seu firewall , simples e objetivo

    vc pegar umas dicas aki e colocar no meu

    valeu
    Dougld

    echo " Firewall chamado!!! "
    fi



  11. #11
    Visitante

    Padrão Re: fala ai veio

    Citação Postado originalmente por Dougld
    Citação Postado originalmente por meiolouco
    Fala aí Doug.

    Quanto a essa regra:
    iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    ela vai dropar todos os pacotes de syncronismo e de aceite (ack) e por estar numa chain FORWARD, vc provavelmente não acessará a internet e nem pingará o host.

    Ao invés de barrar ou liberar as flags, (o controle por flag pode levar a perda de pacote), nega tudo e depois autorize apenas os serviços necessários.
    Assim seu arquivo fica pequeno e com poucas regras para serem administradas.

    Se vc quiser posso te mandar meu arquivo rc.firewall que fiz, aparentemente minha situação é bem próxima da realidade que vc encontra aí.

    []´s
    ½louco
    pode mandar veio, será bem vindo!!!!

    vc utiliza que distribuição?

    cara outra coisa q ia te perguntar vc já mexeu com o coyote o firewall dele e redirecionamento , irei passar o meu aki:

    iptables -F
    iptables -t nat -F

    modprobe ip_tables
    modprobe iptable_nat

    #PROTEÇÃO CONTRA HACKERS
    iptables -A FORWARD -m unclean -j DROP

    # ACESSO AO SSH
    iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp --dport 22 -j DROP

    # NEGANDO ACESSO EXTERNO AO SAMBA
    iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 139 -j ACCEPT
    iptables -A INPUT -p udp --source 192.168.1.0/255.255.255.0 --dport 138 -j ACCEPT
    iptables -A INPUT -p udp --source 192.168.1.0/255.255.255.0 --dport 137 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 901 -j ACCEPT
    iptables -A INPUT -p tcp --dport 139 -j DROP
    iptables -A INPUT -p tcp --dport 901 -j DROP

    # BLOQUEIO ICQ
    iptables -A FORWARD -p TCP --dport 5190 -j DROP
    iptables -A FORWARD -d login.icq.com -j DROP

    # BLOQUEIO MSN
    iptables -A FORWARD -p TCP --dport 1863 -j DROP

    # SQUID
    iptables -A INPUT -p tcp --dport 80 -j DROP
    iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.2.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.3.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.4.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.5.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.6.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 192.168.7.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --source 10.0.0.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --dport 3128 -j DROP

    # SERVIDOR APACHE
    iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 443 -j ACCEPT
    iptables -A INPUT -p tcp --dport 443 -j DROP

    # BLOQUEANDO OUTRAS PORTAS
    iptables -A INPUT -p udp --dport 138 -j DROP
    iptables -A INPUT -p udp --dport 137 -j DROP
    iptables -A INPUT -p udp --dport 749 -j DROP
    iptables -A INPUT -p udp --dport 1900 -j DROP

    #PROTEÇÃO CONTRA HACKERS
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

    # RESPONDER E NEGAR A PINGS
    iptables -A INPUT -s 192.168.1.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.2.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.3.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.4.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.5.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.6.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 192.168.7.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 10.0.0.0/255.255.255.0 -p icmp -j ACCEPT
    iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
    iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
    #iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
    iptables -A INPUT -p icmp -j DROP

    # PROXY TRANSPARENTE
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    # NAT
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # REDIRECIONAMENTO DE PORTA DA CONEXÃO
    iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 3389 -j DNAT --to 192.168.1.3:3389
    iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.3 --sport 3389 -j SNAT --to 200.xxx.xxx.xxx:3389
    iptables -A INPUT -p tcp --source 200.xxx.xxx.xxx/255.255.255.255 --dport 3389 -j ACCEPT
    iptables -A INPUT -p tcp --dport 3389 -j DROP

    #INTERFACE DE LOOPBACK
    iptables -A INPUT -s 127.0.0.1/255.0.0.0 -j ACCEPT

    # Rede local e EXTERNO
    iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.3.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.2.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.4.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.5.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.6.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 192.168.7.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT
    #iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT

    #BLOQUEIA O RESTANTE
    iptables -A INPUT -p tcp --syn -j DROP

    falou meio...

    até mais