+ Responder ao Tópico



  1. #1
    Atos
    Visitante

    Padrão Configuração de Iptables

    Bom dia

    Estou criando meu primeiro firewall em linux e gostaria da colaboração da comunidade, vou coloar o script abaixo e gostaria que dessem uma olhada, gostaria de sugestões sobre o que devo mudar, se esta correto ou não. Desde ja agradeço a atenção de todos os colegas.

    # Atos Firewall V 1.2-2004
    # Proteção e Conectividade
    # e-mail: [email protected]
    # Todos os direitos reservado


    #Redireciona para Firebird -SAUDE-

    iptables -A FORWARD -p tcp -i eth0 --dport 3050 -d 191.161.10.253 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.253 --sport -d 0.0.0.0/0 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 3050 -j DNAT --to 191.161.10.253
    iptables -t nat -A POSTROUTING -j MASQUERADE

    #IPs liberados -sem proxy-
    iptables -A FORWARD -p tcp -s 191.161.10.12 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.2 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.148 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.199 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.116 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.195 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.187 -d 0.0.0.0/0 -j ACCEPT

    #Bloquear navegação sem proxy
    iptables -A FORWARD -p tcp -i eth1 -j REJECT
    iptables -t nat -A POSTROUTING -j MASQUERADE

    #Liberar acesso ao banco
    iptables -A FORWARD -p tcp -s 191.161.10.114 --dport 3002 -j ACCEPT

    #Liberar SMTP e POP3
    iptables -A FORWARD -p tcp -i eth1 --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp -i eth1 --dport 110 -j ACCEPT

    #Negar conexão externa nos seguintes serviços
    iptables -A INPUT -i

    #Evitando scans do tipo "porta origem=porta destino":
    iptables -A INPUT -p tcp --sport $i --dport $i -j DROP

    #Bloqueando Traceroute
    iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP

    #Proteção contra IP Spoofing
    iptables -A INPUT -s 191.161.10.0/24 -i eth1 -j DROP

    #Proteção contra Syn-floods
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

    #Proteção contra port scanners ocultos
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    #Proteção contra ping da morte
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

  2. #2

    Padrão Está funcionando essa regra?

    Essa sua regra que você criou está funcionando?
    principalmente no diz a redirecionamento Firebird...
    Rato



  3. #3
    Atos
    Visitante

    Padrão Configuração de Iptables

    Só apliquei a regra do Firebird até agora, e a mesma esta funcionando perfeitamente.

    Acha que vou ter problemas com as outras?

  4. #4

    Padrão Sem problemas

    Não terá problemas, é uma regra simples sem muito nível de segurança, poderia ser aprimorada, dá uma lida e tente decorar as regras, uma das regras que pode ser aprimorada, principalmente a de input e output, que não há nenhuma.



  5. #5

    Padrão Configuração de Iptables

    cara era bom, so por seguraca, vc deletar as reguas do iptables ante de mais nada. vc pode fazer isso desta forma:

    obs: eth1 = rede interna, eth0 = internet


    iptables -F
    iptables -Z
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t mangle -F
    iptables -t mangle -X
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    depois vc pode colocar as seguintes regas para melhorar a seguranca da sua rede:

    # -=- [ Regras Gerais do Firewall ] -=-
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP

    # -=- [ Protecao de entrada (INPUT) ] -=-
    iptables -I INPUT -i lo -j ACCEPT
    iptables -I OUTPUT -o lo -j ACCEPT
    iptables -I INPUT -i ! lo -s 127.0.0.0/255.0.0.0 -j DROP
    iptables -A INPUT -p tcp ! --syn -i eth1 -j ACCEPT
    iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
    iptables -A INPUT -s 172.16.0.0/12 -i eth1 -j DROP
    iptables -A INPUT -s 192.168.0.0/16 -i eth1 -j DROP
    iptables -A INPUT -s 224.0.0.0/4 -i eth1 -j DROP
    iptables -A INPUT -s 240.0.0.0/5 -i eth1 -j DROP

    # -=- [ Protecoes Extras ] -=-
    iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
    iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp --dport 135 -i $INTERNAL_INTERFACE -j REJECT
    iptables -N syn-flood
    iptables -A INPUT -i $INTERNAL_INTERFACE -p tcp --syn -j syn-flood
    iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
    iptables -A syn-flood -j DROP
    #
    # OBS: [ Protecoes Extras ] 1) protecao contra pacotes indesejaveis
    # 2) protecao contra syn-flood
    # 3) protecao contra ping da morte
    # 4) protecao contra worms
    # 5-8) protecao contra IP spoofing

    # -=- [ Portas Bloqueadas (MSN) ] -=-
    iptables -A FORWARD -s LAN -p tcp --dport 1863 -j REJECT
    iptables -A FORWARD -s LAN -d loginnet.passport.com -j REJECT


    pronto... vc melhorou seu firewall

  6. #6
    muganga
    Visitante

    Padrão acrescetar no firewall

    é bom acrescentar essa regra

    #Portas netbios
    iptables -A FORWARD -p tcp --dport 135 -j DROP
    iptables -A FORWARD -p udp --dport 135 -j DROP
    iptables -A FORWARD -p udp --dport 137 -j DROP
    iptables -A FORWARD -p udp --dport 138 -j DROP
    iptables -A FORWARD -p tcp --dport 139 -j DROP
    iptables -A FORWARD -p udp --dport 445 -j DROP
    iptables -A FORWARD -p tcp --dport 445 -j DROP
    iptables -A FORWARD -p tcp --dport 593 -j DROP

    Abraços

    Muganga
    MSN: [email protected]
    ICQ: 314528019