Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Atos
    Bom dia

    Estou criando meu primeiro firewall em linux e gostaria da colaboração da comunidade, vou coloar o script abaixo e gostaria que dessem uma olhada, gostaria de sugestões sobre o que devo mudar, se esta correto ou não. Desde ja agradeço a atenção de todos os colegas.

    # Atos Firewall V 1.2-2004
    # Proteção e Conectividade
    # e-mail: marcelo@atosnet.com.br
    # Todos os direitos reservado


    #Redireciona para Firebird -SAUDE-

    iptables -A FORWARD -p tcp -i eth0 --dport 3050 -d 191.161.10.253 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.253 --sport -d 0.0.0.0/0 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 3050 -j DNAT --to 191.161.10.253
    iptables -t nat -A POSTROUTING -j MASQUERADE

    #IPs liberados -sem proxy-
    iptables -A FORWARD -p tcp -s 191.161.10.12 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.2 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.148 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.199 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.116 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.195 -d 0.0.0.0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 191.161.10.187 -d 0.0.0.0/0 -j ACCEPT

    #Bloquear navegação sem proxy
    iptables -A FORWARD -p tcp -i eth1 -j REJECT
    iptables -t nat -A POSTROUTING -j MASQUERADE

    #Liberar acesso ao banco
    iptables -A FORWARD -p tcp -s 191.161.10.114 --dport 3002 -j ACCEPT

    #Liberar SMTP e POP3
    iptables -A FORWARD -p tcp -i eth1 --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp -i eth1 --dport 110 -j ACCEPT

    #Negar conexão externa nos seguintes serviços
    iptables -A INPUT -i

    #Evitando scans do tipo "porta origem=porta destino":
    iptables -A INPUT -p tcp --sport $i --dport $i -j DROP

    #Bloqueando Traceroute
    iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP

    #Proteção contra IP Spoofing
    iptables -A INPUT -s 191.161.10.0/24 -i eth1 -j DROP

    #Proteção contra Syn-floods
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

    #Proteção contra port scanners ocultos
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    #Proteção contra ping da morte
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

  2. Essa sua regra que você criou está funcionando?
    principalmente no diz a redirecionamento Firebird...
    Rato



  3. #3
    Atos
    Só apliquei a regra do Firebird até agora, e a mesma esta funcionando perfeitamente.

    Acha que vou ter problemas com as outras?

  4. Não terá problemas, é uma regra simples sem muito nível de segurança, poderia ser aprimorada, dá uma lida e tente decorar as regras, uma das regras que pode ser aprimorada, principalmente a de input e output, que não há nenhuma.



  5. cara era bom, so por seguraca, vc deletar as reguas do iptables ante de mais nada. vc pode fazer isso desta forma:

    obs: eth1 = rede interna, eth0 = internet


    iptables -F
    iptables -Z
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t mangle -F
    iptables -t mangle -X
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    depois vc pode colocar as seguintes regas para melhorar a seguranca da sua rede:

    # -=- [ Regras Gerais do Firewall ] -=-
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP

    # -=- [ Protecao de entrada (INPUT) ] -=-
    iptables -I INPUT -i lo -j ACCEPT
    iptables -I OUTPUT -o lo -j ACCEPT
    iptables -I INPUT -i ! lo -s 127.0.0.0/255.0.0.0 -j DROP
    iptables -A INPUT -p tcp ! --syn -i eth1 -j ACCEPT
    iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
    iptables -A INPUT -s 172.16.0.0/12 -i eth1 -j DROP
    iptables -A INPUT -s 192.168.0.0/16 -i eth1 -j DROP
    iptables -A INPUT -s 224.0.0.0/4 -i eth1 -j DROP
    iptables -A INPUT -s 240.0.0.0/5 -i eth1 -j DROP

    # -=- [ Protecoes Extras ] -=-
    iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
    iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp --dport 135 -i $INTERNAL_INTERFACE -j REJECT
    iptables -N syn-flood
    iptables -A INPUT -i $INTERNAL_INTERFACE -p tcp --syn -j syn-flood
    iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
    iptables -A syn-flood -j DROP
    #
    # OBS: [ Protecoes Extras ] 1) protecao contra pacotes indesejaveis
    # 2) protecao contra syn-flood
    # 3) protecao contra ping da morte
    # 4) protecao contra worms
    # 5-8) protecao contra IP spoofing

    # -=- [ Portas Bloqueadas (MSN) ] -=-
    iptables -A FORWARD -s LAN -p tcp --dport 1863 -j REJECT
    iptables -A FORWARD -s LAN -d loginnet.passport.com -j REJECT


    pronto... vc melhorou seu firewall






Tópicos Similares

  1. Interface grafica de configuracao do Iptables com mysql
    Por 06andre07 no fórum Assuntos não relacionados
    Respostas: 2
    Último Post: 10-09-2010, 08:00
  2. Configuração do Iptables redirecionamento de porta
    Por emerson2703 no fórum Servidores de Rede
    Respostas: 10
    Último Post: 14-01-2009, 14:28
  3. Configuração de Rede!!
    Por no fórum Servidores de Rede
    Respostas: 3
    Último Post: 03-02-2003, 15:17
  4. Configuração de domínios virtuais no webalizer?
    Por Ysgruvis no fórum Servidores de Rede
    Respostas: 1
    Último Post: 29-07-2002, 16:05
  5. Configuração de Log´s
    Por Mark_Yangst_Suaizer no fórum Servidores de Rede
    Respostas: 2
    Último Post: 27-07-2002, 11:27

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L