Proteja a rede de Vírus

[charadaa]

PRIMEIRO VEM AS REGRAS ACCEPT, POR ULTIMO AS REGRAS DROP

[whinston]

entao, axo que eu me expressei mal
o contrario que eu disse nao eh que 1 kernel eh mais ou menos seguro por default e sim que a ordem das regras mudaram

abre (accept)
drop (fecha)

antigamente era:
drop (fecha)
abre (accept

PRIMEIRO VEM AS REGRAS ACCEPT, POR ULTIMO AS REGRAS DROP

[1c3m4n]

Povo nao façam confusao, tanto faz a ordem! tudo depende da politica padrão

se vc comecar teu firewall com
iptables -P INPUT DROP
vc vai ter q botar ACCEPT pra liberar as conexoes necessarias

se vc comecar com o padrao (iptables -P INPUT ACCEPT)
ai vc tem que usar DROP pra bloquear tudo oq nao quiser

[whinston]

velho, a ordem realmente importa
da 1 testadinha ae

poe 1 accept, depois 1 drop
e depois 1 drop e depois accept

Povo nao façam confusao, tanto faz a ordem! tudo depende da politica padrão

se vc comecar teu firewall com
iptables -P INPUT DROP
vc vai ter q botar ACCEPT pra liberar as conexoes necessarias

se vc comecar com o padrao (iptables -P INPUT ACCEPT)
ai vc tem que usar DROP pra bloquear tudo oq nao quiser

[1c3m4n]

depende
por exemplo se vc fizer

iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

eh claro q faz diferença, nesse caso ele vai ignorar o accept,
eu tava me referindo a ordem de DROP/ACCEPT da politica padrao

[lacierdias]

Bom dia,
Se eu começa o FW assim como está Abaixo, depois tem q vir abrindo porta a porta q vou usar??? tipo abrir a 3128, 22, 21, 25, 110 etc...
OBS: No final eu abri a porta 22 terei q fazer o mesmo com a 3128 para o squid funcionar ou a regra q está já basta...??????
Grato pela atenção.

#!/bin/sh

#Internet=eth1
#Rede Interna=eth0

# Ativa módulos
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_REJECT
modprobe ipt_MASQUERADE

# Zera regras
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle

# Determina a política padrão
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Compartilha a conexão
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

# Rede Interna
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT

# Proxy transparente
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Abre SSH
iptables -A INPUT -p tcp -dport 22 -j ACCEPT

# Abre VNC
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5900 -j DNAT --to 192.168.0.100

[1c3m4n]

nossa vc fechou tudo mesmo hein heheheh, eh vc vai ter que abrir uma por uma, e nao se esqueca de usar a regra
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
tanto pra forward como output

[lacierdias]

nossa vc fechou tudo mesmo hein heheheh, eh vc vai ter que abrir uma por uma, e nao se esqueca de usar a regra
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
tanto pra forward como output

1c3_m4n desculpe abusar do seu tempo mas aonde eu coloco está regra q vc citou acima e quais portas eu tenho a abrir para ter um trafego transparente para o usuário sei que o FW ta meio drástico mas hj em dia sabe como é né...A ideia e não barra nada para o usuário da rede interna, quero q ele tenha passe livre em tudo...pode usar Kazaa, Emule, MSN, Skype, email...tudo tudo como se ele estivesse em casa, pq aqui temos Proxy de 10 Gigas e controle de banda, ai oq ele faz com a fatia de banda dele eu não ligo..rsrs. A ideia é apenas barrar os ataques vindos da web, agora o usuário não pode nem perceber nada nem ser barrado pelo FW em momento algum e a unica coisa q gostaria que fosse aberto para a internet é o SSH e VNC q ambos mudarei o numero da porta para dar uma dificultada nos ataques...rsrs. Sou novato com iptables e ainda me enrolo um pouco com a posição das regras. Pesso desculpas novamente pelo abuso mas já venho tentando fazer algo assim a algum tempo e não tenho obtido sucesso e sei de sua competência com o iptables por isso gostaria da sua ajudar.
Grato e um abraço

[pablito]

O problema do tamanho do log é resolvido com o logrotate.