Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    johnny
    Pessoalo,

    Gostaria da opinião de vocês afim de saber se está blzinha ou posso melhorar meu firewall.
    Meu caso é um servidor que usa a por 80 e 25 apenas. Tenho que acessa-lo remotamente por ssh.

    Aguardo comentários!!!!

    Segue abaixo:

    #!/bin/bash

    # FIREWALL
    dns_pri="200.204.0.245"
    dns_sec="200.204.0.246"


    # LEVANTANDO MODULOS
    /sbin/modprobe ip_tables
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_state

    # LIMPANDO FIREWALL
    /sbin/iptables -t filter -F
    /sbin/iptables -t nat -F
    /sbin/iptables -t mangle -F

    # APAGANDO CADEIAS DE TERCEIROS
    /sbin/iptables -X

    # DEFININDO A POLITICA (tudo fechado)
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P OUTPUT ACCEPT
    /sbin/iptables -P FORWARD DROP

    #DEFESA CONTRA ATAQUES DIVERSOS
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies

    /sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    /sbin/iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    /sbin/iptables -A FORWARD -m unclean -j DROP


    # REGRAS DIVERSAS

    /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    /sbin/iptables -A INPUT -i lo -j ACCEPT
    /sbin/iptables -A INPUT -s 200.155.30.20 -j ACCEPT
    /sbin/iptables -A INPUT -s 200.223.30.56 -j ACCEPT
    /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    /sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
    /sbin/iptables -A INPUT -p udp -s $dns_pri --sport 53 -j ACCEPT
    /sbin/iptables -A INPUT -p udp -s $dns_sec --sport 53 -j ACCEPT
    /sbin/iptables -A INPUT -i eth0 -f -j DROP


    /sbin/iptables -A FORWARD -m state --state INVALID -j DROP
    /sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT


    []´s
    João

  2. ta legalzinho, bem enxuto mas realmente bloqueando o q interessa, claroq sempre da pra da uma melhorada.

    1) precisa mesmo ter ping liberado?
    2) algumas regras pra barrar portscan:

    Código :
    # Protecao contra port scanners
    $IPTABLES -N SCANNER
    $IPTABLES -A SCANNER -j DROP
    $IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $NET -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -i $NET -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -i $NET -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $NET -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $NET -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $NET -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $NET -j SCANNER



  3. #3
    johnny
    Rapaz... vlw mesmo pela força. É sempre bom ter uma segunda opinião )

    Achei interessante essas linhas para proteção contra port scanners, mas não entendi realmente a quem ele é destinado.
    Poderia me dar um exemplo de aplicação preenchenco a variável $NET?

    No meu caso, devo me proteger de todo e qualquer IP. Como poderia estar preenchendo essa variável?

    obrigado!!
    []´s
    Johnny

  4. $NET no meu caso eh eth0, troque pela sua placa de rede conectada na net



  5. Ficou maneiro o FW. Gostaria de saber duas coisas:
    1°: ele barra algumacoisa para o pessoal da rede interna? Tipo MSN, Skype outlook e afins.....
    2°: As regras de port scanner entram antes das ""REGRAS DIVERSAS"" citadas no FW dele???

    Abraço






Tópicos Similares

  1. Redirecionamento Não está funcionando no meu Firewall
    Por SpecOps no fórum Servidores de Rede
    Respostas: 7
    Último Post: 29-05-2005, 15:21
  2. analise meu firewall
    Por quecosuix no fórum Servidores de Rede
    Respostas: 5
    Último Post: 10-10-2004, 13:24
  3. Meu firewall me bloqueou.. não faço mais nada
    Por guardian_metal no fórum Servidores de Rede
    Respostas: 15
    Último Post: 02-09-2004, 21:09
  4. Meu firewall ta bixado
    Por Gnuser no fórum Servidores de Rede
    Respostas: 1
    Último Post: 09-01-2004, 11:44
  5. quando subo o iptables, meu firewall fica bloqueado
    Por edilson no fórum Servidores de Rede
    Respostas: 3
    Último Post: 23-01-2003, 09:36

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L