+ Responder ao Tópico



  1. #1
    johnny
    Visitante

    Padrão meu firewall!! opinem!!!

    Pessoalo,

    Gostaria da opinião de vocês afim de saber se está blzinha ou posso melhorar meu firewall.
    Meu caso é um servidor que usa a por 80 e 25 apenas. Tenho que acessa-lo remotamente por ssh.

    Aguardo comentários!!!!

    Segue abaixo:

    #!/bin/bash

    # FIREWALL
    dns_pri="200.204.0.245"
    dns_sec="200.204.0.246"


    # LEVANTANDO MODULOS
    /sbin/modprobe ip_tables
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_state

    # LIMPANDO FIREWALL
    /sbin/iptables -t filter -F
    /sbin/iptables -t nat -F
    /sbin/iptables -t mangle -F

    # APAGANDO CADEIAS DE TERCEIROS
    /sbin/iptables -X

    # DEFININDO A POLITICA (tudo fechado)
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P OUTPUT ACCEPT
    /sbin/iptables -P FORWARD DROP

    #DEFESA CONTRA ATAQUES DIVERSOS
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies

    /sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    /sbin/iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    /sbin/iptables -A FORWARD -m unclean -j DROP


    # REGRAS DIVERSAS

    /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    /sbin/iptables -A INPUT -i lo -j ACCEPT
    /sbin/iptables -A INPUT -s 200.155.30.20 -j ACCEPT
    /sbin/iptables -A INPUT -s 200.223.30.56 -j ACCEPT
    /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    /sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
    /sbin/iptables -A INPUT -p udp -s $dns_pri --sport 53 -j ACCEPT
    /sbin/iptables -A INPUT -p udp -s $dns_sec --sport 53 -j ACCEPT
    /sbin/iptables -A INPUT -i eth0 -f -j DROP


    /sbin/iptables -A FORWARD -m state --state INVALID -j DROP
    /sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT


    []´s
    João

  2. #2

    Padrão meu firewall!! opinem!!!

    ta legalzinho, bem enxuto mas realmente bloqueando o q interessa, claroq sempre da pra da uma melhorada.

    1) precisa mesmo ter ping liberado?
    2) algumas regras pra barrar portscan:

    Código :
    # Protecao contra port scanners
    $IPTABLES -N SCANNER
    $IPTABLES -A SCANNER -j DROP
    $IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $NET -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -i $NET -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -i $NET -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $NET -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $NET -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $NET -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $NET -j SCANNER

  3. #3
    johnny
    Visitante

    Padrão meu firewall!! opinem!!!

    Rapaz... vlw mesmo pela força. É sempre bom ter uma segunda opinião )

    Achei interessante essas linhas para proteção contra port scanners, mas não entendi realmente a quem ele é destinado.
    Poderia me dar um exemplo de aplicação preenchenco a variável $NET?

    No meu caso, devo me proteger de todo e qualquer IP. Como poderia estar preenchendo essa variável?

    obrigado!!
    []´s
    Johnny

  4. #4

    Padrão meu firewall!! opinem!!!

    $NET no meu caso eh eth0, troque pela sua placa de rede conectada na net

  5. #5

    Padrão meu firewall!! opinem!!!

    Ficou maneiro o FW. Gostaria de saber duas coisas:
    1°: ele barra algumacoisa para o pessoal da rede interna? Tipo MSN, Skype outlook e afins.....
    2°: As regras de port scanner entram antes das ""REGRAS DIVERSAS"" citadas no FW dele???

    Abraço

  6. #6

    Padrão meu firewall!! opinem!!!

    1) Sim bloqueia pq ele tem como politica padrao DROP no forward (soh num vai bloquear se o cliente usar o proxy pra conectar)

    2) as regras do portscan eu uso bem no comecinho do fw, nesse fw em especifico nao vai fazer mta diferenca o lugar que vc colocar

  7. #7

    Padrão meu firewall!! opinem!!!

    Citação Postado originalmente por 1c3_m4n
    1) Sim bloqueia pq ele tem como politica padrao DROP no forward (soh num vai bloquear se o cliente usar o proxy pra conectar)

    2) as regras do portscan eu uso bem no comecinho do fw, nesse fw em especifico nao vai fazer mta diferenca o lugar que vc colocar
    Valeu irmão...

  8. #8

    Padrão meu firewall!! opinem!!!

    Te cuida com essa de liberar SSH... veh se faz uma segurança basica.

  9. #9

    Padrão meu firewall!! opinem!!!

    Citação Postado originalmente por DropALL
    Te cuida com essa de liberar SSH... veh se faz uma segurança basica.
    é ou não é viavel uma solução snort+guardian (ou + snortsam) ??? ouvi falar em outro tópico que funciona e tal mas tambem aumenta o risco da maquina cair, no caso de um ataque DoS.

  10. #10

    Padrão meu firewall!! opinem!!!

    uma duvida, pra usar esse script com nat e proxy transparente num mq. como Gateway da rede, o que devo acrescentar e o q devo remover? Existe alguma sequencia a ser obedecida?