Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Citação Postado originalmente por fdotta
    Cara exerimenta esta regras amais:

    Código :
    iptables -I INPUT -i lo -j ACCEPT
    iptables -I OUTPUT -o lo -j ACCEPT
    iptables -I INPUT -i ! lo -s 127.0.0.0/255.0.0.0 -j DROP
    iptables -A INPUT -p tcp ! --syn -i $INTERNAL_INTERFACE  -j ACCEPT
    iptables -A INPUT -s 10.0.0.0/8  -j DROP
    iptables -A INPUT -s 172.16.0.0/12 -j DROP
    iptables -A INPUT -s 192.168.0.0/16 -j DROP
    iptables -A INPUT -s 224.0.0.0/4 -j DROP
    iptables -A INPUT -s 240.0.0.0/5 -j DROP
    iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
    iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp --dport 135 -i $INTERNAL_INTERFACE  -j REJECT
    iptables -N syn-flood
    iptables -A INPUT -i $INTERNAL_INTERFACE -p tcp --syn -j syn-flood
    iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
    iptables -A syn-flood -j DROP

    [] Dotta :twisted:
    # nao entendi essa regra =/
    iptables -I INPUT -i ! lo -s 127.0.0.0/255.0.0.0 -j DROP

    # bloqua ips externos com origem em redes internas, certo ?
    iptables -A INPUT -s 10.0.0.0/8 -j DROP
    iptables -A INPUT -s 172.16.0.0/12 -j DROP
    iptables -A INPUT -s 192.168.0.0/16 -j DROP
    iptables -A INPUT -s 224.0.0.0/4 -j DROP
    iptables -A INPUT -s 240.0.0.0/5 -j DROP

    # acho desnecessarias regras de forward, nao tenho rede aqui.
    iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
    iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp --dport 135 -i $INTERNAL_INTERFACE -j REJECT

  2. Citação Postado originalmente por Skorpyon
    # nao entendi essa regra =/
    iptables -I INPUT -i ! lo -s 127.0.0.0/255.0.0.0 -j DROP

    # bloqua ips externos com origem em redes internas, certo ?
    iptables -A INPUT -s 10.0.0.0/8 -j DROP
    iptables -A INPUT -s 172.16.0.0/12 -j DROP
    iptables -A INPUT -s 192.168.0.0/16 -j DROP
    iptables -A INPUT -s 224.0.0.0/4 -j DROP
    iptables -A INPUT -s 240.0.0.0/5 -j DROP

    # acho desnecessarias regras de forward, nao tenho rede aqui.
    iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
    iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp --dport 135 -i $INTERNAL_INTERFACE -j REJECT
    A primeira regra bloqeuia qualquer coisa q tente entra no input com rede 127.0.0.0 q nao seja da interface lo. O segundo bloco de regras evita q ips de rede privadas entrem no input, esta eh uma tatica bastante usada para invasao e o 3 bloquo (q vc acho desncessario) sao regras para 1) protecao contra pacotes indesejaveis, 2) protecao contra syn-flood, 3) protecao contra IP spoofing, 4) protecao contra worms (nao muito eficiente mas segura alguma coisa).

    [] Dotta
    :twisted:



  3. Quis dizer desnecessario no sentido de que não irão fazer diferença para mim, por que este micro não esta fazendo o compartilhamento da net.
    Como a chain FORWARD é usada para regras que atravessam o firewall e aqui não preciso disso eu ate deixei a politica dela como DROP.
    Eu tinha entendido a funcao das regras de forward.

    Não tava entendendo aquela regra com o "!" (tinha esquecido a funcao do !).
    E tava com duvida na outra que protege contra ataque de spoofing.

    Se lembrar de mais alguma coisa interesante para colocar no firewall, me avisa.
    fdotta, obrigado ae pela ajuda =)

  4. Opa disponha,


    Eu tinha entendido q as regras nao eram necessarias para vc, so fai isso para identificar o bloco de regras para ficar mais facil de explicar... hehehe

    Mas acredito q com estas resgras o FW fica bem protegido, existem mais algumas regras com o magle para alterar o TOS (type of service), mas nao uso nao dao muito trabalho e costuman dar problemas e o ganha de seguranca nao eh muito grande.


    [] Dotta :twisted:



  5. Citação Postado originalmente por fdotta
    Opa disponha,


    Eu tinha entendido q as regras nao eram necessarias para vc, so fai isso para identificar o bloco de regras para ficar mais facil de explicar... hehehe

    Mas acredito q com estas resgras o FW fica bem protegido, existem mais algumas regras com o magle para alterar o TOS (type of service), mas nao uso nao dao muito trabalho e costuman dar problemas e o ganha de seguranca nao eh muito grande.


    [] Dotta :twisted:
    Dei uma olhada por cima no guia foca sobre mangle.
    Depois quero ver isso com mais calma e fazer uns testes aqui =)
    Agora to no servico, depois posto como fico meu firewall.

    flw






Tópicos Similares

  1. Meu script de firewall, alguém pode dar uma olhada?
    Por fisiconuclear18 no fórum Servidores de Rede
    Respostas: 3
    Último Post: 25-11-2005, 10:27
  2. script de firewall
    Por no fórum Servidores de Rede
    Respostas: 5
    Último Post: 26-06-2005, 11:42
  3. sequência de regras no script de firewall
    Por roggy no fórum Servidores de Rede
    Respostas: 13
    Último Post: 26-05-2005, 10:33
  4. Erros no script de Firewall depois da migracao
    Por phacam no fórum Servidores de Rede
    Respostas: 6
    Último Post: 19-05-2005, 16:57
  5. Mensagem quando executo meu script de firewall
    Por Wal no fórum Servidores de Rede
    Respostas: 8
    Último Post: 09-11-2003, 02:13

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L