+ Responder ao Tópico



  1. #1
    Visitante
    Visitante

    Padrão Iptables

    Ola!

    sou iniciante em iptables e venho estudando umas regras para usar aqui em casa, no momento só estou utilizando para navegar, msn e irc. gostaria de saber oq vcs acham das regras, se é a melhor forma de se configurar, visto a utilização que será feita da conexão

    Código :
    #!/bin/bash
    iptables="/usr/sbin/iptables" 
    modprobe ip_tables
     
    iptables -F
     
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
     
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -s 127.0.0.1/255.0.0.0 -j ACCEPT 
     
    iptables -A OUTPUT -p tcp -d IP_DNS --destination-port 53 -j ACCEPT
    iptables -A OUTPUT -p udp -d IP_DNS --destination-port 53 -j ACCEPT
    iptables -A OUTPUT -p tcp --destination-port 80 -j ACCEPT
    iptables -A OUTPUT -p tcp --destination-port 1863 -j ACCEPT 
    iptables -A OUTPUT -p tcp --destination-port 6667 -j ACCEPT
    iptables -A OUTPUT -p tcp --destination-port 443 -j ACCEPT
    iptables -A OUTPUT -d 127.0.0.1/255.0.0.0 -j ACCEPT

    ah, outra duvida, já vi mtos scripts com regras em relação a resposta de pings, ping of death, portscanners e outras coisas do tipo, gostaria de saber se elas são necessarias, visto que a politica tanto de INPUT quanto de OUTPUT é DROP, ou seja, se eu naum especifiquei, automaticamente eu naum vou responder pings nem conexões vindas de fora, É correto afirmar isso?

    Desde já, Obrigado! criticas e sugestões são bem vindas!
    Abraços!

  2. #2

    Padrão Iptables

    Libera as portas TCP 20 e 21 (FTP)
    varias paginas de downloads, linkam os arquivos de ftps.

    para mais informacoes sobre iptables, visite:
    http://focalinux.cipsga.org.br/

  3. #3

    Padrão Iptables

    Eu sempre fecho tudo com um DROP no final. Assim:

    iptables -A INPUT -p tcp --syn -j DROP

    Esta regra tb acompanha o firewall do Kurumin. Criada pelo magico Porf. Carlos E. Morimoto.


    De uma olhada aqui:



    http://www.guiadohardware.net/artigos/256/

  4. #4

    Padrão Iptables

    Citação Postado originalmente por cvr
    Eu sempre fecho tudo com um DROP no final. Assim:

    iptables -A INPUT -p tcp --syn -j DROP
    Ele ja esta fazendo isso quando altera a politica padrão para:
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
    Falow!! :good:

  5. #5

    Padrão Iptables

    Citação Postado originalmente por roggy
    Citação Postado originalmente por cvr
    Eu sempre fecho tudo com um DROP no final. Assim:

    iptables -A INPUT -p tcp --syn -j DROP
    Ele ja esta fazendo isso quando altera a politica padrão para:
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
    Falow!! :good:
    Exatamente, e sem contar que --syn -j DROP soh vai fechar pra conexoes syn... se o cara fizer scan com FYN,XMAS,etc.. esse regra sera inutil

    o melhor mesmo eh setar a politica padrao -P CHAIN DROP

  6. #6

    Padrão Iptables

    Certo!,

    Obviamente as regras contra "scan com FYN,XMAS,etc", ja devem estar declaradas antes da regra que fecha tudo. Cada um a sua maneira.

  7. #7

    Padrão Iptables

    sim, mas a regra iptables -P INPUT DROP, ja bloqueia SYN,FYN,XMAS etc... sem necessitar de regras pra cada uma antes!!

    Falow!! :good: