+ Responder ao Tópico



  1. #1
    X-LOGAN
    Olá pessoal.
    Escrevi um firewall e gostaria de saber se preciso acrescentar algo nele, pois não tenho muita experincia na area de segurança.
    As proteções estão ok?
    Só elas bastam?
    O firewall segue abaixo:

    #!bin/bash

    echo "INICIANDO O FIREWALL .................................................."

    # - Primeiro limpa-se as regras -
    iptables -F

    # Levantando os módulos
    modprobe iptable_nat
    modprobe ip_conntrack

    # - "Mascarando" a conexão - Ativando o repasse dos pacotes
    iptables -t nat -A POSTROUTING -O eth0 -j MASQUERADE

    # - - Configurando o Firewall contra ataque -

    #Proteção contra Syn-floods
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

    #Port scanners ocultos
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    #Ping da morte
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    #Protege o servidor de qualquer pacote que venha da net (não deixa os pacotes irem para o servirdor)
    iptables -A FORWARD -d 192.168.0.1 -j DROP


    # - - Liberando Portas

    #Liberar a porta 110 responsável pelo servidor pop3 (recebimento de mensagens)
    iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -p udp --dport 110 -j ACCEPT

    #Liberar a porta 25 responsável pelo servidor smtp (envio de mensagens)
    iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -p udp --dport 25 -j ACCEPT

    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT
    iptables -A FORWARD -o eth0 -s 100.100.100.0/24 -d 0/0 -j ACCEPT

    #Habilitando o recurso de IP forwarding
    echo 1 > /proc/sys/net/ipv4/ip_forward

    echo "####################################################################"
    echo "################# - FIREWALL INICIADO COM SUCESSO - ################"
    echo "####################################################################"

  2. Citação Postado originalmente por X-LOGAN
    #Proteção contra Syn-floods
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

    #Port scanners ocultos
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    #Ping da morte
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    Isso nao tá protegento o servidor! muda os FORWARD para INPUT...

    Citação Postado originalmente por X-LOGAN
    #Protege o servidor de qualquer pacote que venha da net (não deixa os pacotes irem para o servirdor)
    iptables -A FORWARD -d 192.168.0.1 -j DROP
    Essa regra tá sem fundamento



  3. #3
    X-LOGAN
    #Protege o servidor de qualquer pacote que venha da net (não deixa os pacotes irem para o servirdor)
    iptables -A FORWARD -d 192.168.0.1 -j DROP

    Neste bloco acima eu quero descartar todos os pacotes que serão direcionados para o servidor de arquivos, que é diferente do servidor Proxy, por isso dropei tudo que venha da net e vá para ele

  4. #4
    felco
    Essa regra ta mto generica... use -i -o -s






Tópicos Similares

  1. Script firewall, Está correto?
    Por testeteste no fórum Servidores de Rede
    Respostas: 1
    Último Post: 31-07-2006, 16:14
  2. Como saber se meu FIREWALL esta seguro?
    Por no fórum Servidores de Rede
    Respostas: 18
    Último Post: 24-08-2005, 14:58
  3. Respostas: 7
    Último Post: 27-06-2005, 13:39
  4. Firewall esta bloqueando todo o sistema???
    Por no fórum Servidores de Rede
    Respostas: 13
    Último Post: 03-01-2005, 15:25
  5. firewall esta bloqueando dhcp???
    Por Neckratal no fórum Servidores de Rede
    Respostas: 2
    Último Post: 24-03-2004, 14:34

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L