+ Responder ao Tópico



  1. #1
    X-LOGAN
    Visitante

    Padrão firewall esta correto?

    Olá pessoal.
    Escrevi um firewall e gostaria de saber se preciso acrescentar algo nele, pois não tenho muita experincia na area de segurança.
    As proteções estão ok?
    Só elas bastam?
    O firewall segue abaixo:

    #!bin/bash

    echo "INICIANDO O FIREWALL .................................................."

    # - Primeiro limpa-se as regras -
    iptables -F

    # Levantando os módulos
    modprobe iptable_nat
    modprobe ip_conntrack

    # - "Mascarando" a conexão - Ativando o repasse dos pacotes
    iptables -t nat -A POSTROUTING -O eth0 -j MASQUERADE

    # - - Configurando o Firewall contra ataque -

    #Proteção contra Syn-floods
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

    #Port scanners ocultos
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    #Ping da morte
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    #Protege o servidor de qualquer pacote que venha da net (não deixa os pacotes irem para o servirdor)
    iptables -A FORWARD -d 192.168.0.1 -j DROP


    # - - Liberando Portas

    #Liberar a porta 110 responsável pelo servidor pop3 (recebimento de mensagens)
    iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -p udp --dport 110 -j ACCEPT

    #Liberar a porta 25 responsável pelo servidor smtp (envio de mensagens)
    iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -p udp --dport 25 -j ACCEPT

    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT
    iptables -A FORWARD -o eth0 -s 100.100.100.0/24 -d 0/0 -j ACCEPT

    #Habilitando o recurso de IP forwarding
    echo 1 > /proc/sys/net/ipv4/ip_forward

    echo "####################################################################"
    echo "################# - FIREWALL INICIADO COM SUCESSO - ################"
    echo "####################################################################"

  2. #2

    Padrão Re: firewall esta correto?

    Citação Postado originalmente por X-LOGAN
    #Proteção contra Syn-floods
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

    #Port scanners ocultos
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    #Ping da morte
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    Isso nao tá protegento o servidor! muda os FORWARD para INPUT...

    Citação Postado originalmente por X-LOGAN
    #Protege o servidor de qualquer pacote que venha da net (não deixa os pacotes irem para o servirdor)
    iptables -A FORWARD -d 192.168.0.1 -j DROP
    Essa regra tá sem fundamento

  3. #3
    X-LOGAN
    Visitante

    Padrão firewall esta correto?

    #Protege o servidor de qualquer pacote que venha da net (não deixa os pacotes irem para o servirdor)
    iptables -A FORWARD -d 192.168.0.1 -j DROP

    Neste bloco acima eu quero descartar todos os pacotes que serão direcionados para o servidor de arquivos, que é diferente do servidor Proxy, por isso dropei tudo que venha da net e vá para ele

  4. #4
    felco
    Visitante

    Padrão firewall esta correto?

    Essa regra ta mto generica... use -i -o -s