Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Olá pessoal, eu instalei o Debiam aqui para fazer um serviço de gateway+proxy, e gostaria de implementar algumas políticas de segurança. Como firewall e outras coisas mais, tipo não saco muito disso então gostaria da ajuda de vocês, para saber o que sería bom eu botar para dar mais segurança nesse servidor. Uma vez vi que o firewall do linux vem habilitado por default, no Debiam já vem também?

    Passa umas dicas ai galera.

    Forte abraço.

    Junio Vitorino
    jgvitorino@gmail.com

  2. #2
    wrochal
    Caro,

    Normalmente quando instalado o Debian, apenas para Firewall ou Proxy, sigo a seguinte politica:

    Desativando Serviços desnecessários:

    Instale o rcconf, programa que desativa serviços que inicializam na hora do boot, segue os serviços que desabilito:

    inetd
    portmap
    nfs-common
    lpd
    ppp

    Normalmente no SSH eu mudo a porta padrao, de 22 para algo como 4422, basta vc definir do jeito que quiser:

    edite o arquivo /etc/ssh/sshd_config

    Port 4422

    Pode também por chaves

    AuthorizedKeysFile %h/.ssh/authorized_keys

    desabilite o root de logar no SSH

    PermitRootLogin no

    E lembra-se da politica do firewall, sempre bloquear a INPUT DROP.

    Abraçõs,



  3. Hum, legal cara mas esse finalzinho eu não entendi direito
    E lembra-se da politica do firewall, sempre bloquear a INPUT DROP.
    e nem se o firewall já esta habilitado e configurado. :?

  4. #4
    wrochal
    Caro,

    De uma olhada no meu firewall

    #!/bin/bash

    # Programas
    IPT=/sbin/iptables
    MODP=/sbin/modprobe

    # Configuracao Rede
    IFWAN=eth0
    IFLAN=eth1
    IPWAN=200.X.123.X
    LAN=192.168.5.0/24
    IFINT=192.168.5.0/24
    ANY=0/0

    # Srv_REMOTO
    SERVER=192.168.5.43

    # IPS Liberados
    IPS_ALLOW="192.168.5.1 192.168.5.2 192.168.5.43 192.168.5.56 192.168.5.196 192.168.5.63"

    # Portas INPUT TCP/UDP
    INPUT_TCP="53 22 80 9022 20 21 3456 3389 3390 1723"
    INPUT_UDP="53 67 80"

    # PORTAS FORWARD
    FORWARD_TCP="20 22 21 25 47 53 80 110 143 1723 1863 3422 3456 3389 3390 3391 3392 3393 443 9022 9023 5800 5900"
    FORWARD_UDP="20 22 21 25 47 53 80 110 143 1723 1863 3456"

    # Modulos
    for module in ip_tables ipt_REDIRECT ipt_MASQUERADE ipt_MARK ipt_REJECT \
    ipt_TOS ipt_LOG iptable_mangle iptable_filter iptable_nat ip_nat_ftp \
    ip_conntrack ip_conntrack_ftp ip_conntrack_irc \
    ip_nat_irc ipt_mac ipt_state ipt_mark; do
    $MODP $module
    done

    # MASCARAMENTO
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Protecao de ICMP e Spoofing
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
    echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

    # Inicio das Regras
    echo -n "Iniciando o Firewall "
    # Limpando as Regras

    $IPT -F
    $IPT -Z
    $IPT -X
    $IPT -t nat -F
    $IPT -t nat -X
    $IPT -t nat -Z

    # Compartilhamento
    $IPT -t nat -A POSTROUTING -s 192.168.5.0/24 -d $ANY -p ALL -o $IFWAN -j MASQUERADE

    # LoopBack Livre
    $IPT -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT
    $IPT -A OUTPUT -o lo -s 0/0 -d 0/0 -j ACCEPT
    $IPT -A INPUT -i $IFLAN -m state --state NEW -j ACCEPT
    $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # INPUT LIBERADAS
    for servico in $INPUT_TCP; do
    $IPT -A INPUT -p tcp --dport $servico -j ACCEPT
    done

    for servico in $INPUT_UDP; do
    $IPT -A INPUT -p udp --dport $servico -j ACCEPT
    done

    # Estacao para Internet
    for FORWARD in $FORWARD_TCP; do
    $IPT -A FORWARD -p tcp --dport $FORWARD -j ACCEPT
    done

    for FORWARD in $FORWARD_UDP; do
    $IPT -A FORWARD -p udp --dport $FORWARD -j ACCEPT
    done

    # Priorizando os Liberados

    for OUTPUT in $IPS_ALLOW; do
    $IPT -t mangle -A OUTPUT -s $OUTPUT -o $IFWAN -p tcp --dport 0:65535 -j TOS --set-tos 16
    $IPT -t mangle -A OUTPUT -s $OUTPUT -o $IFWAN -p udp --dport 0:65535 -j TOS --set-tos 16
    done

    # Liberando Suporte
    for ALLOW_FORWARDS in $IPS_ALLOW; do
    $IPT -A FORWARD -s $ALLOW_FORWARDS -j ACCEPT
    done

    # Bloqueando o Resto
    $IPT -A FORWARD -s $LAN -j DROP

    # Redirecionamento do Proxy
    $IPT -t nat -A PREROUTING -i $IFLAN -p tcp --dport 80 -j REDIRECT --to-port 3128

    # Servidor RDP
    $IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 3389 -j DNAT --to-destination 192.168.5.43
    $IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 9009 -j DNAT --to-destination 192.168.5.196
    $IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 21 -j DNAT --to-destination 192.168.5.1:21
    $IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 20 -j DNAT --to-destination 192.168.5.1:20
    $IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 80 -j DNAT --to-destination 192.168.5.2
    $IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 80 -j DNAT --to-destination 192.168.5.1

    # Bloqueando PINGS, Spoofings
    $IPT -A INPUT -p icmp --icmp-type time-exceeded -j DROP
    $IPT -A FORWARD -p icmp --icmp-type time-exceeded -j DROP

    # Prioridade de Pacotes

    # Prioridade ALTA RDP
    $IPT -t mangle -A OUTPUT -o $IFWAN -p tcp --dport 3389:3390 -j TOS --set-tos 16
    $IPT -t mangle -A PREROUTING -i $IFLAN -p tcp --sport 3389:3390 -j TOS --set-tos 0x10

    # Entrada
    $IPT -t mangle -A PREROUTING -i $IFLAN -p udp --sport 0:65535 -j TOS --set-tos 0x00
    $IPT -t mangle -A PREROUTING -i $IFLAN -p tcp --sport 0:65535 -j TOS --set-tos 0x00

    # SAIDA
    $IPT -t mangle -A OUTPUT -o $IFWAN -p tcp --dport 10:65535 -j TOS --set-tos 0x00
    $IPT -t mangle -A OUTPUT -o $IFWAN -p udp --dport 10:65535 -j TOS --set-tos 0x00

    # Fechando o RESTO
    $IPT -A INPUT -i $IFWAN -j DROP
    echo " [ OK ]"



  5. Nossa cara, esse script ai foi tu quem fez? Não entendi muito mas parece que ta bem lacradinho mesmo. Eu teria que criar um para que se encaixa nos meus padrões, mas isso e que vai ser difícil. :?






Tópicos Similares

  1. segurança no apache
    Por magic_anakyn no fórum Servidores de Rede
    Respostas: 1
    Último Post: 18-01-2004, 09:33
  2. Aumentar segurança no Firewall (Iptables)
    Por A-Marcio no fórum Servidores de Rede
    Respostas: 2
    Último Post: 16-04-2003, 12:50
  3. segurança no proftp
    Por 1c3m4n no fórum Segurança
    Respostas: 2
    Último Post: 18-10-2002, 20:13
  4. Segurança no FTP
    Por dboom no fórum Segurança
    Respostas: 2
    Último Post: 14-10-2002, 01:16
  5. Fallha de segurança no NIS/NFS
    Por no fórum Servidores de Rede
    Respostas: 3
    Último Post: 04-10-2002, 15:44

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L