+ Responder ao Tópico



  1. #1

    Padrão Portas abertas

    Gostaria de alguns comentários sobre essas regras. Netstat mostra portas abertas que nao liberei. Sou novato iptables

    # !/bin/bash
    # Firewall do Servidor
    # Carlos Valcir Ramos - 01/09/2005
    # comecando com o firewall...

    # LIMPANDO AS TABELAS DO FIREWALL
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X


    # LIBERA PARA LOOPBACK
    iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT

    # LIBERA ACESSO SOMENTE PARA REDE LOCAL PORTAS PARA INTERNET SSH, ETC
    iptables -A INPUT -p tcp --destination-port 20 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT

    # PORTAS PARA O SAMBA
    iptables -A INPUT -i eth1 -m multiport -p tcp --dport 53,135,139,445 -j ACCEPT
    iptables -A INPUT -i eth1 -m multiport -p udp --dport 53,137,138 -j ACCEPT

    iptables -A INPUT -p tcp --syn -s 192.168.2.0/24 -j ACCEPT

    # COMPARTILHANDO INTERNET
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # PARA NAO FUGIREM DO PROXY
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    # PARA PRIORIZAR O TRAFEGO HTTP/HTTPS
    iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 80 -j TOS --set-tos 16
    iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 443 -j TOS --set-tos 16


    # BLOQUEANDO SCANERNS POSTMAP ATAQUES DOS E PING OF DEATH

    #iptables echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT


    # FECHANDO TUDO EXCETO O ABERTO ACIMA
    iptables -A INPUT -p tcp --syn -j DROP


  2. #2

    Padrão Re: Portas abertas

    Provavelmente vc tenha serviços rodando nessa maquina serviços esses que precisam ser desabilitados, e segundo que vc nao tem uma politica padrao DROP, e o teu firewall so vai bloquear pacotes syn isso se bloquear ainda.

    Abraço



  3. #3

    Padrão Re: Portas abertas

    Alguém poderia por gentileza citar algumas regras para eu melhorar esse firewall. Qual politica drop eu deveria usar. Aquela no final nao bloqueia tudo exceto o liberado acima. Agradeço a todos que puderem ajudar-me de alguma forma.

  4. #4

    Padrão Re: Portas abertas

    Primeiro roda ai dois comados:

    #nmap localhost
    #lsof -i

    Pra ver quais portas estao realmente abertas, posta o resultado.

    Abraço



  5. #5
    kr4mus
    Visitante

    Padrão Re: Portas abertas

    No início do arquivo, apos limpar as regras, coloque:

    iptables -P INPUT -j DROP
    iptables -P OUTPUT -j DROP
    iptables -P FORWARD -j DROP

    e também pode colocar nas últimas regras para bloquear todo o resto que não esteja declarado acima:

    iptables -A INPUT -p tcp -j DROP
    iptables -A OUTPUT -p tcp -j DROP
    iptables -A FORWARD -p tcp -j DROP

    Bom, espero ter ajudado, porem será melhor quando mandar a análise do nmap conforme nosso colega pediu!

    Abração,

    Marcus Burghardt

  6. #6

    Padrão Re: Portas abertas

    www.guiafoca.org

    Nesse site tem um ótimo guia sobre iptables.
    Recomendo a leitura dele, vai esclarecer varias duvidas.