Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Gostaria de alguns comentários sobre essas regras. Netstat mostra portas abertas que nao liberei. Sou novato iptables

    # !/bin/bash
    # Firewall do Servidor
    # Carlos Valcir Ramos - 01/09/2005
    # comecando com o firewall...

    # LIMPANDO AS TABELAS DO FIREWALL
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X


    # LIBERA PARA LOOPBACK
    iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT

    # LIBERA ACESSO SOMENTE PARA REDE LOCAL PORTAS PARA INTERNET SSH, ETC
    iptables -A INPUT -p tcp --destination-port 20 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT

    # PORTAS PARA O SAMBA
    iptables -A INPUT -i eth1 -m multiport -p tcp --dport 53,135,139,445 -j ACCEPT
    iptables -A INPUT -i eth1 -m multiport -p udp --dport 53,137,138 -j ACCEPT

    iptables -A INPUT -p tcp --syn -s 192.168.2.0/24 -j ACCEPT

    # COMPARTILHANDO INTERNET
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # PARA NAO FUGIREM DO PROXY
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    # PARA PRIORIZAR O TRAFEGO HTTP/HTTPS
    iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 80 -j TOS --set-tos 16
    iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 443 -j TOS --set-tos 16


    # BLOQUEANDO SCANERNS POSTMAP ATAQUES DOS E PING OF DEATH

    #iptables echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT


    # FECHANDO TUDO EXCETO O ABERTO ACIMA
    iptables -A INPUT -p tcp --syn -j DROP


  2. Provavelmente vc tenha serviços rodando nessa maquina serviços esses que precisam ser desabilitados, e segundo que vc nao tem uma politica padrao DROP, e o teu firewall so vai bloquear pacotes syn isso se bloquear ainda.

    Abraço



  3. Alguém poderia por gentileza citar algumas regras para eu melhorar esse firewall. Qual politica drop eu deveria usar. Aquela no final nao bloqueia tudo exceto o liberado acima. Agradeço a todos que puderem ajudar-me de alguma forma.

  4. Primeiro roda ai dois comados:

    #nmap localhost
    #lsof -i

    Pra ver quais portas estao realmente abertas, posta o resultado.

    Abraço



  5. #5
    kr4mus
    No início do arquivo, apos limpar as regras, coloque:

    iptables -P INPUT -j DROP
    iptables -P OUTPUT -j DROP
    iptables -P FORWARD -j DROP

    e também pode colocar nas últimas regras para bloquear todo o resto que não esteja declarado acima:

    iptables -A INPUT -p tcp -j DROP
    iptables -A OUTPUT -p tcp -j DROP
    iptables -A FORWARD -p tcp -j DROP

    Bom, espero ter ajudado, porem será melhor quando mandar a análise do nmap conforme nosso colega pediu!

    Abração,

    Marcus Burghardt






Tópicos Similares

  1. Portas abertas
    Por Felipe_ no fórum Servidores de Rede
    Respostas: 14
    Último Post: 20-08-2004, 15:33
  2. portas abertas
    Por bouncer no fórum Servidores de Rede
    Respostas: 9
    Último Post: 07-06-2004, 16:21
  3. Portas e mas portas abertas
    Por aspenbr no fórum Servidores de Rede
    Respostas: 9
    Último Post: 11-02-2004, 22:03
  4. Portas abertas
    Por Speed no fórum Servidores de Rede
    Respostas: 4
    Último Post: 06-07-2003, 02:26
  5. Portas abertas
    Por MiddleEarth no fórum Servidores de Rede
    Respostas: 2
    Último Post: 23-10-2002, 21:10

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L