+ Responder ao Tópico



  1. #1
    dandan26
    Visitante

    Padrão esse firewall é seguro?

    boa tarde galera, gostaria de saber a opniao de voces sobre esse firewall, encontrei na net.

    #!/bin/bash
    echo "Iniciando o Firewall"
    #Ativa Modulos
    #---------------------------------------------------------------
    /sbin/modprobe iptable_nat
    /sbin/modprobe ip_conntrack
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_REJECT
    /sbin/modprobe ipt_MASQUERADE
    echo "Carga dos Modulos OK"
    #-----------------------------------------------------------------
    #Protecao anti spoofing
    #-----------------------------------------------------------------
    if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
    for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 > $f
    done
    echo -n "Anti Spoofing..."
    else
    echo
    echo
    echo "Problema ao levantar a protecao anti-spoofing."
    echo "CONTROL-D para sair do script e continuar a inicializacao."
    echo
    #start a single user shell on the console
    /sbin/sulogin #CONSOLE
    fi
    echo -n "Iniciando regras de input..."
    #---------------------------------------------------------------------------
    #zera regras
    #----------------------------------------------------------------------------
    /sbin/iptables -F
    /sbin/iptables -X
    /sbin/iptables -F -t nat
    /sbin/iptables -X -t nat
    /sbin/iptables -F -t mangle
    /sbin/iptables -X -t mangle
    echo "Flush de Regras OK..."

    #negar porta trinoo
    /sbin/iptables -t filter -A INPUT -p tcp -i eth1 --dport 27444 -j DROP
    /sbin/iptables -t filter -A INPUT -p tcp -i eth1 --dport 31335 -j DROP

    #negar porta trojans
    /sbin/iptables -t filter -A INPUT -p tcp -i eth1 --dport 666 -j DROP
    /sbin/iptables -t filter -A INPUT -p udp -i eth1 --dport 666 -j DROP
    /sbin/iptables -t filter -A INPUT -p tcp -i eth1 --dport 4000 -j DROP
    /sbin/iptables -t filter -A INPUT -p udp -i eth1 --dport 4000 -j DROP
    /sbin/iptables -t filter -A INPUT -p tcp -i eth1 --dport 5190 -j DROP
    /sbin/iptables -t filter -A INPUT -p udp -i eth1 --dport 5190 -j DROP

    #------------------------------------------------------------------------
    #negar ping da morte
    #-------------------------------------------------------------------------
    /sbin/iptables -t filter -A FORWARD -i eth1 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    #negar porta scanners
    /sbin/iptables -t filter -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN - m limit --limit 1/s -j ACCEPT

    #negar pacotes suspeitos ou danificados
    /sbin/iptables -t filter -A FORWARD -m uncliean -j DROP

    #negar ping
    /sbin/iptables -t filter -A FORWARD -i eth1 -p icmp --icmp-type echo-request -j DROP

    #negar ping da morte
    /sbin/iptables -t filter -A FORWARD -i eth1 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    #bloquear MSN
    /sbin/iptables -A FORWARD -p tcp --dport 1863 -j REJECT
    /sbin/iptables -A FORWARD -p tcp --dport -d 64.4.13.0/24 -j REJECT

    #bloquear kazaa
    /sbin/iptables -A FORWARD -d 213.112.0/24 -j REJECT
    /sbin/iptables -A FORWARD -p tcp --dport 1214 -j REJECT

    #-----------------------------------------------------------------------------
    #Proxy transparente
    #------------------------------------------------------------------------------
    /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    /sbin/iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
    echo "Carga do proxy transparente OK"


    se possivel, se tem algo de errado e o que pode ser melhorado.

    fico no aguardo ae galera.

    valew

  2. #2

    Padrão

    kra firewall é bem particular... esse aí pode estar bom pra vc.... mas pra mim nao...entende... pode esta bom pra mim, mas pra outro nao...

    firewall tem q ser conforme a sua necessidade...oq vc precisa ??



  3. #3

    Padrão

    algumas coisas estao "confusas" .. tipo isso


    #negar ping
    /sbin/iptables -t filter -A FORWARD -i eth1 -p icmp --icmp-type echo-request -j DROP

    #negar ping da morte
    /sbin/iptables -t filter -A FORWARD -i eth1 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT


    se vc NEGA o icmp.. acabou.. a proxima regra de limitar icmp a 1 reque/s .. nao vai ser necessaria..

    agora se voce INVERTER a ordem .. ai funciona rsrsr

    firewall.. cada caso um caso...

    recomendo usar o APF que eh muito bom !!

  4. #4

    Padrão

    Kra... esperiência própria... RECEITA DE BOLO NÃO PRESTA!

    Eu já quebrei a kra d+ com isso, o certo mesmo é vc aprender e fazer o seu firewall.

    O guia foca é um referencial completo:
    Guia Foca GNU/Linux - Firewall iptables



  5. #5

    Padrão

    Firewall com IPTABLES - by Eriberto

    esses documentos ai do site do eriberto sao excelentes !!

  6. #6

    Padrão

    Cara, seguinte ...

    Firewall como já foi citado, é bem particular, vc tem que entender sua estrutura de rede
    para poder aplicar as regras e segurançao cabivel, seu firewall tem que está relacionado com a topologia de sua rede, pegar scrips prontinhos só retarda o seu aprendisado
    com o que se diz respeito a firewall, mais ... se funcionou bem pra vc ... manda bala ...

    Falow ...



  7. #7

    Padrão firewall

    como o colega de cima falow, firewall cada um tem o seu, se quer um conselho, tente implementar o modulo ipp2p e layer7 no seu firewall ai sim, da pra fazer bloqueios bons mesmo, no caso da suas regras de bloquear msn, kaazaa, pode testar que nao deve estar funcionando....
    valew...

  8. #8

    Padrão

    Aí vai uma dica bacana...

    Já ouviu falar em lápis, papel e borracha?

    Então, tirá um tempo pra você, senta com toda a galera que será afetada por esse firewall e troca uma idéia com eles (se preciso for) para ver o que necessitam acessar.
    Feito isso, senta você com você e começa a bolar o que você precisa para trabalhar e se "entreter" (afinal, ninguém é de ferro). Depois, senta você e o servidor e comece a bolar como que o firewall pode ser pra que todas as necessidades sejam atendidas.
    Após toda essa maratona, corra atrás da documentação necessária e desenvolva o script.
    Tente-o bem. Nada possui 100% de desempenho.

    Depois é só partir pro abraco hehe.