-
Aperfeiçoando o firewall
A-Marcio,
Agradeço pela ajuda, e com certeza gostaria sim de um modelo de script. Se vc pudesse me mandar isso ainda hj ficaria muito grato, pois amanhã (sábado) irei fazer algumas atualizações no meu servidor e já aproveitaria pra fazer isso tb.... <IMG SRC="images/forum/icons/icon_wink.gif">
Inté +...
Mauricio
-
Aperfeiçoando o firewall
A Base que utilizei foi esta. Mais acredito que deve ter muito o que melhora caso voce conseguir alguma coisa me avisa
OBS: Eth1 eo IP 200.x.x.x Placa de Internet ETH 192.x.x.x Placa de Rede
# Escript de Firewll
# Desenvolvido por: A Marcio
# E-mail:[email protected]
# ICQ: 168432794
#
# Apaga qualquer outra regra que esteja no IPTABLES
iptables -F
#
# ===> Nega a entrada de Todos os Pacotes no Servidor e Aceita a Saida de Todos os Pacotes
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 80 -j ACCEPT
#
# ===> Permite o Redirecionamento para a Internet das portas abaixo
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 443 -j ACCEPT
#
# ===> Cria uma referencia entre a regra de bloqueio com a regra que libera o acesso a Internet
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#
-
Aperfeiçoando o firewall
A-Marcio,
O refiz o meu firewall, mas infelizmente algo saiu errado pois ñ consigo fazer com q nada saia. O q pode ser q eu esqueci?? Veja como ficou ele agora:
# Script de firewall Corporativo da Religiao de Deus.
# Desenvolvido por Mauricio Bertolin.
# E-mail: [email protected]
# Regras para a internet.
# Apagar qualquer regra existente.
iptables -F
# Nega a entrada de todos os pacotes no Servidor e aceita a saida de todos os pacotes.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Compartilhando o a internet com a rede interna.
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Essa regra estabiliza a conexão com a internet.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Essa regra redireciona a porta 80 requisitada pelos clients para a porta 3128.
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDIRECT --to-port 3128
# Essa regra libera as portas POP3 e SMTP.
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
# Configuracao do firewall contra ataques.
# Protecao contra Syn-floods.
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Port Scanners Ocultos.
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Ping da morte.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Protecao contra IP Spoofing.
iptables -A INPUT -s 172.168.0.0/24 -i eth0 -j DROP
# Protecao contra pacotes danificados.
iptables -A FORWARD -m unclean -j DROP
# Log a portas proibidas e alguns backdoors
# Porta FTP
iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "Serviço: FTP"
# Porta Wincrash
iptables -A INPUT -p tcp --dport 5042 -j LOG --log-prefix "Serviço: Wincrash"
# Portas BackOrifice
iptables -A INPUT -p tcp --dport 12345 -j LOG --log-prefix "Serviço: BackOrifice"
Desde já agradeço a atenção...
Mauricio <IMG SRC="images/forum/icons/icon_wink.gif">
-
Aperfeiçoando o firewall
Eu acho que tem algumas regras fora das posiçoes.
Suas regras contra ataques seria mais utili se estivesse nas primeiras linhas.
voce deu um Drop no INPUT e no FORWARD entao para sua rede funcionar voce vai ter que liberar o INPUT eo FORWARD
Da uma olhada nas alteraçoes que foi feita abaixo. com isto deve funcionar
# Regras para a internet.
# Nega a entrada de todos os pacotes no Servidor e aceita a saida de todos os pacotes.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Compartilhando o a internet com a rede interna.
==> Esta regra vai transformar todos os IP da sua rede interna em um ip da internet (NAT)
iptables -t nat -A POSTROUTING -s 192.x.x.x/24(ip da lan) -o eth0 (Placa da Net) -j SNAT --to 200.x.x.x(IP da NET)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Essa regra redireciona a porta 80 requisitada pelos clients para a porta 3128.
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDIRECT --to-port 3128
# Essa regra libera as portas POP3 e SMTP.
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 100 -j ACCEPT
# Essa regra estabiliza a conexão com a internet.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
OBS: No meu ponto de vista voce aumentaria a segurança se ao liberar uma porta voce colocasse um IP ex
iptables -A INPUT -p tcp -s 192.x.x.x/24 --dport 100 -j ACCEPT
dai o seervidor so aceitaria a conexao na porta 110 do ip 192.x.x.x