Firewall mais basico possivel
Pessoal tava pensando qual seria as regras de firewall mais basicas para apenas o usuario navegar sem mais nada, maquina que o proprio usuario usa sem rede interna, e pensei nessas:
Código :
# Limpando as Regras
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
# Definindo a Politica Default das Cadeias
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# Desabilitando o trafego IP Entre as Placas de Rede
echo "0" > /proc/sys/net/ipv4/ip_forward
# Configurando a Protecao anti-spoofing
echo "Setting anti-spoofing .....[ OK ]"
for spoofing in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo "1" > $spoofing
done
# Qualquer pacote IP que venha do localhost, Ok.
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
# No iptables, temos de dizer quais sockets sao validos em uma conexao
iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
Teria de por algo mais??
QQ ideia é bem vinda, obrigado
Firewall mais basico possivel
Puxa,.. acho que vc liberou tudo quando pos -m state --state NEW -j ACCEPT
O firewall pra vc simplesmente navegar,.. vc tem que liberar, logico, a navegação, mas tem que liberar tmb resolução de nomes,...
Segue esse: (to fazendo agora,.. !! hehehe)
ipt=path/to/iptables
IFEXT=eth0; #Um modelo de interface externa, que sai para a internet
$ipt -P INPUT DROP
$ipt -P OUTPUT DROP
$ipt -P FORWARD DROP
$ipt -A INPUT -i lo -j ACCEPT
$ipt -A INPUT -m state --state ESTABELISHED,RELATED -i ${IFEXT} -j ACCEPT
$ipt -A OUTPUT -m state --state ESTABELISHED,RELATED -o ${IFEXT} -j ACCEPT
$ipt -A OUTPUT -m state --state NEW -o ${IFEXT} -p udp --dport 53 -j ACCEPT
$ipt -A OUTPUT -m state --state NEW -o ${IFEXT} -p tcp --dport 80 --syn -j ACCEPT
$ipt -A OUTPUT -m state --state NEW -o ${IFEXT} -p tcp --dport 443 --syn -j ACCEPT
heheheh,... Bem simplesinho,.. heheh,... gostei,.. !
esta eh uma boa pratica,... segue o modelo de melhor firewall,...
Firewall mais basico possivel
Citação:
Postado originalmente por TheMage
Puxa,.. acho que vc liberou tudo quando pos -m state --state NEW -j ACCEPT
O firewall pra vc simplesmente navegar,.. vc tem que liberar, logico, a navegação, mas tem que liberar tmb resolução de nomes,...
Segue esse: (to fazendo agora,.. !! hehehe)
ipt=path/to/iptables
IFEXT=eth0; #Um modelo de interface externa, que sai para a internet
$ipt -P INPUT DROP
$ipt -P OUTPUT DROP
$ipt -P FORWARD DROP
$ipt -A INPUT -i lo -j ACCEPT
$ipt -A INPUT -m state --state ESTABELISHED,RELATED -i ${IFEXT} -j ACCEPT
$ipt -A OUTPUT -m state --state ESTABELISHED,RELATED -o ${IFEXT} -j ACCEPT
$ipt -A OUTPUT -m state --state NEW -o ${IFEXT} -p udp --dport 53 -j ACCEPT
$ipt -A OUTPUT -m state --state NEW -o ${IFEXT} -p tcp --dport 80 --syn -j ACCEPT
$ipt -A OUTPUT -m state --state NEW -o ${IFEXT} -p tcp --dport 443 --syn -j ACCEPT
heheheh,... Bem simplesinho,.. heheh,... gostei,.. !
esta eh uma boa pratica,... segue o modelo de melhor firewall,...
Cara so uma coisa é ESTABLISHED nao ESTABELISHED, e tpo assim esse ta legal pq so permite navegação, ae voce pode ir liberando o que mais vc quiser as poucos, é uma boa ideia tb, o meu eu pensei mais para deixar o usuario fazer tudo, mas protejer ele contra tentativas de invasão, alem dessas regras quis regras de proteção o pessoal acha que tem de por??
vlw ae
Re: Firewall mais basico possivel
Cade as regras que ativam o repasse dos pacotes MASQUERADE ???
Ou nao tem ???
Valeu
Re: Firewall mais basico possivel
Citação:
Postado originalmente por gatoseco
Cade as regras que ativam o repasse dos pacotes MASQUERADE ???
Ou nao tem ???
Valeu
Cara esse firewall nao é para fazer nat, é apenas um firewall para uma maquina, para permitir que ela use a internet, uma maquina sem rede interna nem nada, so ela, um firewall que seria para implantar em maquinas de usuarios domesticos ou em um laptop, entao gostaria de ideias para deixar esse firewall o mais fechado possivel. Seja com log de tentativas ou bloqueio de possiveis ataques.
falows