Configuração de Iptables

[Atos]

Bom dia

Estou criando meu primeiro firewall em linux e gostaria da colaboração da comunidade, vou coloar o script abaixo e gostaria que dessem uma olhada, gostaria de sugestões sobre o que devo mudar, se esta correto ou não. Desde ja agradeço a atenção de todos os colegas.

# Atos Firewall V 1.2-2004
# Proteção e Conectividade
# e-mail: [email protected]
# Todos os direitos reservado


#Redireciona para Firebird -SAUDE-

iptables -A FORWARD -p tcp -i eth0 --dport 3050 -d 191.161.10.253 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.253 --sport -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 3050 -j DNAT --to 191.161.10.253
iptables -t nat -A POSTROUTING -j MASQUERADE

#IPs liberados -sem proxy-
iptables -A FORWARD -p tcp -s 191.161.10.12 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.2 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.148 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.199 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.116 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.195 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 191.161.10.187 -d 0.0.0.0/0 -j ACCEPT

#Bloquear navegação sem proxy
iptables -A FORWARD -p tcp -i eth1 -j REJECT
iptables -t nat -A POSTROUTING -j MASQUERADE

#Liberar acesso ao banco
iptables -A FORWARD -p tcp -s 191.161.10.114 --dport 3002 -j ACCEPT

#Liberar SMTP e POP3
iptables -A FORWARD -p tcp -i eth1 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 --dport 110 -j ACCEPT

#Negar conexão externa nos seguintes serviços
iptables -A INPUT -i

#Evitando scans do tipo "porta origem=porta destino":
iptables -A INPUT -p tcp --sport $i --dport $i -j DROP

#Bloqueando Traceroute
iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP

#Proteção contra IP Spoofing
iptables -A INPUT -s 191.161.10.0/24 -i eth1 -j DROP

#Proteção contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

#Proteção contra port scanners ocultos
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#Proteção contra ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

[raf77raf]

Essa sua regra que você criou está funcionando?
principalmente no diz a redirecionamento Firebird...
Rato

[Atos]

Só apliquei a regra do Firebird até agora, e a mesma esta funcionando perfeitamente.

Acha que vou ter problemas com as outras?

[raf77raf]

Não terá problemas, é uma regra simples sem muito nível de segurança, poderia ser aprimorada, dá uma lida e tente decorar as regras, uma das regras que pode ser aprimorada, principalmente a de input e output, que não há nenhuma.

[fdotta]

cara era bom, so por seguraca, vc deletar as reguas do iptables ante de mais nada. vc pode fazer isso desta forma:

obs: eth1 = rede interna, eth0 = internet


iptables -F
iptables -Z
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

depois vc pode colocar as seguintes regas para melhorar a seguranca da sua rede:

# -=- [ Regras Gerais do Firewall ] -=-
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# -=- [ Protecao de entrada (INPUT) ] -=-
iptables -I INPUT -i lo -j ACCEPT
iptables -I OUTPUT -o lo -j ACCEPT
iptables -I INPUT -i ! lo -s 127.0.0.0/255.0.0.0 -j DROP
iptables -A INPUT -p tcp ! --syn -i eth1 -j ACCEPT
iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
iptables -A INPUT -s 172.16.0.0/12 -i eth1 -j DROP
iptables -A INPUT -s 192.168.0.0/16 -i eth1 -j DROP
iptables -A INPUT -s 224.0.0.0/4 -i eth1 -j DROP
iptables -A INPUT -s 240.0.0.0/5 -i eth1 -j DROP

# -=- [ Protecoes Extras ] -=-
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --dport 135 -i $INTERNAL_INTERFACE -j REJECT
iptables -N syn-flood
iptables -A INPUT -i $INTERNAL_INTERFACE -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP
#
# OBS: [ Protecoes Extras ] 1) protecao contra pacotes indesejaveis
# 2) protecao contra syn-flood
# 3) protecao contra ping da morte
# 4) protecao contra worms
# 5-8) protecao contra IP spoofing

# -=- [ Portas Bloqueadas (MSN) ] -=-
iptables -A FORWARD -s LAN -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s LAN -d loginnet.passport.com -j REJECT


pronto... vc melhorou seu firewall

[muganga]

é bom acrescentar essa regra

#Portas netbios
iptables -A FORWARD -p tcp --dport 135 -j DROP
iptables -A FORWARD -p udp --dport 135 -j DROP
iptables -A FORWARD -p udp --dport 137 -j DROP
iptables -A FORWARD -p udp --dport 138 -j DROP
iptables -A FORWARD -p tcp --dport 139 -j DROP
iptables -A FORWARD -p udp --dport 445 -j DROP
iptables -A FORWARD -p tcp --dport 445 -j DROP
iptables -A FORWARD -p tcp --dport 593 -j DROP

Abraços

Muganga
MSN: [email protected]
ICQ: 314528019