+ Responder ao Tópico



  1. 28-09-2004, 11:56 #1
    rlucatto
    Visitante

    Padrão melhorar scrip firewall

    bom dia estou postando aqui o seu script de firewall ele e simples pois estou comecando agora e gostaria de alguma dicas para melhoralo
    obrigado desde ja

    #! /bin/sh
    clear
    #
    echo "Iniciando Firewall..."
    #variaveis
    ipt="/sbin/iptables" #iptables
    net="200.200.200.200" #eth1
    rede="192.168.1.5" # ip da placa de rede local
    webserver="192.168.1.3" #ip do servidor de web interno na rede webserver

    #limpando regras
    $ipt -F INPUT
    $ipt -F
    $ipt -t nat -F
    $ipt -F FORWARD

    #Bloqueia entrada regra padrao para drop
    $ipt -P INPUT ACCEPT
    $ipt -P INPUT DROP
    $ipt -A INPUT -i lo -j ACCEPT
    $ipt -A INPUT -p tcp -i eth1 --dport 1024:5600 -j ACCEPT
    $ipt -A INPUT -p udp -i eth1 --dport 1024:5600 -j ACCEPT

    #echo "PROTECAO CONTRA SYN-FLOODS"

    $ipt -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    #log e bloqueio do ping da internet
    $ipt -A INPUT -p icmp -s 0/0 -i eth1 -j LOG --log-prefix "ping"
    #$ipt -A INPUT -p icmp -s 0/0 -i eth1 -j DROP
    #libera o acesse da rede local
    $ipt -A INPUT -i eth0 -s 192.168.0.0/0 -j ACCEPT
    #libera o acesse da rede loopBack

    $ipt -A INPUT -i lo -j ACCEPT
    $ipt -A FORWARD -o lo -j ACCEPT
    $ipt -A OUTOUT -o lo -j ACCEPT
    $ipt -A POSTROUTING -o lo -j ACCEPT
    #caregando modulos
    depmod -a
    modprobe ip_tables
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    modprobe iptable_nat
    modprobe iptable_filter
    modprobe ip_conntrack
    modprobe ipt_LOG
    modprobe ipt_state
    modprobe ipt_MASQUERADE

    #echo "REGRAS FTP"
    $ipt -A INPUT -p tcp -s 0/0 -i eth1 --dport 21 -j ACCEPT
    $ipt -A INPUT -p udp -s 0/0 -i eth1 --dport 20 -j ACCEPT
    echo "REGRA E LOG SSH E TELNET"
    $ipt -A INPUT -p tcp -s 0/0 -i eth1 --dport 22 -j LOG --log-prefix "ssh"
    $ipt -A INPUT -p tcp -s 0/0 -i eth1 --dport 22 -j ACCEPT
    $ipt -A INPUT -p tcp -s 0/0 -i eth1 --dport 23 -j LOG --log-prefix "TELNET"
    $ipt -A INPUT -p tcp -s 0/0 -i eth1 --dport 23 -j ACCEPT
    echo "REGRAS SMTP "
    $ipt -A INPUT -p tcp -s 0/0 -d $net --dport 25 -j ACCEPT
    echo "REGRAS DNS "
    $ipt -A INPUT -p udp -s 0/0 -i eth1 --dport 53 -j ACCEPT
    $ipt -A INPUT -p tcp -s 0/0 -i eth1 --dport 53 -j ACCEPT
    echo "REGRAS WWW "
    $ipt -A INPUT -p tcp -s 0/0 -i eth1 --dport 80 -j ACCEPT
    $ipt -A INPUT -p udp -s 0/0 -i eth1 --dport 80 -j ACCEPT
    echo "REGRAS POP3"
    $ipt -A INPUT -p tcp -s 0/0 --dport 110 -j ACCEPT
    echo "REGRAS TERMINAL "
    $ipt -A INPUT -p tcp -s 0/0 -i eth1 --dport 3389 -j ACCEPT
    $ipt -A INPUT -p udp -s 0/0 -i eth1 --dport 3389 -j ACCEPT

    #redirecionar portas
    echo "REDIRECIONAMENTO DE PORTAS(DMZ)"
    #
    echo "FTP(DMZ)"
    $ipt -t nat -A PREROUTING -s 0/0 -i eth1 -p tcp --dport 21 -j DNAT --to $webserver
    $ipt -t nat -A PREROUTING -s 0/0 -i eth1 -p udp --dport 20 -j DNAT --to $webserver

    echo "WWW(DMZ)"
    $ipt -t nat -A PREROUTING -s 0/0 -i eth1 -p tcp --dport 80 -j DNAT --to $webserver
    $ipt -t nat -A PREROUTING -s 0/0 -i eth1 -p udp --dport 80 -j DNAT --to $webserver

    echo "TERMINAL(DMZ)"
    $ipt -t nat -A PREROUTING -d $net -p tcp --dport 3389 -j DNAT --to $webserver
    $ipt -t nat -A PREROUTING -d $net -p udp --dport 3389 -j DNAT --to $webserver

    #NAT compartilhamento de internet
    echo "NAT COMPARTILHAMENTO DE INTERNET "
    echo 1 > /proc/sys/net/ipv4/ip_forward
    $ipt -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    $ipt -A FORWARD -i eth0 -j ACCEPT

    #echo "REDIRECIONAMENTO DO PROXY"
    $ipt -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    $ipt -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDIRECT --to-port 3128
    echo "FIREWALL INICIALIZADO"
    Citação Citação
  2. 28-09-2004, 14:49 #2
    cantisan
    Visitante

    Padrão dmz

    Se for publicar servidores (acesso externo) adicione uma interface de rede e coloque em uma rede nova (DMZ), nao é prudente deixar o seu servidor publico na mesma rede que seus usuarios, pois caso ocorra uma invasao estará tudo exposto...

    ps- E quando for publicar o seu script de fw, mude os ips validos !:-)
    Citação Citação
  3. 28-09-2004, 15:54 #3
    lacierdias
    lacierdias está desconectado
    Avatar de lacierdias
    Ingresso
    Jun 2004
    Localização
    Cuiabá - MT
    Posts
    997

    Padrão melhorar scrip firewall

    Ficou bom seu FW mas é como o amigo disso monte uma DMZ literalmente....coloque uma placa de rede só para a DMZ e crie outra rede só para isso
    Citação Citação
  4. 28-09-2004, 16:53 #4
    rlucatto
    Visitante

    Padrão melhorar scrip firewall

    valeu peda dica obrigado
    Citação Citação
  5. 28-09-2004, 18:58 #5
    fdotta
    fdotta está desconectado
    Avatar de fdotta
    Ingresso
    Aug 2004
    Posts
    616

    Padrão melhorar scrip firewall

    cara... vc nao precisa de muitas modificacoes no su FW... eu so colocaria os comando que carrenagam os modulos primeiro... so isso ahhh como o pessoal disse nao coloque seu ips validos para todos verem... e meuio perigoso.

    [] Dotta :twisted:
    Citação Citação



« Tópico Anterior | Próximo Tópico »