Pessoal, gostaria que vocês dessem uma olhada no meu script de firewall e cometem como ele esta, e onde posso melhora-lo.
Código :#!/bin/sh # Limpa regras iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT # Altera policiamento iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # Libera conexoes ja estabelecidas iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Libera Loopback iptables -A INPUT -i lo -j ACCEPT # Bloqueia Ping iptables -A INPUT -p icmp --icmp-type echo-request -j DROP # Libera ICQ iptables -A INPUT -p tcp --sport 5190 -j ACCEPT # Libera Navegacao iptables -A INPUT -p tcp --sport 80 -j ACCEPT # Libera FTP iptables -A INPUT -p tcp --sport 20 -j ACCEPT iptables -A INPUT -p tcp --sport 21 -j ACCEPT # Libera SSL iptables -A INPUT -p tcp --sport 443 -j ACCEPT # Libera aMule iptables -A INPUT -p tcp --sport 4661 -j ACCEPT iptables -A INPUT -p tcp --dport 4662 --syn -j ACCEPT iptables -A INPUT -p tcp --sport 4711 -j ACCEPT iptables -A INPUT -p udp --dport 4672 -j ACCEPT iptables -A INPUT -p udp --sport 4665 -j ACCEPT # Libera IRC e DCC iptables -A INPUT -p tcp --sport 6665:7000 -j ACCEPT iptables -A INPUT -p tcp --dport 5000:5010 -j ACCEPT # Libera DNS iptables -A INPUT -p tcp --sport 53 -j ACCEPT iptables -A INPUT -p udp --sport 53 -j ACCEPT # Libera POP e SMTP iptables -A INPUT -p tcp --sport 110 -j ACCEPT iptables -A INPUT -p tcp --sport 25 -j ACCEPT # Libera Radios iptables -A INPUT -p tcp --sport 8000 -j ACCEPT iptables -A INPUT -p tcp --sport 8004 -j ACCEPT iptables -A INPUT -p tcp --sport 8300 -j ACCEPT # FIM
OBS.:
Na parte de IRC e DCCs a faixa de portas de 5000 a 5010, é uma faixa que defini em meu cliente de irc para envio de arquivos (tenho um fileserver).
E na parte Radios são liberadas umas portas usadas por umas radios online que ouço.
-
16-05-2005, 23:03 #1
- Ingresso
- Feb 2004
- Posts
- 1.002
script de firewall
-
17-05-2005, 00:20 #2ReDLeVisitante script de firewall
Dê uma olhada neste artigo:
https://under-linux.org/noticia4799.html
Existem regras de firewall que são importantes que serem adiciondas como bloquear ip privados vindos da internet e de pacotes para loopback vindo de fora tbm e assim vai.
-
17-05-2005, 02:28 #3
- Ingresso
- Aug 2004
- Posts
- 616
script de firewall
Cara o link q vc postou eh sobre implementacao de layer 7 no iptables nao de regras importantes como vc falou!!!!
Postado originalmente por ReDLe
[] Dotta :twisted:
-
17-05-2005, 02:35 #4
- Ingresso
- Aug 2004
- Posts
- 616
script de firewall
Cara exerimenta esta regras amais:
Código :iptables -I INPUT -i lo -j ACCEPT iptables -I OUTPUT -o lo -j ACCEPT iptables -I INPUT -i ! lo -s 127.0.0.0/255.0.0.0 -j DROP iptables -A INPUT -p tcp ! --syn -i $INTERNAL_INTERFACE -j ACCEPT iptables -A INPUT -s 10.0.0.0/8 -j DROP iptables -A INPUT -s 172.16.0.0/12 -j DROP iptables -A INPUT -s 192.168.0.0/16 -j DROP iptables -A INPUT -s 224.0.0.0/4 -j DROP iptables -A INPUT -s 240.0.0.0/5 -j DROP iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p tcp --dport 135 -i $INTERNAL_INTERFACE -j REJECT iptables -N syn-flood iptables -A INPUT -i $INTERNAL_INTERFACE -p tcp --syn -j syn-flood iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN iptables -A syn-flood -j DROP
[] Dotta :twisted:
-
17-05-2005, 23:54 #5
- Ingresso
- Feb 2004
- Posts
- 1.002
script de firewall
depois testo essas regras
to meio ocupado agora
flw
-
21-05-2005, 03:53 #6
- Ingresso
- Feb 2004
- Posts
- 1.002
script de firewall
# nao entendi essa regra =/ Postado originalmente por fdotta
iptables -I INPUT -i ! lo -s 127.0.0.0/255.0.0.0 -j DROP
# bloqua ips externos com origem em redes internas, certo ?
iptables -A INPUT -s 10.0.0.0/8 -j DROP
iptables -A INPUT -s 172.16.0.0/12 -j DROP
iptables -A INPUT -s 192.168.0.0/16 -j DROP
iptables -A INPUT -s 224.0.0.0/4 -j DROP
iptables -A INPUT -s 240.0.0.0/5 -j DROP
# acho desnecessarias regras de forward, nao tenho rede aqui.
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --dport 135 -i $INTERNAL_INTERFACE -j REJECT
-
21-05-2005, 04:12 #7
- Ingresso
- Aug 2004
- Posts
- 616
script de firewall
A primeira regra bloqeuia qualquer coisa q tente entra no input com rede 127.0.0.0 q nao seja da interface lo. O segundo bloco de regras evita q ips de rede privadas entrem no input, esta eh uma tatica bastante usada para invasao e o 3 bloquo (q vc acho desncessario) sao regras para 1) protecao contra pacotes indesejaveis, 2) protecao contra syn-flood, 3) protecao contra IP spoofing, 4) protecao contra worms (nao muito eficiente mas segura alguma coisa). Postado originalmente por Skorpyon
[] Dotta
:twisted:
-
21-05-2005, 05:02 #8
- Ingresso
- Feb 2004
- Posts
- 1.002
script de firewall
Quis dizer desnecessario no sentido de que não irão fazer diferença para mim, por que este micro não esta fazendo o compartilhamento da net.
Como a chain FORWARD é usada para regras que atravessam o firewall e aqui não preciso disso eu ate deixei a politica dela como DROP.
Eu tinha entendido a funcao das regras de forward.
Não tava entendendo aquela regra com o "!" (tinha esquecido a funcao do !).
E tava com duvida na outra que protege contra ataque de spoofing.
Se lembrar de mais alguma coisa interesante para colocar no firewall, me avisa.
fdotta, obrigado ae pela ajuda =)
-
21-05-2005, 16:30 #9
- Ingresso
- Aug 2004
- Posts
- 616
script de firewall
Opa disponha,
Eu tinha entendido q as regras nao eram necessarias para vc, so fai isso para identificar o bloco de regras para ficar mais facil de explicar... hehehe
Mas acredito q com estas resgras o FW fica bem protegido, existem mais algumas regras com o magle para alterar o TOS (type of service), mas nao uso nao dao muito trabalho e costuman dar problemas e o ganha de seguranca nao eh muito grande.
[] Dotta :twisted:
-
21-05-2005, 19:31 #10
- Ingresso
- Feb 2004
- Posts
- 1.002
script de firewall
Dei uma olhada por cima no guia foca sobre mangle. Postado originalmente por fdotta
Opa disponha,
Eu tinha entendido q as regras nao eram necessarias para vc, so fai isso para identificar o bloco de regras para ficar mais facil de explicar... hehehe
Mas acredito q com estas resgras o FW fica bem protegido, existem mais algumas regras com o magle para alterar o TOS (type of service), mas nao uso nao dao muito trabalho e costuman dar problemas e o ganha de seguranca nao eh muito grande.
[] Dotta :twisted:
Depois quero ver isso com mais calma e fazer uns testes aqui =)
Agora to no servico, depois posto como fico meu firewall.
flw
-
22-05-2005, 00:36 #11
- Ingresso
- Feb 2004
- Posts
- 1.002
script de firewall
Olha ae como fico meu firewall.
Código :#!/bin/sh # Firewall # Limpa regras iptables -F # Apaga CHAINs iptables -X # Zera contadores iptables -Z # Altera policiamento padrao iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # Protecao contra port scanners iptables -N SCANNER iptables -A SCANNER -j DROP iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth1 -j SCANNER iptables -A INPUT -p tcp --tcp-flags ALL NONE -i eth1 -j SCANNER iptables -A INPUT -p tcp --tcp-flags ALL ALL -i eth1 -j SCANNER iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i eth1 -j SCANNER iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i eth1 -j SCANNER iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth1 -j SCANNER iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth1 -j SCANNER # Protecao contra spoofed adreess iptables -A INPUT -s 10.0.0.0/8 -j DROP iptables -A INPUT -s 172.16.0.0/12 -j DROP iptables -A INPUT -s 192.168.0.0/16 -j DROP iptables -A INPUT -s 224.0.0.0/4 -j DROP iptables -A INPUT -s 240.0.0.0/5 -j DROP # Libera conexoes ja estabelecidas iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Libera Loopback iptables -A INPUT -i lo -j ACCEPT # Bloqueia Ping iptables -A INPUT -p icmp --icmp-type echo-request -j DROP # Libera ICQ iptables -A INPUT -p tcp --sport 5190 -j ACCEPT # Libera Navegacao iptables -A INPUT -p tcp --sport 80 -j ACCEPT # Libera FTP iptables -A INPUT -p tcp --sport 20 -j ACCEPT iptables -A INPUT -p tcp --sport 21 -j ACCEPT # Libera SSL iptables -A INPUT -p tcp --sport 443 -j ACCEPT # Libera aMule iptables -A INPUT -p tcp --sport 4661 -j ACCEPT iptables -A INPUT -p tcp --dport 4662 --syn -j ACCEPT iptables -A INPUT -p tcp --sport 4711 -j ACCEPT iptables -A INPUT -p udp --dport 4672 -j ACCEPT iptables -A INPUT -p udp --sport 4665 -j ACCEPT # Libera IRC e DCC iptables -A INPUT -p tcp --sport 6665:7000 -j ACCEPT iptables -A INPUT -p tcp --dport 5000:5010 -j ACCEPT # Libera DNS iptables -A INPUT -p tcp --sport 53 -j ACCEPT iptables -A INPUT -p udp --sport 53 -j ACCEPT # Libera POP e SMTP iptables -A INPUT -p tcp --sport 110 -j ACCEPT iptables -A INPUT -p tcp --sport 25 -j ACCEPT # Libera Radios iptables -A INPUT -p tcp --sport 8000 -j ACCEPT iptables -A INPUT -p tcp --sport 8004 -j ACCEPT iptables -A INPUT -p tcp --sport 8300 -j ACCEPT # Loga chain INPUT iptables -A INPUT -j LOG --log-prefix "Firewall: " # FIM
Coloquei também umas regras contra scanners, que o 1c3 posto em um outro topico.
-
22-05-2005, 01:16 #12
- Ingresso
- Aug 2004
- Posts
- 616
script de firewall
Acredito q seu FW esta bem fechado. Eu naa coloco todas (so algumas) as regras de scenners, por 3 motivos. 1) Nao traz grande vantagnes, 2) vc pode ter problemas de lentidao em rede com muito trafego, 3) o falg -P0 do nmap ja consegue passar sobre isso. Mas como no seu caso eh so uma maquina mesmo o problema de lentidao nao tem....
[] Dotta :twisted:
Citação