+ Responder ao Tópico



  1. #1
    slackrio
    Visitante

    Padrão ajuda no firewall please !!

    Pessoal estou com uma dificuldade de fazer isso funcionar por favor como ficaria este firewall para liberar somente as portas (21,110,25,80,443,53,5000)?

    a minha interfaze e:

    ppp0: conectado com ip dinamico da velox
    eth0: internet ligado ao modem
    eth1: interface da rede ligado ao swith (192.168.0.0/24)

    a baixo esta o firewall que to montando


    #!/bin/bash
    # Script de Firewall
    #Carregando Modulos do Kernel
    /sbin/depmod -a
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_MASQUERADE
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_conntrack
    /sbin/modprobe ip_nat_ftp
    /sbin/modprobe ip_queue
    /sbin/modprobe iptable_filter
    /sbin/modprobe iptable_mangle
    /sbin/modprobe iptable_nat
    /sbin/modprobe ip_tables
    /sbin/modprobe ipt_length
    /sbin/modprobe ipt_limit
    /sbin/modprobe ipt_multiport
    /sbin/modprobe ipt_REDIRECT
    /sbin/modprobe ipt_REJECT
    /sbin/modprobe ipt_state
    #/sbin/modprobe ipt_unclean

    #Variaveis para Regras
    echo "Carregando variveis de ambiente"

    #Portas
    TROJAN_PTCP="12345,12346"
    TROJAN_PUDP="27444,31335"

    #Limpando as regras
    iptables -X
    iptables -F
    iptables -t nat -F
    iptables -t nat -X

    #Bloqueia todo o trafego (Fecha tudo)
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    # Configurando a Protecao anti-spoofing
    for spoofing in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo "1" > $spoofing
    done
    echo "Carregando anti-spoofing protection ...[ OK ]"

    #Protecao Contra IP Spoofing
    iptables -A INPUT -s 10.0.0.0/8 -i ppp0 -j DROP
    iptables -A INPUT -s 172.16.0.0/16 -i ppp0 -j DROP
    iptables -A INPUT -s 192.168.0.0/24 -i ppp0 -j DROP


    # Impedimos que um atacante possa maliciosamente alterar alguma rota
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
    echo "Carregando anti-redirects .............[ OK ]"


    # Desabilitando Roteamento de pacotes
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
    echo "Carregando anti-source_route ..........[ OK ]"

    # Protecao contra responses bogus
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    echo "Carregando anti-bugus_response ........[ OK ]"

    # Protecao contra ataques de syn flood (inicio da conexao TCP). Tenta conter ataques de DoS.
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    echo "Carregando anti-synflood protection ...[ OK ]"


    # Bloqueando NetBios na Rede.
    echo "Bloqueando Trafego NetBios ............[ OK ]"
    iptables -A FORWARD -p tcp --sport 137:139 -o ppp0 -j DROP
    iptables -A FORWARD -p udp --sport 137:139 -o ppp0 -j DROP
    iptables -A OUTPUT -p tcp --sport 137:139 -o ppp0 -j DROP
    iptables -A OUTPUT -p udp --sport 137:139 -o ppp0 -j DROP


    # ESTABLISHED,RELATED

    echo "ESTABLISHED,RELATED .................. [ OK ]"
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT



    A PARTIR DAQUI COMO PROCEDER ??????


    grato pela ajuda

  2. #2

    Padrão Re: ajuda no firewall please !!

    Cara parece que vc pegou meu script de firewall mas ta faltando muita coisa, cade o resto, la mesmo libero estas portas e pronto e detalhe, não precisa bloquear o netbios pois a politica padrão do meu firewall é tudo o que não for liberado é bloqueado iptables -P INPUT DROP e ai por diante

  3. #3
    slackrio
    Visitante

    Padrão Re: ajuda no firewall please !!

    ola igorallan bom uma parte peguei na net sim nao sabia que era seu (mais valew pela conf)
    eu fiz um teste com script completo e la coloquei pra fechar a porta 80 e as maquinas da rede continuaram a navegar , depois fechei a porta 22 e a mesma coisa estava funcionando ..

    o que sera que eu fiz de errado ???

    eu preciso de um firewall bem configurado pq tenho um servidor rodando apache, qmail, ftp, mysql sem dizer que ele tem squid para as maquinas locais .. (to sem grana para ter 2 servidores .. rs )

    abraco
    agradeco pelo o script que vc disponibilizou .. desculpa por nao ter posto os creditos

  4. #4
    slackrio
    Visitante

    Padrão Re: ajuda no firewall please !!

    ve se desta forma fica legal

    uso ADSL

    ppp0 = conectado a velox

    eth0= ligado ao modem adsl

    eth1 = ligado no servidor com o swith na rede interna

    o Firewall uqe peguei teu e montei ta assim ve se fica legal

    vc acha que com isso estarei realmente dropando tudo e liberando somente o necesario ?


    #!/bin/bash

    #Carregando Modulos do Kernel

    /sbin/depmod -a
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_MASQUERADE
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_conntrack
    /sbin/modprobe ip_nat_ftp
    /sbin/modprobe ip_queue
    /sbin/modprobe iptable_filter
    /sbin/modprobe iptable_mangle
    /sbin/modprobe iptable_nat
    /sbin/modprobe ip_tables
    /sbin/modprobe ipt_length
    /sbin/modprobe ipt_limit
    /sbin/modprobe ipt_multiport
    /sbin/modprobe ipt_REDIRECT
    /sbin/modprobe ipt_REJECT
    /sbin/modprobe ipt_state
    #/sbin/modprobe ipt_unclean

    Protecoes do Kernel
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies

    #Apaga as regras
    iptables -X
    iptables -F
    iptables -t nat -F
    iptables -t nat -X

    # Bloqueia todo o trafego (Fecha tudo)
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    #Habilita o StateFull Inspection
    iptables -N ALLOWED
    iptables -A ALLOWED -p tcp --syn -m state --state NEW -j ACCEPT
    iptables -A ALLOWED -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A ALLOWED -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A ALLOWED -p tcp -j DROP

    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE


    #Libera os servicos (HTTP,HTTPS,SMTP/POP3,DNS,FTP)
    iptables -A INPUT -p tcp -m multiport --dport 20,21,25,53,80,110,161,443 -j ALLOWED
    iptables -A INPUT -p tcp -m multiport --sport 20,21,25,53,80,110,161,443 -j ALLOWED
    iptables -A FORWARD -p tcp -m multiport --dport 20,21,25,53,80,110,443 -j ALLOWED
    iptables -A FORWARD -p tcp -m multiport --sport 20,21,25,53,80,110,443 -j ALLOWED


    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A PREROUTING -i eth1 -p udp --dport 80 -j REDIRECT --to-port 3128

    # DNS
    iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT
    iptables -A INPUT -p udp -m multiport --sport 53 -j ACCEPT
    iptables -A FORWARD -p udp -m multiport --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp -m multiport --sport 53 -j ACCEPT

    # Regras de OUTPUT

    iptables -A OUTPUT -j ACCEPT
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    echo "Carregando regras de P2P"
    echo "Regras do Firewall carregadas com sucesso !!!"