Firewall para o dia a dia

H4ck-Du5t

Em ambiente corporativo devemos nos preocupar bastante com a segurança da nossa rede interna e os dados que nela trafegam, não podemos vacilar e nem "dar mole" pra não ser vítima de um ataque e acabar "dando empada pro gato", como se diz aqui no meu trabalho. Bem, vou abordar aqui um firewall simples com diversos bloqueios e redirecionamentos para serviços especiais internos.

[ Hits: 36.726 ]

Por: Eliseu Ribeiro Cherene Viana em 09/08/2007

0 0

Denuncie Favoritos Indicar Impressora

Introdução

Creio eu que o arquivo esteja bem explicado e nele contemos as proteções mais necessárias para uma rede que requer segurança, como: IP Spoofing, Flood, Ping da Morte, Trojans, Worms, port Scaners e etc. Mas digo que toda proteção ainda não é o bastante.

Temos também redirecionamentos de conexões vindos da rede externa e encaminhamentos de portas de determinados programas que podem ser ajustados conforme as suas necessidades, por exemplo: você quer liberar a porta 9090 apenas para um IP na rede, ou você deseja que todas as conexões vindas de fora na porta 80 sejam encaminhadas para o seu servidor Web.

É isso aí, espero contribuir para uma utilização de forma eficaz..

Disposição do Firewall

Teremos o nosso Firewall divido em 3 (três) arquivos, um para limpeza de todas as regras chamado de "limpa_regras.sh", outro para carregar os módulos que iremos utilizar chamado de "modulos.sh" e o "firewall.sh", que é o próprio dito.

# vim limpa_regras.sh

#!/bin/bash
# Script para limpar regras do Iptables 1.0
# Criado por Eliseu Cherene eliseurcv@hotmail.com www.eliseucherene.com
# Dia 30/07/2007 2:20 AM

echo "Limpando Regras do Firewall..."

/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -F
/sbin/iptables -t mangle -X

# vim modulos.sh

#!/bin/bash
# Script de Execução de Módulos Iptables 1.0
# Criado por Eliseu Cherene eliseurcv@hotmail.com www.eliseucherene.com
# Dia 30/07/2007 2:20 AM

echo "1" > /proc/sys/net/ipv4/ip_forward

echo "Carregando Módulos..."

/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_mangle
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ipt_LOG

Próxima página

Páginas do artigo

1. Introdução
2. O firewall (firewall.sh)

Outros artigos deste autor

Slackware como controlador de domínio

Samba standalone server com antivírus

Implementando um servidor DHCP

Samba como controlador de domínio no Ubuntu

Leitura recomendada

Entendendo a teoria do iptables

Dominando o Iptables (parte 2)

Roteamento de entrada/saída com iproute e iptables

Servidor seguro com Bridge, Snort e Guardian

Incremente o iptables com patch-o-matic

Comentários

[1] Comentário enviado por y2h4ck em 09/08/2007 - 09:47h

Entro no mérito de "Artigo/Dica" ?

Não ... :P

[]s

0 0

[2] Comentário enviado por dtux em 09/08/2007 - 13:01h

Tem q arrumar algumas regras do ultimo scritp, pois estão com argumento repetido e falatando parametro
ex
iptables -A TRINOO -m limit -limit 15/m -j LOG -log-log-level 6 -log-prefix "FIREWALL: trinoo:"

Possui dois erros -j LOG -log-log-level, parametro log repetido duas vezes
e limit -limit 15/m , tem q ser limit --limit 15/m

0 0

[3] Comentário enviado por elgio em 09/08/2007 - 14:42h

Pois é.
Eu acho muito complicado escrever um script de firewall genérico para o dia a dia... Os usuários instalam ele e nem sabem o que estão fazendo!
Ou se aprende a construir o seu, realmente personalizado para tuas necessidades ou se usa uma interface gráfica.

Por exemplo: para que tanta regra se o que eu tenho é um desktop? Nada do FORWARD tem sentido! Pra que aceitar SYN se o meu desktop não é servidor de nada? Ou mais, ele é servidor de HTTP, então para que aceitar SYN em outros serviços como SSH?

Eu sou contra scripts genéricos de firewall, mas cada um cada um :-D
Veja, por exemplo, estes tópicos de discussão:
http://www.vivaolinux.com.br/comunidades/verTopico.php?codigo=40&codtopico=5402

0 0

[4] Comentário enviado por srf em 09/08/2007 - 15:18h

Meus parabens muito bom seu artigo...

0 0

[5] Comentário enviado por maniac em 10/08/2007 - 11:22h

Muito bom

0 0

[6] Comentário enviado por DondaJr em 10/08/2007 - 19:16h

Acho que esse firewall vale mais para aprendizado do que para uso em si.!

Porém, tem que se observar bastante,já que há erros de parametros

0 0