Em ambiente corporativo devemos nos preocupar bastante com a segurança da nossa rede interna e os dados que nela trafegam, não podemos vacilar e nem "dar mole" pra não ser vítima de um ataque e acabar "dando empada pro gato", como se diz aqui no meu trabalho. Bem, vou abordar aqui um firewall simples com diversos bloqueios e redirecionamentos para serviços especiais internos.
Creio eu que o arquivo esteja bem explicado e nele contemos as proteções mais necessárias para uma rede que requer segurança, como: IP Spoofing, Flood, Ping da Morte, Trojans, Worms, port Scaners e etc. Mas digo que toda proteção ainda não é o bastante.
Temos também redirecionamentos de conexões vindos da rede externa e encaminhamentos de portas de determinados programas que podem ser ajustados conforme as suas necessidades, por exemplo: você quer liberar a porta 9090 apenas para um IP na rede, ou você deseja que todas as conexões vindas de fora na porta 80 sejam encaminhadas para o seu servidor Web.
É isso aí, espero contribuir para uma utilização de forma eficaz..
Disposição do Firewall
Teremos o nosso Firewall divido em 3 (três) arquivos, um para limpeza de todas as regras chamado de "limpa_regras.sh", outro para carregar os módulos que iremos utilizar chamado de "modulos.sh" e o "firewall.sh", que é o próprio dito.
# vim limpa_regras.sh
#!/bin/bash
# Script para limpar regras do Iptables 1.0
# Criado por Eliseu Cherene eliseurcv@hotmail.com www.eliseucherene.com
# Dia 30/07/2007 2:20 AM
#!/bin/bash
# Script de Execução de Módulos Iptables 1.0
# Criado por Eliseu Cherene eliseurcv@hotmail.com www.eliseucherene.com
# Dia 30/07/2007 2:20 AM
[2] Comentário enviado por dtux em 09/08/2007 - 13:01h
Tem q arrumar algumas regras do ultimo scritp, pois estão com argumento repetido e falatando parametro
ex
iptables -A TRINOO -m limit -limit 15/m -j LOG -log-log-level 6 -log-prefix "FIREWALL: trinoo:"
Possui dois erros -j LOG -log-log-level, parametro log repetido duas vezes
e limit -limit 15/m , tem q ser limit --limit 15/m
[3] Comentário enviado por elgio em 09/08/2007 - 14:42h
Pois é.
Eu acho muito complicado escrever um script de firewall genérico para o dia a dia... Os usuários instalam ele e nem sabem o que estão fazendo!
Ou se aprende a construir o seu, realmente personalizado para tuas necessidades ou se usa uma interface gráfica.
Por exemplo: para que tanta regra se o que eu tenho é um desktop? Nada do FORWARD tem sentido! Pra que aceitar SYN se o meu desktop não é servidor de nada? Ou mais, ele é servidor de HTTP, então para que aceitar SYN em outros serviços como SSH?