Firewall
Publicado por Everton da Silva 03/02/2005
[ Hits: 7.195 ]
Durante minhas pesquisas para aprendizado sobre regras de firewall encontrei muitas coisas, e acabei conseguindo elaborar um "resumo" de tudo que encontrei.
Essas regras são suficientes em um simples servidor para compartilhar internet com um proxy transparente. Possui proteção contra alguns ataques mais conhecidos e ainda permite que as estações que utilizam internet através dessa máquina possam utilizar serviços pop e smtp externos.
A maioria das regras eu encontrei aqui mesmo no VOL.
#!/bin/sh # Variáveis # ------------------------------------------------------- iptables=/sbin/iptables IF_EXTERNA=eth0 IF_INTERNA=eth1 # Ativa módulos # ------------------------------------------------------- /sbin/modprobe iptable_nat /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp /sbin/modprobe ipt_LOG /sbin/modprobe ipt_REJECT /sbin/modprobe ipt_MASQUERADE # Ativa roteamento no kernel # ------------------------------------------------------- echo "1" > /proc/sys/net/ipv4/ip_forward # Proteção contra IP spoofing # ------------------------------------------------------- echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter # Zera regras # ------------------------------------------------------- $iptables -F $iptables -X $iptables -F -t nat $iptables -X -t nat $iptables -F -t mangle $iptables -X -t mangle # Determina a política padrão # ------------------------------------------------------- $iptables -P INPUT DROP $iptables -P OUTPUT DROP $iptables -P FORWARD DROP ################################################# # Tabela FILTER ################################################# # Dropa pacotes TCP indesejáveis # ------------------------------------------------------- $iptables -A FORWARD -p tcp -m tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FIREWALL: NEW sem syn: " $iptables -A FORWARD -p tcp -m tcp ! --syn -m state --state NEW -j DROP # Dropa pacotes mal formados # ------------------------------------------------------- $iptables -A INPUT -i $IF_EXTERNA -m unclean -j LOG --log-level 6 --log-prefix "FIREWALL: pac mal formado: " $iptables -A INPUT -i $IF_EXTERNA -m unclean -j DROP # Aceita os pacotes que realmente devem entrar # ------------------------------------------------------- $iptables -A INPUT -i ! $IF_EXTERNA -j ACCEPT $iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT $iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT # Proteção contra trinoo # ------------------------------------------------------- $iptables -N TRINOO $iptables -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trinoo: " $iptables -A TRINOO -j DROP $iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27444 -j TRINOO $iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27665 -j TRINOO $iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 31335 -j TRINOO $iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 34555 -j TRINOO $iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 35555 -j TRINOO # Proteção contra tronjans # ------------------------------------------------------- $iptables -N TROJAN $iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trojan: " $iptables -A TROJAN -j DROP $iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN $iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN $iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 4000 -j TROJAN $iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 6000 -j TROJAN $iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 6006 -j TROJAN $iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 16660 -j TROJAN # Proteção contra worms # ------------------------------------------------------- $iptables -A FORWARD -p tcp --dport 135 -i $IF_INTERNA -j REJECT # Proteção contra syn-flood # ------------------------------------------------------- $iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT # Proteção contra ping da morte # ------------------------------------------------------- $iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # Proteção contra port scanners # ------------------------------------------------------- $iptables -N SCANNER $iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner: " $iptables -A SCANNER -j DROP $iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $IF_EXTERNA -j SCANNER $iptables -A INPUT -p tcp --tcp-flags ALL NONE -i $IF_EXTERNA -j SCANNER $iptables -A INPUT -p tcp --tcp-flags ALL ALL -i $IF_EXTERNA -j SCANNER $iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $IF_EXTERNA -j SCANNER $iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $IF_EXTERNA -j SCANNER $iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $IF_EXTERNA -j SCANNER $iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $IF_EXTERNA -j SCANNER # Loga tentativa de acesso a determinadas portas # ------------------------------------------------------- $iptables -A INPUT -p tcp --dport 21 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: ftp: " $iptables -A INPUT -p tcp --dport 23 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: telnet: " $iptables -A INPUT -p tcp --dport 25 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: smtp: " $iptables -A INPUT -p tcp --dport 80 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: http: " $iptables -A INPUT -p tcp --dport 110 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: pop3: " $iptables -A INPUT -p udp --dport 111 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: rpc: " $iptables -A INPUT -p tcp --dport 113 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: identd: " $iptables -A INPUT -p tcp --dport 137:139 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: samba: " $iptables -A INPUT -p udp --dport 137:139 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: samba: " $iptables -A INPUT -p tcp --dport 161:162 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: snmp: " $iptables -A INPUT -p tcp --dport 6667:6668 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: irc: " $iptables -A INPUT -p tcp --dport 3128 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: squid: " # Libera acesso externo a determinadas portas # ------------------------------------------------------- $iptables -A INPUT -p tcp --dport 22 -i $IF_EXTERNA -j ACCEPT ################################################# # Tabela NAT ################################################# #Ativa mascaramento de saída # ------------------------------------------------------- $iptables -A POSTROUTING -t nat -o $IF_EXTERNA -j MASQUERADE #Proxy Transparente # ------------------------------------------------------- $iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 2000
Scripts recomendados
Bashblog v3.0 - cria um microblog em HTML5
Firewall Iptables agressivo para desktop
Removendo kernels antigos no Ubuntu
Comentários
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Gentoo binário em 2026: UEFI, LUKS, Btrfs e Systemd
Trabalhando Nativamente com Logs no Linux
Jogando Daikatana (Steam) com Patch 1.3 via Luxtorpeda no Linux
LazyDocker – Interface de Usuário em Tempo Real para o Docker
Dicas
Por que sua empresa precisa de uma PKI (e como automatizar EMISSÕES de certificados via Web API)
Instalando NoMachine no Gentoo com Systemd (acesso Remoto em LAN)
Gentoo: Trocando wpa_supplicant pelo iwd no NetworkManager (Systemd)
Tópicos
Necessário autenticar ao imprimir - Ubuntu X Windowns (0)
O que houve com slackware ??? (10)
O Free Download Manager não abre no Fedora 43 KDE Plasma (2)
Top 10 do mês
-
Xerxes
1° lugar - 127.288 pts -
Fábio Berbert de Paula
2° lugar - 60.223 pts -
Buckminster
3° lugar - 30.788 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
4° lugar - 20.235 pts -
Alberto Federman Neto.
5° lugar - 19.894 pts -
Mauricio Ferrari (LinuxProativo)
6° lugar - 19.366 pts -
edps
7° lugar - 18.075 pts -
Daniel Lara Souza
8° lugar - 17.429 pts -
Diego Mendes Rodrigues
9° lugar - 17.262 pts -
Andre (pinduvoz)
10° lugar - 15.899 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
