IPTables

Julio_Jose
(usa Debian)

Enviado em 17/08/2007 - 16:16h

olá pessoal, alguem ai tem um .conf de um firewall iptables que bloqueia tudo, e libera apenas o acesso a internet?? por favor, se alguem ai tiver posta ai pra min

poleti
(usa Fedora)

Enviado em 20/08/2007 - 16:34h

iptables -N LACCEPT
iptables -A LACCEPT -j LOG --log-level info --log-prefix "ACCESS: "
iptables -A LACCEPT -j ACCEPT

# Monitoramento de pacotes rejeitados
iptables -N FDROP
iptables -A FDROP -j LOG --log-level debug --log-prefix "FDROP: "
iptables -A FDROP -j DROP

################### REGRAS DE SEGURAN� DA REDE ######################

# Descarte de pacotes nao-identificado ICMP (ping)
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP

# Contra DoS:
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

# Contra Port Scanners:
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Contra Pings da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Bloquear Back Orifice:
iptables -A INPUT -p tcp --dport 31337 -j DROP
iptables -A INPUT -p udp --dport 31337 -j DROP

# Bloquear NetBus:
iptables -A INPUT -p tcp --dport 12345:12346 -j DROP
iptables -A INPUT -p udp --dport 12345:12346 -j DROP

################### LIBERACAO DE PORTAS ######################

# Liberacao de acesso SSH para acesso remoto
iptables -A INPUT -p tcp -i eth0 \
--dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Liberacao das portas TCP altas (1022 a 65535)
iptables -A INPUT -p tcp -i eth0 --dport 1022:65535 \
-m state --state ESTABLISHED,RELATED -j ACCEPT

# Liberacao das portas TCP altas (1022 a 65535)para pesquisa DNS
iptables -A INPUT -p udp -i eth0 --sport 53 --dport 1024:65535 \
-m state --state ESTABLISHED -j ACCEPT

# Bloqueio de todas as outras portas
#iptables -A INPUT -i eth0 -j FDROP


# Redirecionamento de porta para Proxy Transparente Squid
#iptables -t nat -A PREROUTING -s <ip_rede> -p tcp --dport 80 -j REDIRECT --to-port 3128

jhonicesar
(usa Suse)

Enviado em 31/10/2007 - 08:28h

olá amigos, estou com um problema na empresa onde trabalho, eu sou da parte de informatica, nos computadores aqui é usado dois gateways, um pra internet e outro para conexão direta com nosso distribuidor, aqui é proibido o acesso ao site orkut, assim precisei configurar o proxy, porém quando coloco a maquina para funcionar com o proxy ativado o gateway de conexão com o distribuidor fica bloqueado mesmo colocando na lista de sites permitidos, me falaram que é problema de liberação de portas, mas não consegui nada.
Por favor será que alguem sabe me ajudar?
Obrigado pessoal.

elgio
(usa OpenSuSE)

Enviado em 31/10/2007 - 08:34h

# Contra DoS:
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Bah, por favor, pelo BEM da segurança, dá uma URGENTE lida neste artigo:

http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=7070

Vamos parar, PELO AMOR DE DEUS, de plantar esta fajuta solução contra DoS, senão meu esforço foi em vão!!!

elgio
(usa OpenSuSE)

Enviado em 31/10/2007 - 08:40h

E Julio: sobre tua pergunta, muitas outras perguntas dependem a resposta. Via de regra, fique longe de scripts genéricos que são feitos para a realidade de quem os escreveu. Só os aceite se tens condições de adapta-lo a tua realidade.

As pessoas vão configurando seus firewalls via copy and paste como se isto fosse natural!

Ou então usa uma ferramenta gráfica que te faz algumas perguntas e gera umas regras pra ti.

Queres bloquear ONDE?
É no gateway/roteador que é um Linux?
É no desktop?

O "bloqueia tudo" significa o que? Que nenhum serviço entrante é viável?

Tua rede tem nat? Não tem? (o script sugerido acima trabalha com proxy transparente!!! :-O)

jsh
(usa Slackware)

Enviado em 31/10/2007 - 12:58h

pesquise aqui na vol sobre policy routing.
é fácil e resolve muita coisa.

ricardoolonca
(usa Debian)

Enviado em 01/11/2007 - 06:07h

Firewall (e tudo referente a segurança) não é só copiar e pôr prá funcionar. Tem que saber o que cada linhas representa, o que cada parâmetro faz. Sempre vejo perguntas simples do tipo "como faço prá liberar uma porta" e vem gente colocando um monte de regra com "-m limit, stat, log-level". Prá quem tá começando, seja simples.