JJSantos
(usa Gentoo)
Enviado em 03/02/2012 - 21:18h
Spir1tzz escreveu:
A alguns dias era usuário de Windows, meu sistema realmente era bem seguro com regras de firewall do sistema e pessoais com o comodo também, um scan do nmap bem feito nunca conseguia passar além de algumas portas filtradas, o resto tudo era invisível, nem o SO detectava.
Gostaria de saber como posso complementar a segurança do meu slackware pelo iptables, com algumas regras bacanas que no caso não tenho muito conhecimento mas posso adicioná-las sem demais problemas, existe algum firewall gráfico para o slack, ou uma interface para configuração do iptables?
Fico no aguardo :D
Dê uma lida :
http://migre.me/7MU5V
http://migre.me/7MU74
Sobre o Firewall usa o meu, ou faz um para você:
#! /bin/bash
#Configuracao Firewall atraves do iptables
#Autoria do Script
#"::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::"
#"| Script de Firewall - IPTABLES"
#"| Criado por: Josue Santos"
#"| membros da comunidade viva o linux"
#"| Tecnico em Informatica"
#"| josueandres.fcb@gmail.com"
#"| Uso: firewall start|stop|restart"
#"::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::"
###########################
#######TITULO ABRE####### #
echo "Iniciando FIREWALL"
###########################
##################################################################
#Os diversos modulos do iptables sao chamados atraves do modprobe#
##################################################################
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
modprobe ipt_state
modprobe ipt_multiport
modprobe iptable_mangle
modprobe ipt_tos
modprobe ipt_limit
modprobe ipt_mark
modprobe ipt_MARK
echo "subindo os modulos do IPTABLE e NETFILTRE"
echo "ON .......................................................[#OK]"
####################
#Interfaces de Rede#
####################
LAN=eth0
WAN=ppp0
echo "ativado o placa de rede eth0"
echo "ON ........................................................[#OK]"
###########################
#Mensagem de inicializacao#
###########################
echo "::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::"
echo "| Script de Firewall - IPTABLES"
echo "| Criado por: Josue Santos"
echo "| membro da comunidade viva o linux"
echo "| Tecnico em Informáatica"
echo "| josueandres.fcb@gmail.com"
echo "| Uso: firewall start|stop|restart"
echo "::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::"
echo
echo "=========================================================|"
echo "|:INICIANDO A CONFIGURACAO DO FIREWALL NETFILTER ATRAVES:|"
echo "|: DO IPTABLES :|"
echo "=========================================================|"
######################
#Zera todas as Regras#
######################
echo "Zera todas as Regras"
iptables -F
########################################
##Bloqueia tudo, nada entra e nada sai##
########################################
echo "Fechando tudo..."
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
###################################
###Libera conexoes estabelecidas###
###################################
echo "Liberando conexoes..."
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
###################
#COMPARTILHAMENTO##
###################
#
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#
############################################
#Bloqueio de scanners ocultos (Shealt Scan)#
############################################
#IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK, FIN, -m limit --limit 1/s -j ACCEPT
echo "bloqueado scanners ocultos"
echo "ON .......................................................[#OK]"
#########################
#Bloqueio Anti-Spoofings#
#########################
#$IPTABLES -A INPUT -s 10.0.0.0/8 -i $WAN -j DROP
#$IPTABLES -A INPUT -s 127.0.0.0/8 -i $WAN -j DROP
#$IPTABLES -A INPUT -s 172.16.0.0/12 -i $WAN -j DROP
#$IPTABLES -A INPUT -s 192.168.1.0/16 -i $WAN -j DROP
#echo "ativado o bloqueio de tentativa de ataque do tipo Anti-spoofings"
#echo "ON .......................................................[#OK]"
####################
#Bloqueio de portas#
####################
#for i in `cat $PORTSBLO`; do
#$IPTABLES -A INPUT -p tcp -i $WAN --dport $i -j DROP
#$IPTABLES -A INPUT -p udp -i $WAN --dport $i -j DROP
#$IPTABLES -A FORWARD -p tcp --dport $i -j DROP
#done
#######################################
#Bloqueio de ataque ssh de forca bruta#
#######################################
#$IPTABLES -N SSH-BRUT-FORCE
#$IPTABLES -A INPUT -i $WAN -p tcp --dport 22 -j SSH-BRUT-FORCE
#$IPTABLES -A SSH-BRUT-FORCE -m limit --limit 1/s --limit-burst 4 -j RETURN
#$IPTABLES -A SSH-BRUT-FORCE -j DROP
#echo "ativado o bloqueio a tentativa de ataque do tipo SSH-BRUT-FORCE"
#echo "ON .......................................................[#OK]"
###################################
#Bloquear ataque do tipo SYN-FLOOD#
###################################
echo "0" > /proc/sys/net/ipv4/tcp_syncookies
#$IPTABLES -N syn-flood
#$IPTABLES -A INPUT -i $WAN -p tcp --syn -j syn-flood
#$IPTABLES -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
#$IPTABLES -A syn-flood -j DROP
echo "ativado o bloqueio de ataque do tipo SYN-FLOOD"
echo "ON ........................................................[#OK]"
#################################################
#Descarte de pacotes nao-identificado ICMP (ping)
#################################################
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP
echo "ativado o bloqueio a tentativa de ataque do tipo
PING-ICMP"
echo "ON .........................................................[#OK]"
######################
#Contra Pings da morte
######################
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
#$IPTABLES -N PING-MORTE
#$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j PING-MORTE
#$IPTABLES -A PING-MORTE -m limit --limit 1/s --limit-burst 4 -j RETURN
#$IPTABLES -A PING-MORTE -j DROP
echo "ativado o bloqueio a ataque do tipo ping da morte"
echo "ON ..........................................................[#OK]"
############################################################################
##Impede ataques DoS a maquina limitando a quantidade de respostas do ping##
############################################################################
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j DROP
echo "Previne ataques DoS"
echo "ON ..........................................................[#OK]"
#################################
##Bloqueia completamente o ping##
#################################
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo "Previne ataques PING"
echo "ON ..........................................................[#OK]"
##########################
##Politicas de seguranca##
##########################
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
echo "Implementacao de politicas de seguranca"
echo "ON ...........................................................[#OK]"
#######################################################################################
##Libera o acesso via SSH e Limita o numero de tentativas de acesso a 4 a cada minuto##
#######################################################################################
#echo "Liberando o SSH"
#iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -p udp --dport 22 -j ACCEPT
##################
##Libera o Samba##
##################
#echo "Liberando o Samba"
#iptables -A INPUT -p tcp --dport 137:139 -j ACCEPT
#iptables -A INPUT -p udp --dport 137:139 -j ACCEPT
###################
##Libera o Apache##
###################
#echo "Liberando o Apache"
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#######################
#Bloquear Back Orifice#
#######################
iptables -A INPUT -p tcp --dport 31337 -j DROP
iptables -A INPUT -p udp --dport 31337 -j DROP
echo "ativado o bloqueio a tentativa de ataque do tipo
BACK-ORIFICE"
echo "ON .........................................................[#OK]"
#################
#Bloquear NetBus#
#################
iptables -A INPUT -p tcp --dport 12345:12346 -j DROP
iptables -A INPUT -p udp --dport 12345:12346 -j DROP
echo "ativado o bloqueio a tentativa de ataque do tipo
NET-BUS"
echo "ON ..........................................................[#OK]"
################
##TITULO FECHA##
################
echo "Configuracao Firewall Concluida."
echo
echo "==========================================================|"
echo "::TERMINADA A CONFIGURACAO FIREWALL NETFILTER ATRAVES::|"
echo ":: DO IPTABLES ::|"
echo "==========================================================|"
echo "FIREWALL ATIVADO - SISTEMA PREPARADO"
echo "SCRIPT DE FIREWALL CRIADO POR :-) JOSUE SANTOS :-)"
echo "FIREWALL DESCARREGADO - SISTEMA LIBERADO"
