Avalien o meu firewall

1. Avalien o meu firewall

Nei Santana
vinteumdoonze

(usa Ubuntu)

Enviado em 23/02/2007 - 15:56h

Pessoal boa tarde, preciso que alguem avalie o meu firewall que fiz para rodar no kurumin6. Agora tenho uma duvida especial sobre as portas que estou abrindo, por isso deixei comentada, como vcs podem ver estou habilitando o LOG para entradas na s portas 22 e 3389,(SSH e Cameras da empresa)onde tambem estou redirecionando a porta para uma outra maquina da rede local tanto o 22 como o 3389. É necessário especificar os ips que vão ter acesso pela internet onde coloquei "xxx.xxx.xxx.xxx" ? outra coisa, o firewall é linux mas as estações são Rwindows. Espero ter sido claro.

#!/bin/bash

# Script de configuração do Firewall
# Data da criação: 30 jan 2007
# Ultima Revisão: 23 fev 2007

firewall_start(){

# Abre para uma faixa de endereços da rede local
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT

# Registro de log, visite o log em /var/log/messages ou comando dmesg (forma resumida)
#iptables -A INPUT -p tcp --dport 22 -j LOG
#iptables -A INPUT -p tcp --dport 3389 -j LOG

# Abre uma porta (Camera e SSH) apenas para um IP especifico
#iptables -A INPUT -p tcp --syn -s xxx.xxx.xxx.xxx --dport 22 -j ACCEPT
#iptables -A INPUT -p tcp --syn -s xxx.xxx.xxx.xxx --dport 3389 -j ACCEPT

# Redireciona uma faixa de portas para um micro da rede local (Camera e SSH).
#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -A PREROUTING -p tcp -i eth0:1 --dport 3389 -j DNAT --to 192.168.0.37
#iptables -t nat -A POSTROUTING -d 192.168.0.37 -j SNAT --to 192.168.0.5
#iptables -t nat -A PREROUTING -p tcp -i eth0:1 --dport 22 -j DNAT --to 192.168.0.1
#iptables -t nat -A POSTROUTING -d 192.168.0.1 -j SNAT --to 192.168.0.5

# Bloqueio de MSN MESSENGER
#iptables -A FORWARD -s rede -p tcp --dport 1863 -j REJECT
#iptables -A FORWARD -s rede -d loginnet.passport.com -j REJECT

# Para liberar o MSN para uma maquina
#iptables -A FORWARD -s 192.168.0.2/24 -p tcp --dport 1863 -j ACCEPT
#iptables -A FORWARD -s 192.168.0.2/24 -d loginnet.passport.com -j ACCEPT
# OBS; tem uma acl no squid que reforça esse bloqueio

# Ignora pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Proteção contra IP spoofing
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

# Proteção contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP

# Proteções contra portscanners, ping of death, ataques DoS, etc.
iptables -A FORWARD -m unclean -j DROP
iptables -A INPUT -m state --state INVALID -j DROP

# Abre para a interface de loopback.
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

# Fecha as portas udp de 1 a 1024, abre para o localhost
iptables -A INPUT -p udp -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -p udp --dport 1:1024 -j DROP
iptables -A INPUT -p udp --dport 59229 -j DROP

# Esta regra bloqueia tudo exceto o que foi permitido acima.
iptables -A INPUT -p tcp --syn -j DROP

/etc/skel-fix/firewall-msg

}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
}

case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "O Firewall está sendo desativado"
sleep 2
echo "ok."
;;
"restart")
echo "O Firewall está sendo desativado"
sleep 1
echo "ok."
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac





  






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts