Firewall: Teste no site www.grc.com nao funciona

Buckminster
(usa Debian)

Enviado em 04/11/2013 - 19:54h

Escolhe aí o que você quer, o que você não quiser, comenta a regra:

##Proteção contra ping, SYN Cookie, IP Spoofing e proteções do kernel
#####################################################################
echo 1 > /proc/sys/net/ipv4/tcp_syncookies #Syn Flood-DoS
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter #Ip Spoofing
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts #Sem ping e port scanners
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses #Sem resposta remota
for i in /proc/sys/net/ipv4/conf/*; do
echo 0 > $i/accept_redirects #Sem redirecionar rotas
echo 0 > $i/accept_source_route #Sem traceroute
echo 1 > $i/log_martians #Loga pacotes suspeitos no kernel
echo 1 > $i/rp_filter #Ip Spoofing
echo 0 > $i/secure_redirects; done #Sem redirecionamento de pacotes
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #Sem ping e tracert

BigField
(usa Debian)

Enviado em 04/11/2013 - 20:06h

Px e André, deixa eu perguntar uma coisa:
O script do meu servidor, estou colocando no lugar certo?
No tutorial que segui mandou criar o /etc/squid/fw.sh e colocar o script dentro dele. Procede?
No aguardo.

Buckminster
(usa Debian)

Enviado em 04/11/2013 - 20:10h

# vim /etc/init.d/firewall.sh << eu usei o vim, você usa o teu editor de texto preferido e pode colocar outro nome para o script (aconselhável).

Coloque as regras dentro.
Salve e saia.

Dê permissão de execução:
# chmod +x /etc/init.d/firewall.sh

E coloque em /etc/rc.local antes de 'exit 0', assim:
...
/etc/init.d/firewall.sh start

exit 0
Salve e saia.

Dessa maneira o iptables inicia junto com o sistema e você pode iniciar, parar e reiniciar no terminal com o comando:
#/etc/init.d/firewall.sh start, stop ou restart

Isso aí em cima é para o script do Iptables.

BigField
(usa Debian)

Enviado em 04/11/2013 - 20:11h

Andre, coloquei deste jeito que você disse.
A internet navegou...mas...nao consegui o Passed
Permaneceram todas fechadas-azul, mas nao fiquei invisível.
O que pode ser?

Buckminster
(usa Debian)

Enviado em 04/11/2013 - 20:20h

Segue aí um script básico:

#!/bin/bash
#
#Desabilitando o tráfego entre as placas
########################################
echo 0 > /proc/sys/net/ipv4/ip_forward
#
##Apagando e restaurando as chains e tabelas
############################################
iptables -Z # Zera as regras das chains
iptables -F # Remove as regras das chains
iptables -X # Apaga as chains
iptables -t nat -Z
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -Z
iptables -t mangle -F
iptables -t mangle -X
#
##Proteção contra ping, SYN Cookie, IP Spoofing e proteções do kernel
#####################################################################
echo 1 > /proc/sys/net/ipv4/tcp_syncookies #Syn Flood-DoS
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter #Ip Spoofing
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts #Sem ping e port scanners
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses #Sem resposta remota
for i in /proc/sys/net/ipv4/conf/*; do
echo 0 > $i/accept_redirects #Sem redirecionar rotas
echo 0 > $i/accept_source_route #Sem traceroute
echo 1 > $i/log_martians #Loga pacotes suspeitos no kernel
echo 1 > $i/rp_filter #Ip Spoofing
echo 0 > $i/secure_redirects; done #Sem redirecionamento de pacotes
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #Sem ping e tracert
#
#Carregando os módulos.
#######################
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe iptable_mangle
#
##Definindo políticas padrões
#############################
iptables -P INPUT DROP # iptables a política padrão da chain INPUT é proibir tudo
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#
##Liberando a Loopback
######################
iptables -A INPUT -i lo -j ACCEPT # adiciona regra na chain INPUT para liberar a loopback
#
##Regras de segurança na internet e de aceitação de pacotes
###########################################################
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW ! -i ethX -j DROP # << Interface de entrada da internet
iptables -A FORWARD -m state --state NEW ! -i ethX -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
#
# Mascaramento, compartilhamento e redirecionamento
###################################################
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i ethX -p tcp --dport 80 -j REDIRECT --to-port 3128 << AQUI VAI A PLACA DA REDE INTERNA
iptables –t nat –A POSTROUTING –o ethX –j MASQUERADE << AQUI VAI A PLACA QUE ESTÁ RECEBENDO A INTERNET

Veja bem: em "Proteção contra ping, SYN Cookie..." você pode comentar o que não quiser e em "Liberando portas para a rede interna" você pode comentar as portas dos serviços que não está utilizando.

Nas políticas padrões o ideal é sempre bloquear as chains INPUT e FORWARD e depois ir liberando somente o que você quer.

px
(usa Debian)

Enviado em 05/11/2013 - 15:54h

É por que sua INPUT (pelo menos) deve estar aberta e assim sendo não tem como ficar "invisível" a rede externa. Aqui eu fecho todas as CHAINS (Pc de trabalho, Desktop não servidor) e ainda monitoro os acessos e tentativas de acessos externos para evitar de ter alguma falha explorada ou mesmo deixar algum serviço comprometido.

andrecanhadas
(usa Debian)

Enviado em 05/11/2013 - 16:30h

Adicione as regras:

echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all



 

Isso vai barrar o ping

Buckminster
(usa Debian)

Enviado em 05/11/2013 - 16:40h

André, não seria 0 = desliga e 1 = liga?

Ou seja, para bloquear ping seria

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

ou mudou?

andrecanhadas
(usa Debian)

Enviado em 05/11/2013 - 18:00h

Não esta correto o 1 neste caso ativa o bloqueio do ping fui pela logica do 0-1

px
(usa Debian)

Enviado em 05/11/2013 - 18:25h

O "1" no "echo 1 >" ativa o "ignorar" do ping ou seja o 1 ativa e o 0 desativa, com o 1 não responde a pings e nem a "pings" em broadcast com o "0" ele responde normalmente a mensagens icmp

Buckminster
(usa Debian)

Enviado em 05/11/2013 - 19:01h

É isso aí...

BigField
(usa Debian)

Enviado em 08/11/2013 - 18:22h

Desculpem-me pela demora em responder...
mas é que outras atividades me ocuparam bastante nesses dias.
Já agradecendo a ajuda de todos, venho dizer que ainda não consegui
obter o selo de Passed no teste.

Fiz os passos e dicas que vocês me deram mas o danado do teste insiste
em dar failed.

No entanto, não desanimado com a tarefa, resolvi dar uma passeada pelo nosso
ilustre Drº Google, onde encontrei em um fórum estrangeiro dizendo o seguinte:

Não é aconselhável ter em um seguimento de Servidor duas fontes de DHCP, visto que
tendo as duas juntas, dariam um conflito nas requisições de icmp.

Neste caso, gostaria de saber de vocês se esse não seria o meu caso, já que minha conexão (internet),
vem de um modem/roteador com a função DHCP ativada.

Caso alguém saiba mais sobre essa informação, por favor espero por retorno.

Obrigado.