Ajuda (Iniciante em IPTABLES)

1. Ajuda (Iniciante em IPTABLES)

C.Joseph
(usa Slackware)

Enviado em 19/09/2007 - 22:15h

Olá a todos, espero que esta minha dúvida possa auxiliar a todos os que assim como eu, tem interesse em aprender mais sobre o mundo Linux e sobre o firewall IPTABLES.

Eu fui no site www.guiadohardware.net e vi a seção iptables comunitário.

Peguei este script aqui abaixo e estou com essa dúvida: Esse script está bom o suficiente para que eu possa acessar a internet sem risco de invasão? Eu utilizo o Slackware 11 mas o utilizo a pouco tempo e estou aprendendo tudo o que posso para ser um bom usuário Linux.

Aos que puderem me auxiliar eu agradeço não só a força que vocês puderem me dar, mas a toda essa união de uma comunidade que visa

Segue abaixo o script:

#!/bin/sh

echo "Carregando o firewall..."

# carregando os modulos
modprobe ip_tables
modprobe iptable_nat

#Para Excluir TODAS as regras anteriores do INPUT
iptables -F INPUT

# Protecao contra port scanners ocultos
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i ppp+ --dport 33435:33525 -j DROP

#Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j DROP

#Performance - Setando acesso a web com delay minimo
iptables -t mangle -A OUTPUT -o ppp+ -p tcp --dport 53 -j TOS --set-tos Minimize-Delay
iptables -t mangle -A OUTPUT -o ppp+ -p tcp --dport 80 -j TOS --set-tos Minimize-Delay

#Deixa passar as portas UDP do servidores DNS, e Rejeitar o restante
iptables -A INPUT -i ppp+ -p udp -s ipdnsdoprovedor -j ACCEPT
iptables -A INPUT -i ppp+ -p udp -s ipdnsdoprovedor -j ACCEPT
iptables -A INPUT -i ppp+ -p udp -j REJECT

#Bloqueia qualquer tentativa de conexao de fora para dentro por TCP
iptables -A INPUT -i ppp+ -p tcp --syn -j DROP

#Mesmo assim fechar todas as portas abaixo de 32000
iptables -A INPUT -i ppp+ -p tcp --dport :32000 -j DROP

#Responde pacotes icmp especificados e rejeita o restante
iptables -A INPUT -i ppp+ -p icmp --icmp-type host-unreachable -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp --icmp-type source-quench -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp -j REJECT --reject-with icmp-host-unreachable
#A regra acima é interessante, pois da a impressão q o host não esta on-line

# bloqueia ping
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# ----------------------------------------------------------------

echo "Firewall Configurado"

#EOF

0 0

Quote