Este é um bom script de firewall??

Brunonormandia
(usa Debian)

Enviado em 02/08/2007 - 18:13h

Olá!
Sei que é difícil falar "com este script seu pc está impenetrável!" mas gostaria de saber, já que não entendo disso, o que falta para adicionar, que dicas me dão,etc,etc,etc...

PS>>a) eu troquei o meu dns pelo IPDNSDOSERVIDOR.
b) grande parte destes scripts eu tirei de uma comunidade do GDH

ae vai!
#!/bin/sh

#Para Excluir TODAS as regras anteriores do INPUT
iptables -F INPUT

# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -N VALID_CHECK
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP

# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP

#Deixa passar as portas UDP do servidores DNS, e Rejeitar o restante
iptables -A INPUT -i ppp+ -p udp -s IPDNSDOSERVIDOR -j ACCEPT
iptables -A INPUT -i ppp+ -p udp -s IPDNSDOSERVIDOR -j ACCEPT
iptables -A INPUT -i ppp+ -p udp -j REJECT

#Bloqueia qualquer tentativa de conexao de fora para dentro por TCP
iptables -A INPUT -i ppp+ -p tcp --syn -j DROP

#Mesmo assim fechar todas as portas abaixo de 32000
iptables -A INPUT -i ppp+ -p tcp --dport :32000 -j DROP

#Responde pacotes icmp especificados e rejeita o restante
iptables -A INPUT -i ppp+ -p icmp --icmp-type host-unreachable -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp --icmp-type source-quench -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp -j REJECT --reject-with icmp-host-unreachable

elgio
(usa OpenSuSE)

Enviado em 02/08/2007 - 19:10h

Tá muito sujo este script!

Por exemplo, se tua máquina é um desktop, ou seja, não é um roteador (acredito que seja o caso), pode cortar fora tudo que tem FORWARD que não lhe servirá pra nada.

Outra coisa: a menos que o script esteja INCOMPLETO, tudo que tem -A VALID_CHECK não serve pra nada, pois a nova chain VALID_CHECK não foi configurada para atuar em nenhum tipo de pacote (teria que ter alguma regra com -j VALID_CHECK)

Olha, se tu NAO TEM SERVICOS na tua maquina, simplesmente isto já resolve:

iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -i ! lo -j DROP

Com ele tua maquina pode sair com qualquer pacote, mas só entra as respostas do que tu solicitou. O detalhe o -i ! lo é porque esta interface é local e não convem DROPA-LA

St34lthV0rt3x
(usa Debian)

Enviado em 02/08/2007 - 19:34h

brother,

É um bom script (depedendo do objetivo), mas se você tiver afim de algo mais simplificado e eficiente para uso em desktop, aconselho o guarddog, é um software com interface bem amigavel para manipulação das regras do iptables, no qual você marca quais protocolos que vai ser "liberado", bloqueando o resto.
Lembra um pouco os "firewalls for window$", como zonealarm. Abaixo um ótimo tutorial sobre a instalação e utilização.


http://br-linux.org/tutoriais/002028.html

Abraços.

Brunonormandia
(usa Debian)

Enviado em 03/08/2007 - 17:53h

Opa!
elgio mas e quanto a proteção contra ataques??
só este script que tu me passou ae em cima protege beleza??
PS>> em nenhum lugar eu vi onde colocar o meu DNS ou IP no script que tu me passou... não é necessário? Pq aqui eu tenho net de IPFixo...e me disculpe caso esteja fazendo perguntas idiotas, mas eu não entendo muito desses protocolos e talz...x\

St34lthV0rt3x vou dar uma olhada. vlw =]

elgio
(usa OpenSuSE)

Enviado em 03/08/2007 - 18:00h

Veja, estou considerando que tua máquina é Desktop, certo? Logo não tem serviço algum executando nela!

Neste cenário, e APENAS NESTES CENÁRIO, as regrinhas básicas que te passei são suficientes.

Nelas tu não perminte entrar no teu micro NADA, absolutamente NADA que não seja uma resposta daquilo que tu solicitou!

Tu acessa a Internet e as respostas vem e o firewall deixa. Fora deste contexto tudo é DROPADO!

E como SAIDA (tua máquina INICIANDO conversa com o mundo) pode TUDO, inclusive DNS.

Brunonormandia
(usa Debian)

Enviado em 03/08/2007 - 18:11h

Olá!
estou passando aqui apenas para te agradecer elgio e dizer que este script tá rodando blz aqui...obrigado mesmo
vlw =]