Linux: Configurar Firewall - IPTables

» Menu

» Últimos artigos

Acessando computadores remotos protegidos por NAT ou firewall com túnel SSH reverso direcionado por DNS dinâmico Analisando log Squid do Mikrotik no SARG Instalação e configuração do LMS Moodle no Linux Sincronizando o Nokia 2630 com o Evolution no Linux Instalação dual boot com 2 HDs com Windows XP e Ubuntu Linux Recebendo notificações do Nagios via Jabber

» Screenshot

Por d4n1h4ck3r

» Últimas dicas

1° Encontro Especializa de Tecnologia - FMN Damn Small Linux disponível para download Virtualização de sistemas operacionais com o Sun xVM VirtualBox Um pouco sobre bits e bytes Como resolver o problema do ponto "." no teclado numérico do Linux Fenix Extreme Firefox3 com melhor aparência no KDE 4.1 Resolvendo erro de atualização do firmware do modem DSL2640t Samba para Linux acessar Windows e vice-versa

» Últimos scripts

[Shell-Script] passa2 - Um sistema de backup/sincronização/cópia de arquivos em SHell Script [C/C++] Números randômicos [C/C++] Jogo da forca [C/C++] Tabela ASCII [C/C++] Boletim Escolar Com Manipulação de Arquivo

Treinamento Zope Plone

[Como anunciar?]

» Destaques

4o. - LINUX DAY - UNIP - Limeira. (7) Sugestão de pauta para artigo (28)

» Login

» Top 10 usuários

3974769: Fábio Berbert de Paula 3115154: Alessandro de Oliveira Faria 1500209: Jefferson Estanislau da Silva 1305964: Antonio Carlos Vasques da Silva 1233138: Percival 1209993: Davidson Rodrigues Paulo 1118947: Ricardo Santiago 1036673: Wanderson Berbert 1011772: Thiago Alves 970051: Celso Goya

[0] usuários para
Papo Direto

» Wallpaper

Por casterman

» Perguntas

outra solução pra herança multipla? (4) Instalando Slackware 12, Win XP, Win 2003 Server... (3) sistema trava tecla de atalho (4) Duvida sobre Maquina Virtual [RESOLVIDO] (3) wbinfo -u (0) Fstab (0) kppp nao funciona (13) Problemas na inicialização do apache (1)

» .Conf

[init] inittab - Arquivo de configuração do init [X Window System] xorg.conf - xorg.conf para Samsung SyncMaster 632nw [Gnome] xorg.conf - Resoluções 1024 x 768 e 1280x1024 no Hardy Heron [Procmail Filter Mail] procmailrc - Procmail Filter Mail [NTPd] ntp.conf - configuração do NTP com bons servidores brasileiros.

.Conf

rc.firewall

pelo
17/07/2008

Firewall com máxima segurança

Categoria: Segurança

Software: Firewall - IPTables

[ Hits: 4978 ]

+ Favoritos

Indicar para um amigo

Escrever uma .conf

Esse firewall possui política DROP tanto para entrada (INPUT) quando saída de rede interna (FORWARD).

Essas regras estão em pleno funcionamento em cliente.

O arquivo está comentado e, ao meu ver, é de fácil compreensão.

Qualquer dúvida estou aí.

Sérgio Abrantes

[]'s

#!/bin/bash
#
# /etc/rc.d/rc.firewall
#
# Start/stop/restart Firewall
#
# To make Firewall start automatically at boot, make this
# file executable:  chmod 755 /etc/rc.d/rc.firewall
#
#Autor: Sérgio Abrasntes Junior sergioabrantes@gmail.com
#Data de criação 15/09/05
#Data de modificação 15/12/07

# Variáveris #

LanExt=200.193.xx.xx
LanInt=192.168.4.1
Rede=192.168.4.0/24

# Modulos #

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ipt_REDIRECT
/sbin/modprobe ipt_owner
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

####################
### Função START ###
####################
firewall_start() {
echo "Iniciando o Firewall"

# Limpa as regras #

iptables -X
iptables -Z
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t nat
iptables -F -t mangle

# Politicas padrao #

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

# Manter conexoes jah estabelecidas para nao parar
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Aceita todo o trafego vindo do loopback e indo pro loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
#######################
### LOG DO FIREWALL ###
#######################

#iptables -A INPUT -d $LanExt -p tcp --dport 22 -j LOG --log-level 6 --log-prefix "FIREWALL: SSH EXT 22"
#iptables -A INPUT -d $LanExt -p tcp --dport 21 -j LOG --log-level 6 --log-prefix "FIREWALL: FTP EXT 21"
#iptables -A INPUT -d $LanInt -p tcp --dport 22 -j LOG --log-level 6 --log-prefix "FIREWALL: SSH INT 22"
#iptables -A INPUT -d $LanInt -p tcp --dport 21 -j LOG --log-level 6 --log-prefix "FIREWALL: FTP INT 21"

###############################
#         Proteções           #
###############################

# Protege contra os "Ping of Death"
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 20/m -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 20/m -j ACCEPT

# Protege contra port scanners avançados (Ex.: nmap)
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 20/m -j ACCEPT

# Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j REJECT

# Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j REJECT

###############################
#       TABELA Input          #
###############################
### Destino Externo ###

# Liberando Porta 22 (SSH)
#iptables -A INPUT -d $LanExt -p tcp --dport 22 -j LOG --log-level 6 --log-prefix "FIREWALL: SSH EXT 2222"
iptables -A INPUT -d $LanExt -p tcp --dport 22 -j ACCEPT

# Liberando Porta 21 (ftp)
#iptables -A INPUT -d $LanExt -p tcp --dport 21 -j LOG --log-level 6 --log-prefix "FIREWALL: FTP EXT 21"
iptables -A INPUT -d $LanExt -p tcp --dport 21 -j ACCEPT

### Destino Interno ###

# Liberando Porta 22 (SSH)
#iptables -A INPUT -d $LanInt -p tcp --dport 22 -j LOG --log-level 6 --log-prefix "FIREWALL: SSH INT 22"
iptables -A INPUT -d $LanInt -p tcp --dport 22 -j ACCEPT

# Liberando porta 3128 (Squid)
iptables -A INPUT -d $LanInt -p tcp --dport 3128 -j ACCEPT

# Liberando Porta 80 (http)
#iptables -A INPUT -d $LanInt -p tcp --dport 80 -j LOG --log-level 6 --log-prefix "FIREWALL: HTTP INT 80"
iptables -A INPUT -d $LanInt -p tcp --dport 80 -j ACCEPT

# Liberando Porta 21 (ftp)
#iptables -A INPUT -d $LanInt -p tcp --dport 21 -j LOG --log-level 6 --log-prefix "FIREWALL: FTP INT 21"
iptables -A INPUT -d $LanInt -p tcp --dport 21 -j ACCEPT

# Liberando porta 3000 (NTOP)
iptables -A INPUT -d $LanInt -p tcp --dport 3000 -j ACCEPT
###############################
#       TABELA Forward        #
###############################

# Libera computador das regras do firewall
iptables -A FORWARD -s 192.168.4.13 -p tcp  -j ACCEPT
iptables -A FORWARD -s 192.168.4.13 -p udp  -j ACCEPT

### MSN ###

# Libera msn para o IP #

# nome
iptables -A FORWARD -s 192.168.4.11 -p tcp --dport 1863 -j ACCEPT

# Bloqueio de MSN #

#iptables -A FORWARD -s 192.168.4.0 -p tcp --dport 1863 -j DROP
#iptables -A FORWARD -s 192.168.4.0 -d loginnet.passport.com -j DROP
#iptables -A FORWARD -s 198.164.4.0/24 -p tcp --dport 1863 -j DROP
#iptables -A FORWARD -s 198.164.4.0/24 -d loginnet.passport.com -j DROP
#iptables -A FORWARD -s 198.164.4.0/24 -d messenger.hotmail.com -j DROP
#iptables -A FORWARD -s 198.164.4.0/24 -d webmessenger.msn.com -j DROP
#iptables -A FORWARD -p tcp --dport 1080 -j DROP
#iptables -A FORWARD -s 198.164.4.0/24 -p tcp --dport 1080 -j DROP
#iptables -A FORWARD -p tcp --dport 1863 -j DROP
#iptables -A FORWARD -d 64.4.13.0/24 -j DROP

# Liberando Porta 2222 (SSH)
iptables -A FORWARD -s $Rede -p tcp --dport 2222 -j ACCEPT

# Liberando Porta 22 (SSH)
iptables -A FORWARD -s $Rede -p tcp --dport 22 -j ACCEPT
# Liberando Porta 110 (pop-3)
iptables -A FORWARD -s $Rede -p tcp --dport 110 -j ACCEPT

# Liberando Porta 995 (spop-3)
iptables -A FORWARD -s $Rede -p tcp --dport 995 -j ACCEPT

# Liberando Porta 25 (smtp)
iptables -A FORWARD -s $Rede -p tcp --dport 25 -j ACCEPT

# Liberando Porta 465 (smtp-s)
iptables -A FORWARD -s $Rede -p tcp --dport 465 -j ACCEPT

# Liberando Porta 2121 (ftp)
iptables -A FORWARD -s $Rede -p tcp --dport 2121 -j ACCEPT

# Liberando Porta 21 (ftp)
iptables -A FORWARD -s $Rede -p udp --dport 21 -j ACCEPT
iptables -A FORWARD -s $Rede -p udp --dport 20 -j ACCEPT

# Liberando porta 53 (DNS)
iptables -A FORWARD -s $Rede -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s $Rede -p udp --dport 53 -j ACCEPT

# Regras forward para o funcionamento de redirecionamento de portas (NAT)
# Redirecionando porta 5900 (VNC)
#iptables -A FORWARD -p tcp --dport 5900 -j ACCEPT
#ptables -A FORWARD -p tcp --dport 5800 -j ACCEPT
###############################
######### TABELA NAT ## #######
###############################

# Redireconamento de portas
# VNC Para algum micro (192.168.1.31 = nome da pessoa)
#iptables -t nat -A PREROUTING -d $LanExt -p tcp --dport 5900 -j DNAT --to 192.168.0.77:5900

# Mascaramento de rede para acesso externo #
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#Bloqueia todo o resto
#iptables -A INPUT -p tcp -j LOG --log-level 6 --log-prefix "FIREWALL: GERAL "
iptables -A INPUT -p tcp --syn -j DROP
iptables -A INPUT -p tcp -j DROP
iptables -A INPUT -p udp -j DROP

}

##################
### Função STOP ##
##################
firewall_stop() {

echo "Parando firewall e funcionando apenas com mascaramento"
# Limpa as regras #

iptables -X
iptables -Z
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t nat
iptables -F -t mangle

# Politicas padrao #

iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

# Manter conexoes jah estabelecidas para nao parar
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Aceita todo o trafego vindo do loopback e indo pro loopback
iptables -t filter -A INPUT -i lo -j ACCEPT

###############################
#       TABELA Forward        #
###############################

### MSN ###

# Libera msn para o IP #

# nome
#iptables -A FORWARD -s 192.168.0.34 -p tcp --dport 1863 -j ACCEPT

# nome
#iptables -A FORWARD -s 192.168.0.5 -p tcp --dport 1863 -j ACCEPT

# Bloqueio de MSN #

#iptables -A FORWARD -s 192.168.1.0 -p tcp --dport 1863 -j DROP
#iptables -A FORWARD -s 192.168.1.0 -d loginnet.passport.com -j DROP
#iptables -A FORWARD -s 198.164.1.0/24 -p tcp --dport 1863 -j DROP
#iptables -A FORWARD -s 198.164.1.0/24 -d loginnet.passport.com -j DROP
#iptables -A FORWARD -s 198.164.1.0/24 -d messenger.hotmail.com -j DROP
#iptables -A FORWARD -s 198.164.1.0/24 -d webmessenger.msn.com -j DROP
#iptables -A FORWARD -p tcp --dport 1080 -j DROP
#iptables -A FORWARD -s 198.164.1.0/24 -p tcp --dport 1080 -j DROP
#iptables -A FORWARD -p tcp --dport 1863 -j DROP
#iptables -A FORWARD -d 64.4.13.0/24 -j DROP

###############################
######### TABELA NAT ## #######
###############################

# Mascaramento de rede para acesso externo #
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    echo "Regras Limpas e Firewall desabilitado"
}

firewall_restart() {
  echo "Reiniciando Firewall"
  firewall_stop
  sleep 3
  firewall_start
  echo "Firewall Reiniciado"
}
case "$1" in
'start')
  firewall_start
echo "Firewall Iniciado"
  ;;
'stop')
  firewall_stop
  ;;
'restart')
  firewall_restart
  ;;
*)
        echo "Opções possíveis:"
        echo "rc.firewall start"
        echo "rc.firewall stop"
        echo "rc.firewall restart"
esac

[ Esconder conteúdo ] [ Download ]

Comentários

Comentário enviado por walber em 18/07/2008:

Muito bom.

Comentário enviado por walber em 18/07/2008:

Kra Preciso de sua ajuda, estou usando seu firewall para implatar aqui o cenário é o seguinte:

Tenho o squid com proxy autenticado porta 3128 e o dansguardia que utiliza a porta 8080

então coloquei a parte do seu script:

#!/bin/bash

# Variaveris #

LanInt=192.168.1.0
Rede=192.168.1.0/24

#Firewall em fase experimental

#Carregando os modulos do iptables

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ipt_REDIRECT
/sbin/modprobe ipt_owner
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

# Limpa as regras #

iptables -X
iptables -Z
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t nat
iptables -F -t mangle

# Politicas padrao #

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

# Manter conexoes jah estabelecidas para nao parar
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Aceita todo o trafego vindo do loopback e indo pro loopback
iptables -t filter -A INPUT -i lo -j ACCEPT

# Protege contra os "Ping of Death"
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 20/m -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 20/m -j ACCEPT

# Protege contra port scanners avançados (Ex.: nmap)
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 20/m -j ACCEPT

# Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j REJECT

# Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j REJECT

# Liberando Porta 22 (SSH)
#iptables -A INPUT -d eth0 -p tcp --dport 22 -j LOG --log-level 6 --log-prefix "FIREWALL: SSH EXT 22"
iptables -A INPUT -d $Rede -p tcp --dport 22 -j ACCEPT

# Liberando Porta 21 (ftp)
#iptables -A INPUT -d eth0 -p tcp --dport 21 -j LOG --log-level 6 --log-prefix "FIREWALL: FTP EXT 21"
iptables -A INPUT -d $Rede -p tcp --dport 21 -j ACCEPT

Daí tenho o vmware instalado com uma maquina windows xp em modo brige só que essa máquina virtual acessa o ftp e o ssh da máquina com proxy mais não consegue acessar a internet, não chega nem a pedi a tela pra autenticar no proxy, qual regra deveria colocar no firewall para o cliente acessar?

Obrigado.

Comentário enviado por pelo em 19/07/2008:

Me adiciona no MSN pra trocar uma idéia.
pelourinhu@hotmail.com

Sérgio Abrantes
[]'s

Comentário enviado por VonNatur em 31/07/2008:

Excelente o script muito bem comentado,parabéns.

[]'s

Comentário enviado por moacircostajr em 01/10/2008:

uso apenas internet externa, via cabo e wi-fi (eth0 e ath0). como faço para adaptar seu script às minhas necessidades?
PS.: minhas conexões são efetuadas com ip dinâmico.

Comentário enviado por pelo em 01/10/2008:

Meu caro,

Existe apenas duas linhas de configuração onde faz referência a interface de rede que segue abaixo:

# Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j REJECT

# Mascaramento de rede para acesso externo #
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Deve ser alterado o eth0 pela interface correspondente.

Para o restante, basta editar as variáveis no início do script .

# Variáveris #

LanExt=200.193.xx.xx
LanInt=192.168.4.1
Rede=192.168.4.0/24

Qualquer dúvida estou a disposição.

Sérgio Abrantes

[]'s

Comentário enviado por moacircostajr em 03/10/2008:

Chefão, se não for muito incômodo, seria possível me indicar especificamente como faço as modificações no script para uma configuração tão completa como a que você já mostrou, mas considerando apenas que sou usuário doméstico pois me conecto à internet (de um modo geral e sem restrições) em casa e na faculdade, via cabo e wireless, respectivamente com um laptop. Não uso qualquer dispositivo servidor (se envio de dados através de torrents pode ser chamado, de certo modo, de dispositivo servidor, sim, eu faço o uso dele).

Muitíssimo Obrigado!!!!!!!

Comentário enviado por comfaa em 28/10/2008:

muito bom !!

.Conf

Home » .Conf » Segurança » rc.firewall

rc.firewall

Viva o Linux