Script FIREWALL IPTABLES com 3 (três) interfaces (Int, Ext e DMZ)
Publicado por Alessandro Dias 29/05/2007
[ Hits: 14.994 ]
Esse é um script bem completo, implementando um sistema de firewall com 3 interfaces (Rede Interna, DMZ).
É só baixar e usar. Não se esqueça de torná-lo executável.
Abraços.
Alessandro Dias.
#! /bin/sh
##############################################
#============================================#
#= =#
#= Firewall Iptables =#
#= =#
#= Autor: Alessandro Dias =#
#= Versão: 1.0 =#
#= Data: 15/06/2004 =#
#============================================#
##############################################
#
# Desenho da rede:
#
# ------------
# | Internet |
# ------------
# |
# |
# |
# ------ -------
# | FW |---------| DMZ |
# ------ -------
# |
# |
# ----------------
# | Rede Interna |
# ----------------
#
#
#
#
#=========================================================================
#= Execução: =
#= iptables start -> Inicia o Firewall =
#= iptables stop -> Para o firewall, abrindo-o totalmente =
#= iptables free -> Inicia o Firewall com acesso liberado =
#= iptables backup -> Levanta o backup deste arquivo na =
#= máquina 200.20.120.18, diretório /bkp =
#= iptables restore -> Restaura a cópia feita com a opção backup =
#=========================================================================
##########################
# DEFINIÇÃO DE VARIÁVEIS #
##########################
IPTABLES="/usr/sbin/iptables"
MODPROBE="/sbin/modprobe"
TROJANS="/etc/trojans"
IF_LOC="lo"
IF_INT="eth0"
IF_EXT="eth1"
IF_DMZ="eth2"
IP_INT="10.2.203.254"
IP_EXT="200.20.120.22"
IP_DMZ="10.5.0.22"
IP_NAT1="200.20.120.18"
IP_NAT2="200.20.120.19"
IP_NAT3="200.20.120.21"
NET_LOC="127.0.0.0/8"
NET_INT="10.2.200.0/22"
NET_EXT="200.20.120.16/29"
NET_DMZ="10.5.0.16/29"
BRO_ESP="255.255.255.255"
BRO_INT="10.2.203.255"
BRO_DMZ="200.20.120.23"
BRO_EXT="200.20.120.23"
IP_ADMINRMT="10.5.0.18"
IP_ADMIN="10.2.207.201"
IP_SEC="10.5.0.18"
IP_WWW="10.5.0.19"
IP_DNS="10.5.0.21"
IP_SMTP="10.5.0.21"
IP_DNS_IME="200.20.120.33"
########################
# CARGA DE MÓDULOS #
########################
carrega_modulos()
{
$MODPROBE ip_tables
$MODPROBE iptable_filter
$MODPROBE iptable_nat
$MODPROBE ip_nat_ftp
$MODPROBE ip_conntrack
$MODPROBE ip_conntrack_ftp
}
########################
# CARGA DE REGRAS #
########################
cria_regras()
{
echo "Iniciando Firewall..."
cria_regras_auxiliares
# if [ -s "$TROJANS"]; then
# cria_regras_trojans
# fi
cria_regras_PREROUTING
cria_regras_INT2DMZ
cria_regras_DMZ2INT
cria_regras_DMZ2EXT
cria_regras_EXT2DMZ
cria_regras_INT2EXT
cria_regras_EXT2INT
cria_regras_INPUT
cria_regras_FORWARD
cria_regras_POSTROUTING
}
#############################
# FLUSH E POLÍTICAS DEFAULT #
#############################
destroi_regras()
{
echo -e "\n\nFecha o Firewall totalmente para FORWARD e INPUT..."
# define política defaults para chains defaults
$IPTABLES -P INPUT DROP # política default para filter
$IPTABLES -P FORWARD DROP # política default para filter
$IPTABLES -P OUTPUT ACCEPT # política default para filter
$IPTABLES -F -t filter # flush nas regras de filter
$IPTABLES -F -t nat # flush nas regras de nat
$IPTABLES -F -t mangle # flush nas regras de mangle
$IPTABLES -X -t filter # deleta chains de filter
$IPTABLES -X -t nat # deleta chains de nat
$IPTABLES -X -t mangle # deleta chains de mangle
$IPTABLES -Z -t filter # zera contadores de filter
$IPTABLES -Z -t nat # zera contadores de nat
$IPTABLES -Z -t mangle # zera contadores de mangle
}
abre_regras()
{
echo -e "\n\nAbre o Firewall..."
# define política defaults para chains defaults
$IPTABLES -P INPUT ACCEPT # política default para filter
$IPTABLES -P FORWARD ACCEPT # política default para filter
$IPTABLES -P OUTPUT ACCEPT # política default para filter
$IPTABLES -F -t filter # flush nas regras de filter
$IPTABLES -F -t nat # flush nas regras de nat
$IPTABLES -F -t mangle # flush nas regras de mangle
$IPTABLES -X -t filter # deleta chains de filter
$IPTABLES -X -t nat # deleta chains de nat
$IPTABLES -X -t mangle # deleta chains de mangle
$IPTABLES -Z -t filter # zera contadores de filter
$IPTABLES -Z -t nat # zera contadores de nat
$IPTABLES -Z -t mangle # zera contadores de mangle
cria_regras_PREROUTING
cria_regras_POSTROUTING
}
#############################
# CHAIN DE PREROUTING - NAT #
#############################
cria_regras_PREROUTING()
{
echo "Regras de performance de pacotes e NAT 1:1 ..."
# Diminui o delay para acesso SSH.
#$IPTABLES -A PREROUTING -t mangle -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
# Melhorar a performance do acesso ao servidor WEB
#$IPTABLES -A PREROUTING -t mangle -p tcp -s $NET_DMZ --sport http -j TOS --set-tos Maximize-Throughput
# Faz NAT 1:1 com IP público e privado
$IPTABLES -A PREROUTING -t nat -d $IP_NAT1 -j DNAT --to $IP_SEC
$IPTABLES -A PREROUTING -t nat -d $IP_NAT2 -j DNAT --to $IP_WWW
$IPTABLES -A PREROUTING -t nat -d $IP_NAT3 -j DNAT --to $IP_SMTP
$IPTABLES -A PREROUTING -t nat -d $IP_NAT3 -j DNAT --to $IP_DNS
#$IPTABLES -A PREROUTING -t nat -j MASQUERADE -i $IF_EXT
}
###############################
# CHAINS DE POSTROUTING - NAT #
###############################
cria_regras_POSTROUTING()
{
echo "Regras para NAT 1:1 ..."
# Faz NAT 1:1 com IP público e privado
$IPTABLES -A POSTROUTING -t nat -s $IP_SEC -j SNAT --to-source $IP_NAT1
$IPTABLES -A POSTROUTING -t nat -s $IP_WWW -j SNAT --to-source $IP_NAT2
$IPTABLES -A POSTROUTING -t nat -s $IP_SMTP -j SNAT --to-source $IP_NAT3
$IPTABLES -A POSTROUTING -t nat -s $IP_DNS -j SNAT --to-source $IP_NAT3
$IPTABLES -A POSTROUTING -t nat -j MASQUERADE -o $IF_EXT
}
########################
# CHAINS DE INPUT #
########################
cria_regras_INPUT()
{
echo "Regras de INPUT ..."
$IPTABLES -A INPUT -j END_INVALID -m state --state INVALID
$IPTABLES -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
if [ -s "$TROJANS" ]; then $IPTABLES -A INPUT -j TROJAN_CHECK; fi
$IPTABLES -A INPUT -j ACCEPT -i $IF_LOC
$IPTABLES -A INPUT -j SPOOF_CHECK
$IPTABLES -A INPUT -j REJECT -p tcp --dport auth
# Pula para a chain específica
#$IPTABLES -A INPUT -j INT2DMZ
#$IPTABLES -A INPUT -j DMZ2INT
#$IPTABLES -A INPUT -j INT2EXT
#$IPTABLES -A INPUT -j EXT2INT
#$IPTABLES -A INPUT -j DMZ2EXT
#$IPTABLES -A INPUT -j EXT2DMZ
# Aceita SSH(222) e Relatórios via Web
$IPTABLES -A INPUT -j ACCEPT -p tcp -s $IP_ADMINRMT -i $IF_DMZ --dport 222
$IPTABLES -A INPUT -j ACCEPT -p tcp -s $IP_ADMIN -i $IF_INT --dport 222
$IPTABLES -A INPUT -j ACCEPT -p tcp -s $IP_ADMIN -i $IF_INT --dport http
$IPTABLES -A INPUT -j REJECT --reject-with tcp-reset -p tcp --dport 222
$IPTABLES -A INPUT -j REJECT --reject-with tcp-reset -p tcp --dport http
$IPTABLES -A INPUT -j REJECT --reject-with tcp-reset -p tcp --dport https
#Aceita ICMP da rede interna e DMZ apenas
#$IPTABLES -A INPUT -j ACCEPT -p icmp -s $NET_INT -i $IF_INT
#$IPTABLES -A INPUT -j ACCEPT -p icmp -s $NET_DMZ -i $IF_DMZ
$IPTABLES -A INPUT -j ACCEPT -p icmp
# Rejeita pacotes vindos de fora com IP's internos - Evitar SPOOFING
$IPTABLES -t filter -A INPUT -j REJECT -s 10.0.0.0/8 -d 10.0.0.0/8 -i $IF_EXT
}
########################
# CHAINS DE FORWARD #
########################
cria_regras_FORWARD()
{
echo "Regras de FORWARD ..."
$IPTABLES -A FORWARD -j END_INVALID -m state --state INVALID
$IPTABLES -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
if [ -s "$TROJANS" ]; then $IPTABLES -A FORWARD -j TROJAN_CHECK; fi
# Pula para chain específica
$IPTABLES -A FORWARD -j ACCEPT -i $IF_DMZ -o $IF_DMZ
$IPTABLES -A FORWARD -j ACCEPT -i $IF_INT -o $IF_INT
$IPTABLES -A FORWARD -j ACCEPT -i $IF_EXT -o $IF_EXT
$IPTABLES -A FORWARD -j INT2DMZ -s $NET_INT -d $NET_DMZ -i $IF_INT -o $IF_DMZ
$IPTABLES -A FORWARD -j DMZ2INT -s $NET_DMZ -d $NET_INT -i $IF_DMZ -o $IF_INT
$IPTABLES -A FORWARD -j INT2EXT -s $NET_INT -d $NET_EXT -i $IF_INT -o $IF_EXT
$IPTABLES -A FORWARD -j EXT2INT -s $NET_EXT -d $NET_INT -i $IF_EXT -o $IF_INT
$IPTABLES -A FORWARD -j DMZ2EXT -s $NET_DMZ -d $NET_EXT -i $IF_DMZ -o $IF_EXT
$IPTABLES -A FORWARD -j EXT2DMZ -s $NET_EXT -d $NET_DMZ -i $IF_EXT -o $IF_DMZ
}
########################################
# CHAINS DIRECIONAIS - INT -> DMZ #
########################################
cria_regras_INT2DMZ()
{
echo "Regras da rede interna para a DMZ ..."
$IPTABLES -N INT2DMZ
# Restringe o que a rede interna pode acessar na DMZ
$IPTABLES -A INT2DMZ -j ACCEPT -p udp -d $IP_DNS --dport domain
$IPTABLES -A INT2DMZ -j ACCEPT -p tcp -d $IP_DNS --dport domain
$IPTABLES -A INT2DMZ -j ACCEPT -p tcp -d $IP_SMTP -m multiport --dport pop-3,smtp,5000,6666,194
$IPTABLES -A INT2DMZ -j ACCEPT -p tcp -d $IP_WWW -m multiport --dport http,https,137,139,5000,6666
# Máquina Security - redes.eti
$IPTABLES -A INT2DMZ -j ACCEPT -p udp -d $IP_SEC --dport domain
$IPTABLES -A INT2DMZ -j ACCEPT -p tcp -d $IP_SEC -m multiport --dport domain,pop-3,smtp,http,https
# Libera a porta tcp 171(ssh) de $IP_ADMIN para a máquina $IP_SEC
$IPTABLES -t filter -A FORWARD -j ACCEPT -s $IP_ADMIN -d $IP_SEC -m multiport -p tcp --destination-port 171,ftp,ftp-data -i $IF_INT
$IPTABLES -A INT2DMZ -j ACCEPT -p icmp
$IPTABLES -A INT2DMZ -j REJECT -p tcp --dport auth
# Nega todo o resto
$IPTABLES -A INT2DMZ -j END_INT2DMZ
}
########################################
# CHAINS DIRECIONAIS - DMZ -> INT #
########################################
cria_regras_DMZ2INT()
{
echo "Regras da DMZ para a rede interna ..."
$IPTABLES -N DMZ2INT
# Rejeita AUTH
$IPTABLES -A DMZ2INT -j REJECT -p tcp --dport auth
# Permite ICMP para a rede interna
$IPTABLES -A DMZ2INT -j ACCEPT -p icmp
# Nega todo o resto
$IPTABLES -A DMZ2INT -j END_DMZ2INT
}
########################################
# CHAINS DIRECIONAIS - DMZ -> EXT #
########################################
cria_regras_DMZ2EXT()
{
echo "Regras da DMZ para a rede externa ..."
$IPTABLES -N DMZ2EXT
# Restringe o que a rede interna pode acessar na DMZ
$IPTABLES -A DMZ2EXT -j ACCEPT -p udp -s $IP_DNS --dport domain
$IPTABLES -A DMZ2EXT -j ACCEPT -p tcp -s $IP_DNS --dport domain
$IPTABLES -A DMZ2EXT -j ACCEPT -p tcp -s $IP_SMTP -m multiport --dport smtp,pop-3,http,https
$IPTABLES -A DMZ2EXT -j ACCEPT -p tcp -s $IP_WWW -m multiport --dport http,https,smtp,pop-3
# Máquina Security - redes.eti
$IPTABLES -A DMZ2EXT -j ACCEPT -p udp -s $IP_SEC --dport domain
$IPTABLES -A DMZ2EXT -j ACCEPT -p tcp -s $IP_SEC -m multiport --dport domain,pop-3,smtp,http,https,ftp,ftp-data
$IPTABLES -A DMZ2EXT -j ACCEPT -p icmp
$IPTABLES -A DMZ2EXT -j ACCEPT -p tcp --dport auth
$IPTABLES -A DMZ2EXT -j DROP -d $BRO_ESP
# Nega todo o resto
$IPTABLES -A DMZ2EXT -j END_DMZ2EXT
}
########################################
# CHAINS DIRECIONAIS - EXT -> DMZ #
########################################
cria_regras_EXT2DMZ()
{
echo "Regras da rede externa para a DMZ ..."
# Restringe o que a rede externa pode acessar na DMZ
$IPTABLES -N EXT2DMZ
$IPTABLES -A EXT2DMZ -j ACCEPT -p tcp -d $IP_DNS --dport domain
$IPTABLES -A EXT2DMZ -j ACCEPT -p udp -d $IP_DNS --dport domain
$IPTABLES -A EXT2DMZ -j ACCEPT -p tcp -d $IP_SMTP -m multiport --dport pop-3,smtp
$IPTABLES -A EXT2DMZ -j ACCEPT -p tcp -d $IP_WWW -m multiport --dport http,https
# Máquina Security - redes.eti
$IPTABLES -A EXT2DMZ -j ACCEPT -p udp -d $IP_SEC --dport domain
$IPTABLES -A EXT2DMZ -j ACCEPT -p tcp -d $IP_SEC -m multiport --dport domain,pop-3,smtp,http,https,171,ftp,ftp-data
# Rejeita AUTH
$IPTABLES -A EXT2DMZ -j REJECT -p tcp --dport auth
# Permite ICMP para a DMZ
$IPTABLES -A EXT2DMZ -j ACCEPT -p icmp
# Nega todo o resto
$IPTABLES -A EXT2DMZ -j END_EXT2DMZ
}
########################################
# CHAINS DIRECIONAIS - INT -> EXT #
########################################
# MÁQUINAS DA REDE INTERNA QUE ACESSAM A INTERNET
permite_acesso()
{
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.7.13 # Maj Elza
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.7.15 # Maj Elza
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.2
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.6
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.8
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.11
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.14
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.31
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.32
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.33
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.45
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.46
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.47
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.80
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.81
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.86
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.90
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.100
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.102
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.106
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.123
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.131
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.134
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.141
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.143
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.150
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.167
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.202
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.203
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.213
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.215
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.218
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.223
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.12.227
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.14.56
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.14.156
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.56.6 # CRO/1
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.56.12 # CRO/1
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.56.18 # CRO/1
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.56.19 # CRO/1
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.56.21 # CRO/1
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.56.23 # CRO/1
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.56.26 # CRO/1
$IPTABLES -A INT2EXT -j ACESSO -s 10.1.156.93 # SCT
$IPTABLES -A INT2EXT -j ACESSO -s 10.2.207.200 # SNASERVER
$IPTABLES -A INT2EXT -j ACESSO -s 10.2.207.201 # SNABACKUP
$IPTABLES -A INT2EXT -j ACESSO -s 10.4.100.1 # PDC-SIP
$IPTABLES -A INT2EXT -j ACESSO -s 10.3.4.10 # SIMATEX - Cap Motta
}
cria_regras_INT2EXT()
{
echo "Regras da rede interna para a rede externa ..."
# Restringe o que a rede interna pode acessar na rede externa
$IPTABLES -N ACESSO
$IPTABLES -A ACESSO -j ACCEPT -p udp -m multiport --dport domain,194
$IPTABLES -A ACESSO -j ACCEPT -p tcp -m multiport --dport domain,194
$IPTABLES -A ACESSO -j ACCEPT -p tcp -m multiport --dport pop-3,smtp
$IPTABLES -A ACESSO -j ACCEPT -p tcp -m multiport --dport http,https
$IPTABLES -A ACESSO -j ACCEPT -p tcp -m multiport --dport ftp,ftp-data
$IPTABLES -A ACESSO -j ACCEPT -p tcp -m multiport --dport 137,139
$IPTABLES -A ACESSO -j ACCEPT -p tcp -m multiport --dport 5000,6666
# Libera a porta tcp 5190(icq) para a máquina 10.2.207.201
$IPTABLES -t filter -A FORWARD -j ACCEPT -s $IP_ADMIN -m multiport -p tcp --destination-port 5190 -i $IF_INT
#Cria Chain INT2EXT
$IPTABLES -N INT2EXT
# Acoplar os IPs que terão acesso à Internet
permite_acesso
# Rejeita AUTH
$IPTABLES -A INT2EXT -j REJECT -p tcp --dport auth
# Permite ICMP para a Rede Externa
$IPTABLES -A INT2EXT -j ACCEPT -p icmp
# Nega todo o resto
$IPTABLES -A INT2EXT -j END_INT2EXT
}
########################################
# CHAINS DIRECIONAIS - EXT -> INT #
########################################
cria_regras_EXT2INT()
{
echo "Regras da rede externa para a rede interna ..."
$IPTABLES -N EXT2INT
# Rejeita AUTH
$IPTABLES -A EXT2INT -j REJECT -p tcp --dport auth
# Permite ICMP para a rede interna
$IPTABLES -A EXT2INT -j ACCEPT -p icmp
# Nega todo o resto
$IPTABLES -A EXT2INT -j END_EXT2INT
}
#####################
# CHAINS AUXILIARES #
#####################
cria_regras_auxiliares()
{
echo "Regras para LOGs ..."
# END_SPOOF
$IPTABLES -N END_SPOOF
$IPTABLES -A END_SPOOF -j LOG --log-prefix "Firewall: SPOOF!!! "
$IPTABLES -A END_SPOOF -j DROP
# END_INVALID
$IPTABLES -N END_INVALID
$IPTABLES -A END_INVALID -j LOG --log-prefix "Firewall: Invalid!!! "
$IPTABLES -A END_INVALID -j DROP
# END_TROJAN
$IPTABLES -N END_TROJAN
$IPTABLES -A END_TROJAN -j LOG --log-prefix "Firewall: Trojan!!! "
$IPTABLES -A END_TROJAN -j DROP
# END_INT2DMZ
$IPTABLES -N END_INT2DMZ
$IPTABLES -A END_INT2DMZ -j LOG --log-prefix "Firewall: INT -> DMZ !!! "
$IPTABLES -A END_INT2DMZ -j DROP
# END_DMZ2INT
$IPTABLES -N END_DMZ2INT
$IPTABLES -A END_DMZ2INT -j LOG --log-prefix "Firewall: DMZ -> INT !!! "
$IPTABLES -A END_DMZ2INT -j DROP
# END_INT2EXT
$IPTABLES -N END_INT2EXT
$IPTABLES -A END_INT2EXT -j LOG --log-prefix "Firewall: INT -> EXT !!! "
$IPTABLES -A END_INT2EXT -j DROP
# END_EXT2INT
$IPTABLES -N END_EXT2INT
$IPTABLES -A END_EXT2INT -j LOG --log-prefix "Firewall: EXT -> INT !!! "
$IPTABLES -A END_EXT2INT -j DROP
# END_DMZ2EXT
$IPTABLES -N END_DMZ2EXT
$IPTABLES -A END_DMZ2EXT -j LOG --log-prefix "Firewall: DMZ -> EXT !!! "
$IPTABLES -A END_DMZ2EXT -j DROP
# END_EXT2DMZ
$IPTABLES -N END_EXT2DMZ
$IPTABLES -A END_EXT2DMZ -j LOG --log-prefix "Firewall: EXT -> DMZ !!! "
$IPTABLES -A END_EXT2DMZ -j DROP
# SPOOFCHECK
# As redes internas são consideradas confiáveis, só é checado o path
# de roteamento. Para se proteger do SPOOF interno também seria
# necessário monitorar os MAC:IP na rede interna.
$IPTABLES -N SPOOF_CHECK
$IPTABLES -A SPOOF_CHECK -j END_SPOOF -s 127.0.0.0/8 -i $IF_EXT
$IPTABLES -A SPOOF_CHECK -j END_SPOOF -s 10.0.0.0/8 -i $IF_EXT
$IPTABLES -A SPOOF_CHECK -j END_SPOOF -s 172.16.0.0/12 -i $IF_EXT
$IPTABLES -A SPOOF_CHECK -j END_SPOOF -s 192.168.0.0/16 -i $IF_EXT
$IPTABLES -A SPOOF_CHECK -j END_SPOOF -s $NET_INT -i ! $IF_EXT
$IPTABLES -A SPOOF_CHECK -j END_SPOOF -s $NET_DMZ -i ! $IF_EXT
}
##################
# CHAINS TROJANS #
##################
cria_regras_trojans()
{
echo "Regras para TROJANs ..."
### TROJANS
# Alguns trojans, os mais comuns.
# não é necessário checar por trojans se vc adota a política
# de tudo fechado, abrem-se as excessões. Mas, vc pode querer
# verificar mesmo assim para poder registrar um log mais específico.
$IPTABLES -N TROJAN_CHECK
for bloco in "`cat trojans | cut -d "/" -f1,2 | cut -d "#" -f1 | tr '/t' ':' | cut -d ":" -f2`"
do
for trojan in $bloco
do
porta="`echo $trojan | cut -d "/" -f1`"
proto="`echo $trojan | cut -d "/" -f2`"
$IPTABLES -A TROJAN_CHECK -j END_TROJAN -p $proto --dport $porta
done
done
}
####################
# SCRIPT PRINCIPAL #
####################
# checa se o pacote iptables foi instalado
if [ ! -x "$IPTABLES" ]; then
echo "O executável $IPTABLES não existe!"
exit 1
fi
# checa se o kernel é 2.3 ou 2.4
KERNELMAJ=`uname -r | sed -e 's,\..*,,'`
KERNELMIN=`uname -r | sed -e 's,[^\.]*\.,,' -e 's,\..*,,'`
if [ ! "$KERNELMAJ" -eq 2 -o ! "$KERNELMIN" -eq 4 ]; then
echo "Você não está usando um kernel versão 2.4!"
exit 1
fi
# Não insere regras se o módulo IPCHAINS estiver carregado
if /sbin/lsmod 2>/dev/null | grep -q ipchains; then
echo "Descarregue o módulo IPCHAINS para o netfilter!"
exit 1
fi
if ! carrega_modulos; then
echo "Não consegui carregar os módulos do IPTABLES!"
exit 1
fi
# Inicio do CASE
case "$1" in
backup)
echo "Montando Dispositivo /bkp..."
mount -t nfs $IP_SEC:/tmp/firewall/bkp /bkp
echo "Copiando arquivo iptables..."
cp ./iptables* /bkp
echo "Desmontando Dispositivo..."
umount /bkp
echo "Ok"
;;
restore)
echo "Montando Dispositivo /bkp..."
mount -t nfs $IP_SEC:/tmp/firewall/bkp /bkp
echo "Restaurando Script anterior..."
cp /bkp/iptables ./iptables
echo "Desmontando Dispositivo..."
umount /bkp
echo "Ok"
;;
free)
echo "Libera todos os pacotes..."
echo 1 > /proc/sys/net/ipv4/ip_forward
carrega_modulos
$IPTABLES -t filter -A FORWARD -j ACCEPT
$IPTABLES -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
$IPTABLES -t nat -A POSTROUTING -j MASQUERADE -o eth1
echo "Ok"
;;
start)
echo -n "Configurando regras do firewall:"
destroi_regras && cria_regras
touch /var/lock/subsys/iptables
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Ok"
;;
stop)
echo "Removendo regras e abrindo firewall:"
abre_regras
rm -f /var/lock/subsys/iptables
echo "Ok"
;;
status)
echo -e "\nApresentação do status do IPTABLES:\n"
$IPTABLES --list -n
$IPTABLES --list -n > STATUS
echo -e "\nStatus Gravado no arquivo STATUS."
echo "Utilize o comando: vi STATUS"
echo "Ok"
;;
restart)
echo "Isso não é um daemon, não precisa de stop! Então:"
$0 start
echo "Ok"
;;
*)
echo "Use o Comando:"
echo;echo " iptables (status|start|stop|free|backup|restore)"
esac
exit 0
#### FIM DO SCRIPT PRINCIPAL ####
Scripts recomendados
Conexão Remota Linux No Windows
Enviar e-mail via shell script usando e-mail autenticado
Monitorando seus daemon de impressão...
Comentários
Nenhum comentário foi encontrado.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
E a guerra contra bots continua
Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário
Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).
Dicas
Instalando o FreeOffice no LMDE 6
Anki: Remover Tags de Estilo HTML de Todas as Cartas
Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE
Tópicos
Não consigo acessar os modos de desempenho (2)
Ubuntu — tentando iniciar o windows? (0)
Top 10 do mês
-
Xerxes
1° lugar - 69.842 pts -
Fábio Berbert de Paula
2° lugar - 57.150 pts -
Clodoaldo Santos
3° lugar - 42.893 pts -
Supervisor dos Moderadores
4° lugar - 23.144 pts -
Sidnei Serra
5° lugar - 22.522 pts -
Daniel Lara Souza
6° lugar - 17.097 pts -
Mauricio Ferrari
7° lugar - 17.018 pts -
Alberto Federman Neto.
8° lugar - 17.036 pts -
Diego Mendes Rodrigues
9° lugar - 15.683 pts -
edps
10° lugar - 14.172 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
