Arno Iptables Firewall (poderoso e simples)

edps

Neste artigo demonstro como é simples e fácil a instalação do excelente Arno Iptables Firewall como mecanismo de defesa.

[ Hits: 58.485 ]

Por: edps em 06/04/2010 | Blog: https://edpsblog.wordpress.com/

1 0
Denuncie   Favoritos   Indicar   Impressora

Plugins



Agora iremos editar alguns plugins interessantes localizados em /etc/arno-iptables-firewall/plugins. Nos .confs abaixo já alterei a condição de ENABLE=0 para ENABLE=1. Dentre os plugins destaco:

ssh-brute-force-protection.conf (conteúdo já modificado):

ENABLED=1
SSH_BFP_PORTS="22"
SSH_BFP_TRUSTED_HOSTS=""
SSH_BFP_MAX_RATE1="4"
SSH_BFP_MAX_TIME1="60"
SSH_BFP_MAX_RATE2="10"
SSH_BFP_MAX_TIME2="1800"

traffic-accounting.conf (conteúdo já modificado):

ENABLED=1
TRAFFIC_ACCOUNTING_RUN_AT_START=1
TRAFFIC_ACCOUNTING_OLD_CACHE_FALLBACK=1
TRAFFIC_ACCOUNTING_SESSION_FAILED_DNS_SKIP=1
TRAFFIC_ACCOUNTING_CRON="5 * * * *"
TRAFFIC_ACCOUNTING_HOSTS=""

traffic-shaper.conf (conteúdo já modificado para aMule e Transmission):

ENABLED=1
DOWNLINK=<Velocidade de Download>
UPLINK=<Velocidade de Upload>
SHAPER_TYPE="htb"
# conteúdo modificado para aMule e Transmission
SHAPER_STREAMINGMEDIA_PORTS="t4662 t51413 u4665 u4672 u51413"
# conteúdo modificado para aMule e Transmission (as portas UDP 53 e TCP 22 já estavam incluídas).
SHAPER_INTERACTIVE_PORTS="u53 t22 t4662 t51413 u4665 u4672 u51413"
# não achei documentação (mantive como estava).
SHAPER_BULKDATA_PORTS="t20 t21 t25 t80 t110 t137:139 u137:139 t143 t443 t465 t515 t993 t8080"

transparent-dnat.conf (conteúdo já modificado):

# altere de acordo com sua necessidade
ENABLED=1
DNAT_MY_INTERNAL_IP=""
DNAT_MY_EXTERNAL_IP=""
DNAT_TCP_PORTS="80"
DNAT_UDP_PORTS=""

transparent-proxy.conf (conteúdo já modificado):

ENABLED=1
HTTP_PROXY_PORT="3128"
HTTPS_PROXY_PORT="3128"
FTP_PROXY_PORT="3128"
SMTP_PROXY_PORT="3128"
POP3_PROXY_PORT="3128"

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. O modo Debian
   3. Plugins
   4. Agradecimentos e referências
Outros artigos deste autor

Obtendo diferentes versões do Debian GNU/Linux

Empacotamento de Kernel em Sistemas Debian-Based

Debian Squeeze Backports

KDE Plasma no Slackware Current

Siduction - Nova distro baseada no Debian SID

Leitura recomendada

IPset - Bloqueie milhares de IPs com o iptables

Configurando o iptables-p2p no Slackware

Entendendo a teoria do iptables

Servidor seguro com Bridge, Snort e Guardian

Bloqueando programas P2P com iptables

  
Comentários
[1] Comentário enviado por backuppc em 06/04/2010 - 09:42h

Ola,
Se eu necessitar fazer uma regra do tipo, tudo que chegar na porta 3389 seja redirecionado para o ip 192.168.0.2 ( servidor dentro da minha rede ) como faria ?
Abraços

[2] Comentário enviado por removido em 06/04/2010 - 10:40h

No arquivo de configuração /etc/firewall.conf altere as seguintes linhas:

NAT_LOCAL_REDIRECT=0 # para 1

NAT_FORWARD_TCP="3389>192.168.0.2" # porta>destino

Reinicie o firewall, rode o comando sudo iptables-save > regras.txt, verifique se aparece a seguinte linha:

-A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2

# no exemplo acima aparece ppp0 pois essa a a minha interface de rede externa.


Como alternativa, você pode alterar o arquivo de configuração /etc/custom-rules inserindo o seguinte:

# iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to 192.168.0.2

Reinicie o firewall, rode novamente o comando sudo iptables-save > regras.txt, verifique se aparece a seguinte linha:

-A PREROUTING -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2

Você também pode adicionar a opção -d <endereço_externo> nesse caso ficaria assim:

# iptables -t nat -A PREROUTING -d <endereço_externo> -p tcp --dport 3389 -j DNAT --to 192.168.0.2

espero tê-lo ajudado.

[3] Comentário enviado por backuppc em 06/04/2010 - 12:25h

Obrigado pela resposta.

Irei centralizar minhas regras no custom-rules já que os redirecionamentos ja tenho pronto e posso estar jogando lá dentro.

Já chegou á usar ?

/etc/arno-iptables-firewall/plugins/multiroute.conf

Interessante esse multiroute

abraços

[4] Comentário enviado por d3lf0 em 07/04/2010 - 09:37h

muito bom, assim que puder quero estar testando esta ferramenta.

[5] Comentário enviado por grandmaster em 07/04/2010 - 18:59h

Pareceu bem simples, vamos ver como funciona.

--
Renato de Castro Henriques
ITILv3 Foundation Certified
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Como atualizar sua versão estável do Debian

Cirurgia para acelerar o openSUSE em HD externo via USB

Void Server como Domain Control

Modo Simples de Baixar e Usar o bash-completion

Instalar/habilitar o Linux nativo dentro do Windows com WSL (Windows Subsystem for Linux - Subsistema do Windows para Linux)

Dicas

Quer auto-organizar janelas (tiling) no seu Linux? Veja como no Plasma 6 e no Gnome

Copiando caminho atual do terminal direto para o clipboard do teclado

Script de montagem de chroot automatica

Atualizar Linux Mint 22.2 para 22.3 beta

Jogar games da Battle.net no Linux com Faugus Launcher

Tópicos

Não consigo instalar distro antiga no virtualbox nem direto no hd (33)

resolvido / thorium browser no ubuntu (3)

Conselho distribuiçao brasileira (1)

Problema ao baixar iso (2)

Ide faz pc desligar. (1)

Top 10 do mês

Scripts

[Shell Script] Script para Teste de Rede

[Shell Script] Script que sincroniza a mensagem de cópia de pendrive com o processo real

[Python] Cadastro de Distros

[Shell Script] Pós Instalação Fedora 43+

[Shell Script] Task Manager para Terminal

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: