Arno Iptables Firewall (poderoso e simples)

Neste artigo demonstro como é simples e fácil a instalação do excelente Arno Iptables Firewall como mecanismo de defesa.

[ Hits: 53.902 ]

Por: edps em 06/04/2010 | Blog: https://edpsblog.wordpress.com/


Plugins



Agora iremos editar alguns plugins interessantes localizados em /etc/arno-iptables-firewall/plugins. Nos .confs abaixo já alterei a condição de ENABLE=0 para ENABLE=1. Dentre os plugins destaco:

ssh-brute-force-protection.conf (conteúdo já modificado):

ENABLED=1
SSH_BFP_PORTS="22"
SSH_BFP_TRUSTED_HOSTS=""
SSH_BFP_MAX_RATE1="4"
SSH_BFP_MAX_TIME1="60"
SSH_BFP_MAX_RATE2="10"
SSH_BFP_MAX_TIME2="1800"

traffic-accounting.conf (conteúdo já modificado):

ENABLED=1
TRAFFIC_ACCOUNTING_RUN_AT_START=1
TRAFFIC_ACCOUNTING_OLD_CACHE_FALLBACK=1
TRAFFIC_ACCOUNTING_SESSION_FAILED_DNS_SKIP=1
TRAFFIC_ACCOUNTING_CRON="5 * * * *"
TRAFFIC_ACCOUNTING_HOSTS=""

traffic-shaper.conf (conteúdo já modificado para aMule e Transmission):

ENABLED=1
DOWNLINK=<Velocidade de Download>
UPLINK=<Velocidade de Upload>
SHAPER_TYPE="htb"
# conteúdo modificado para aMule e Transmission
SHAPER_STREAMINGMEDIA_PORTS="t4662 t51413 u4665 u4672 u51413"
# conteúdo modificado para aMule e Transmission (as portas UDP 53 e TCP 22 já estavam incluídas).
SHAPER_INTERACTIVE_PORTS="u53 t22 t4662 t51413 u4665 u4672 u51413"
# não achei documentação (mantive como estava).
SHAPER_BULKDATA_PORTS="t20 t21 t25 t80 t110 t137:139 u137:139 t143 t443 t465 t515 t993 t8080"

transparent-dnat.conf (conteúdo já modificado):

# altere de acordo com sua necessidade
ENABLED=1
DNAT_MY_INTERNAL_IP=""
DNAT_MY_EXTERNAL_IP=""
DNAT_TCP_PORTS="80"
DNAT_UDP_PORTS=""

transparent-proxy.conf (conteúdo já modificado):

ENABLED=1
HTTP_PROXY_PORT="3128"
HTTPS_PROXY_PORT="3128"
FTP_PROXY_PORT="3128"
SMTP_PROXY_PORT="3128"
POP3_PROXY_PORT="3128"

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. O modo Debian
   3. Plugins
   4. Agradecimentos e referências
Outros artigos deste autor

Tor no Debian Squeeze - Instalação e Configuração

LMDE Xfce - Instalação, configuração e extras

MATE Desktop 1.16.0 [GTK3] no Slackware

Burg - Gerenciador de Boot

Personalidades do mundo Open Source

Leitura recomendada

Gerenciando regras de Iptables com Firewall Builder (parte 2)

Segurança com iptables

Entendendo a teoria do iptables

IpCop - Um firewall personalizado

Firewall rápido e seguro com iptables

  
Comentários
[1] Comentário enviado por backuppc em 06/04/2010 - 09:42h

Ola,
Se eu necessitar fazer uma regra do tipo, tudo que chegar na porta 3389 seja redirecionado para o ip 192.168.0.2 ( servidor dentro da minha rede ) como faria ?
Abraços

[2] Comentário enviado por removido em 06/04/2010 - 10:40h

No arquivo de configuração /etc/firewall.conf altere as seguintes linhas:

NAT_LOCAL_REDIRECT=0 # para 1

NAT_FORWARD_TCP="3389>192.168.0.2" # porta>destino

Reinicie o firewall, rode o comando sudo iptables-save > regras.txt, verifique se aparece a seguinte linha:

-A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2

# no exemplo acima aparece ppp0 pois essa a a minha interface de rede externa.


Como alternativa, você pode alterar o arquivo de configuração /etc/custom-rules inserindo o seguinte:

# iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to 192.168.0.2

Reinicie o firewall, rode novamente o comando sudo iptables-save > regras.txt, verifique se aparece a seguinte linha:

-A PREROUTING -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.2

Você também pode adicionar a opção -d <endereço_externo> nesse caso ficaria assim:

# iptables -t nat -A PREROUTING -d <endereço_externo> -p tcp --dport 3389 -j DNAT --to 192.168.0.2

espero tê-lo ajudado.

[3] Comentário enviado por backuppc em 06/04/2010 - 12:25h

Obrigado pela resposta.

Irei centralizar minhas regras no custom-rules já que os redirecionamentos ja tenho pronto e posso estar jogando lá dentro.

Já chegou á usar ?

/etc/arno-iptables-firewall/plugins/multiroute.conf

Interessante esse multiroute

abraços

[4] Comentário enviado por d3lf0 em 07/04/2010 - 09:37h

muito bom, assim que puder quero estar testando esta ferramenta.

[5] Comentário enviado por grandmaster em 07/04/2010 - 18:59h

Pareceu bem simples, vamos ver como funciona.

--
Renato de Castro Henriques
ITILv3 Foundation Certified
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts