Firewall para o dia a dia

Em ambiente corporativo devemos nos preocupar bastante com a segurança da nossa rede interna e os dados que nela trafegam, não podemos vacilar e nem "dar mole" pra não ser vítima de um ataque e acabar "dando empada pro gato", como se diz aqui no meu trabalho. Bem, vou abordar aqui um firewall simples com diversos bloqueios e redirecionamentos para serviços especiais internos.

[ Hits: 35.935 ]

Por: Eliseu Ribeiro Cherene Viana em 09/08/2007


Introdução



Creio eu que o arquivo esteja bem explicado e nele contemos as proteções mais necessárias para uma rede que requer segurança, como: IP Spoofing, Flood, Ping da Morte, Trojans, Worms, port Scaners e etc. Mas digo que toda proteção ainda não é o bastante.

Temos também redirecionamentos de conexões vindos da rede externa e encaminhamentos de portas de determinados programas que podem ser ajustados conforme as suas necessidades, por exemplo: você quer liberar a porta 9090 apenas para um IP na rede, ou você deseja que todas as conexões vindas de fora na porta 80 sejam encaminhadas para o seu servidor Web.

É isso aí, espero contribuir para uma utilização de forma eficaz..

Disposição do Firewall

Teremos o nosso Firewall divido em 3 (três) arquivos, um para limpeza de todas as regras chamado de "limpa_regras.sh", outro para carregar os módulos que iremos utilizar chamado de "modulos.sh" e o "firewall.sh", que é o próprio dito.

# vim limpa_regras.sh

#!/bin/bash
# Script para limpar regras do Iptables 1.0
# Criado por Eliseu Cherene eliseurcv@hotmail.com www.eliseucherene.com
# Dia 30/07/2007 2:20 AM


echo "Limpando Regras do Firewall..."

/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -F
/sbin/iptables -t mangle -X

# vim modulos.sh

#!/bin/bash
# Script de Execução de Módulos Iptables 1.0
# Criado por Eliseu Cherene eliseurcv@hotmail.com www.eliseucherene.com
# Dia 30/07/2007 2:20 AM


echo "1" > /proc/sys/net/ipv4/ip_forward

echo "Carregando Módulos..."

/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_mangle
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ipt_LOG

    Próxima página

Páginas do artigo
   1. Introdução
   2. O firewall (firewall.sh)
Outros artigos deste autor

Implementando um servidor DHCP

Samba como controlador de domínio no Ubuntu

Samba standalone server com antivírus

Slackware como controlador de domínio

Leitura recomendada

Script de firewall e análise de log

Instalando um firewall mínimo em Debian

Zentyal 2.0 - Solução completa de segurança open source

Abrindo "passagem" para clientes de correio

PFSense Firewall com Squid e SquidGuard

  
Comentários
[1] Comentário enviado por y2h4ck em 09/08/2007 - 09:47h

Entro no mérito de "Artigo/Dica" ?

Não ... :P

[]s

[2] Comentário enviado por dtux em 09/08/2007 - 13:01h

Tem q arrumar algumas regras do ultimo scritp, pois estão com argumento repetido e falatando parametro
ex
iptables -A TRINOO -m limit -limit 15/m -j LOG -log-log-level 6 -log-prefix "FIREWALL: trinoo:"

Possui dois erros -j LOG -log-log-level, parametro log repetido duas vezes
e limit -limit 15/m , tem q ser limit --limit 15/m

[3] Comentário enviado por elgio em 09/08/2007 - 14:42h

Pois é.
Eu acho muito complicado escrever um script de firewall genérico para o dia a dia... Os usuários instalam ele e nem sabem o que estão fazendo!
Ou se aprende a construir o seu, realmente personalizado para tuas necessidades ou se usa uma interface gráfica.

Por exemplo: para que tanta regra se o que eu tenho é um desktop? Nada do FORWARD tem sentido! Pra que aceitar SYN se o meu desktop não é servidor de nada? Ou mais, ele é servidor de HTTP, então para que aceitar SYN em outros serviços como SSH?

Eu sou contra scripts genéricos de firewall, mas cada um cada um :-D
Veja, por exemplo, estes tópicos de discussão:
http://www.vivaolinux.com.br/comunidades/verTopico.php?codigo=40&codtopico=5402

[4] Comentário enviado por srf em 09/08/2007 - 15:18h

Meus parabens muito bom seu artigo...

[5] Comentário enviado por maniac em 10/08/2007 - 11:22h

Muito bom

[6] Comentário enviado por DondaJr em 10/08/2007 - 19:16h

Acho que esse firewall vale mais para aprendizado do que para uso em si.!

Porém, tem que se observar bastante,já que há erros de parametros

[7] Comentário enviado por jgama em 11/08/2007 - 19:08h

sem dizer que a regra unclean não é mais aceita no kernel 2.6

Abraço

[8] Comentário enviado por fmpfmp em 13/08/2007 - 15:36h

Nada demais, existem milhares de scripts de iptables na net.

[9] Comentário enviado por removido em 17/10/2009 - 11:27h

Bem Explicado seu Script. Parabens

[10] Comentário enviado por removido em 17/10/2009 - 22:40h

Firewall para o Dia a Dia Certamente, Otimo.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts