Firewall para o dia a dia

Em ambiente corporativo devemos nos preocupar bastante com a segurança da nossa rede interna e os dados que nela trafegam, não podemos vacilar e nem "dar mole" pra não ser vítima de um ataque e acabar "dando empada pro gato", como se diz aqui no meu trabalho. Bem, vou abordar aqui um firewall simples com diversos bloqueios e redirecionamentos para serviços especiais internos.

[ Hits: 35.670 ]

Por: Eliseu Ribeiro Cherene Viana em 09/08/2007


Introdução



Creio eu que o arquivo esteja bem explicado e nele contemos as proteções mais necessárias para uma rede que requer segurança, como: IP Spoofing, Flood, Ping da Morte, Trojans, Worms, port Scaners e etc. Mas digo que toda proteção ainda não é o bastante.

Temos também redirecionamentos de conexões vindos da rede externa e encaminhamentos de portas de determinados programas que podem ser ajustados conforme as suas necessidades, por exemplo: você quer liberar a porta 9090 apenas para um IP na rede, ou você deseja que todas as conexões vindas de fora na porta 80 sejam encaminhadas para o seu servidor Web.

É isso aí, espero contribuir para uma utilização de forma eficaz..

Disposição do Firewall

Teremos o nosso Firewall divido em 3 (três) arquivos, um para limpeza de todas as regras chamado de "limpa_regras.sh", outro para carregar os módulos que iremos utilizar chamado de "modulos.sh" e o "firewall.sh", que é o próprio dito.

# vim limpa_regras.sh

#!/bin/bash
# Script para limpar regras do Iptables 1.0
# Criado por Eliseu Cherene eliseurcv@hotmail.com www.eliseucherene.com
# Dia 30/07/2007 2:20 AM


echo "Limpando Regras do Firewall..."

/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -F
/sbin/iptables -t mangle -X

# vim modulos.sh

#!/bin/bash
# Script de Execução de Módulos Iptables 1.0
# Criado por Eliseu Cherene eliseurcv@hotmail.com www.eliseucherene.com
# Dia 30/07/2007 2:20 AM


echo "1" > /proc/sys/net/ipv4/ip_forward

echo "Carregando Módulos..."

/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_mangle
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ipt_LOG

    Próxima página

Páginas do artigo
   1. Introdução
   2. O firewall (firewall.sh)
Outros artigos deste autor

Implementando um servidor DHCP

Samba standalone server com antivírus

Slackware como controlador de domínio

Samba como controlador de domínio no Ubuntu

Leitura recomendada

Bloqueando o UltraSurf e o WebMessenger do Hotmail com Proxy Transparente

Entendendo a teoria do iptables

Instalar e configurar o Nftables com exemplos básicos de configurações

Balanceamento de link + redundância

Firewall admin: administração do iptables

  
Comentários
[1] Comentário enviado por y2h4ck em 09/08/2007 - 09:47h

Entro no mérito de "Artigo/Dica" ?

Não ... :P

[]s

[2] Comentário enviado por dtux em 09/08/2007 - 13:01h

Tem q arrumar algumas regras do ultimo scritp, pois estão com argumento repetido e falatando parametro
ex
iptables -A TRINOO -m limit -limit 15/m -j LOG -log-log-level 6 -log-prefix "FIREWALL: trinoo:"

Possui dois erros -j LOG -log-log-level, parametro log repetido duas vezes
e limit -limit 15/m , tem q ser limit --limit 15/m

[3] Comentário enviado por elgio em 09/08/2007 - 14:42h

Pois é.
Eu acho muito complicado escrever um script de firewall genérico para o dia a dia... Os usuários instalam ele e nem sabem o que estão fazendo!
Ou se aprende a construir o seu, realmente personalizado para tuas necessidades ou se usa uma interface gráfica.

Por exemplo: para que tanta regra se o que eu tenho é um desktop? Nada do FORWARD tem sentido! Pra que aceitar SYN se o meu desktop não é servidor de nada? Ou mais, ele é servidor de HTTP, então para que aceitar SYN em outros serviços como SSH?

Eu sou contra scripts genéricos de firewall, mas cada um cada um :-D
Veja, por exemplo, estes tópicos de discussão:
http://www.vivaolinux.com.br/comunidades/verTopico.php?codigo=40&codtopico=5402

[4] Comentário enviado por srf em 09/08/2007 - 15:18h

Meus parabens muito bom seu artigo...

[5] Comentário enviado por maniac em 10/08/2007 - 11:22h

Muito bom

[6] Comentário enviado por DondaJr em 10/08/2007 - 19:16h

Acho que esse firewall vale mais para aprendizado do que para uso em si.!

Porém, tem que se observar bastante,já que há erros de parametros

[7] Comentário enviado por jgama em 11/08/2007 - 19:08h

sem dizer que a regra unclean não é mais aceita no kernel 2.6

Abraço

[8] Comentário enviado por fmpfmp em 13/08/2007 - 15:36h

Nada demais, existem milhares de scripts de iptables na net.

[9] Comentário enviado por removido em 17/10/2009 - 11:27h

Bem Explicado seu Script. Parabens

[10] Comentário enviado por removido em 17/10/2009 - 22:40h

Firewall para o Dia a Dia Certamente, Otimo.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts