Script de firewall completíssimo

Este script possui diversas características como: mascaramento da rede interna e a rede externa, bloquear acesso de sites, rádio UOL mesmo com proxy transparente, liberar as portas principais, bloqueio de ataques como ping da morte, SYN-FLOOD, ssh de força bruta, anti-spoofings e entre outros. Faltou dizer a importante amarração do ip ao mac.

[ Hits: 333.858 ]

Por: marcelo espindola de melo em 18/11/2007 | Blog: https://marceloespindolaweb.blogspot.com.br/


Exemplos dos arquivos de configuração personalizada



macsliberadosfirewall

status;ip_do_computador;mac_do_plrede;nomepc

A letra (a) indica que o computador que está com esse status liberado, se for (b) estará bloqueado e se for (c) bloqueará toda tipo de conexão originado, destinado e redirecionado para o ip correspondente. O nome o computador não irá importar para o script de firewall, só serve para organizar melhor a nossa lista.

c;192.168.253.1;;bloqueio-total
a;192.168.253.2;00:0E:A6:8E:1F:F2;marcelo-home
a;192.168.253.3;00:0F:EA:2A:E0:36;na
a;192.168.253.4;00:20:ED:09:8B:53;tania-home
a;192.168.253.5;00:14:2A:42:9F:C2;elidia-home
a;192.168.253.7;00:17:31:40:04:37;jaira-home
a;192.168.253.8;00:16:EC:D9:29:13;luana-home
c;192.168.253.9;;bloqueio-total
c;192.168.253.11;;bloqueio-total
c;192.168.253.12;;bloqueio-total
c;192.168.253.13;;bloqueio-total
c;192.168.253.14;;bloqueio-total
c;192.168.253.15;;bloqueio-total
.
.
.
c;192.168.253.254;;bloqueio-total

Nos testes que fiz, mesmo um computador não cadastrado ele só não conseguia acessar a internet, porém acessava normalmente os outros serviços do servidor como, por exemplo, ssh e ftp. Então para garantir a integridade do servidor e da segurança da rede decidi colocar todos os ips da rede sendo bloqueados por este script garantido com estas regras as seguintes situações:
  • Se o usuário possuir permissão de trocar o ip do computador e fizer isso ele não navegará, pois as regras irão apenas liberar pacotes se os ips e macs se correspondem entre si;
  • Se o usuário possuir um computador cujo mac não esteja cadastrado é preferível que o dhcp não dê dinamicamente o ip a computadores que estejam nesta situação, porém se ele possuir conhecimentos sobre redes de computadores e configurar estaticamente o computador mesmo assim o mac não estará liberado pelas regras, no entanto se não bloqueasse todos os ips da rede ele poderia acessar os outros serviços podendo assim comprometer a segurança do mesmo, pois o ip estaria liberado;
  • Se o status de um computador for “b” o computador estará totalmente bloqueado tanto o mac como o ip e se trocar o ip por um que esteja liberado ele estará travado pelo mac;
  • A única possibilidade de ele conseguir navegar pela rede e na internet será emular virtualmente um mac que esteja liberado, mas lembrando que as quantidades de endereços macs são na unidade de vários milhões e ele conseguir achar um que esteja liberado pelo servidor é uma missão quase impossível;
  • Para garantir mais ainda a segurança deverá ser feito um bloqueio no nível do Squid negando acesso a macs não liberados, autenticação com login e senha e se for uma rede wireless usar criptografia forte como a do wpe e wpa.

Para facilitar a recriação do arquivo citado, isso se o exemplo dado for diferente da situação de sua rede, bastar executar adaptando o seguinte script:

#!/bin/sh
REDE=192.168.253
for i in `seq 254`; do
echo "c;$REDE.$i;;bloqueio-total" >> /etc/configuracao_personalizada/macsliberadosfirewall
done

Para baixar o exemplo deste arquivo use este link:
portsblo:

Neste arquivo estará contido as portas a serem bloqueadas pelo firewall, a sintaxe basicamente é colocar em cada linha a porta que deverá ser bloqueada pelo sistema, mas também é possível colocar intervalos de portas, como exemplo, porta_inicio:porta_fim.

Segue um exemplo de configuração de bloqueio de portas e os motivos dos bloqueios.

OBS: Se você colocar a política padrão como DROP, isto é, bloqueando todo o redirecionamento de entrada e saída, não é necessário colocar portas bloqueadas, pois todas elas já estarão bloqueadas por default, mas se quiser se certificar que a rede está segura fica por sua conta levar em consideração bloquear as portas ou não. Mas se você colocar ACCEPT aceitando os pacotes, é uma prioridade colocar estas portas como bloqueadas para garantir segurança.

traceroute:

33435:33525

#bloqueio Back Orifice
31337

#bloqueio TRIN00
1524
27665
27444
31335

#bloqueio para o servidor X
5999:6003
7100

Lembrando que estes bloqueios só servem principalmente para a proteção do próprio servidor e não da rede em si.

OBS: Neste arquivo não são suportados comentários com inicio com o símbolo "#".

portslib:

A intenção das portas liberadas é justamente aceitar somente aquelas que realmente forem necessárias tanto para uma rede corporativa ou uma outra mais flexível. Lembrando que as portas liberadas servem para tanto para rede quanto ao servidor. É importante liberar essas portas se você as bloqueou na política padrão, mas se não, então não precisa.

ftp=21
ssh=22
SMTP=25
Dns=53
http=80
POP3=110
https=443
squid=3128
vnc=5900
webmin=10000
apache=8080

Esta foi a configuração básica do script de firewall.

OBS: Lembrando mais uma vez que os arquivos portslib e portsblo devem conter somente as portas em formato de texto puro para as respectivas finalidades.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Construindo o Firewall - O básico
   3. Construindo o Firewall - Corpo principal do script/start - parte I
   4. Construindo o Firewall - Corpo principal do script/start - parte II
   5. Construindo o Firewall - Corpo principal do script - FINAL
   6. Exemplos dos arquivos de configuração personalizada
   7. Dicas para um ambiente fechado como empresas com políticas rígidas de acesso
   8. Black List - Lista negra - Sites pornográficos
   9. Para um ambiente mais flexível
   10. Como fazê-lo funcionar no boot
   11. O script básico, completo, puro
   12. Facilidades para quem usa webmin
   13. Conclusão e as considerações finais
   14. Downloads
   15. Referências
   16. Contato & dúvidas
Outros artigos deste autor

Personalize seu shell na entrada de seu logon

Leitura recomendada

Backup automatizado com HD externo

Executando backup do MySQL e enviando por FTP

Relatório de conexão Wi-Fi com dados de usuários conectados nos POPs

Ingressando estações de trabalho Ubuntu no AD com Closed In Directory

Shell Script nosso de cada dia - Episódio 3

  
Comentários
[1] Comentário enviado por elgio em 18/11/2007 - 11:08h

Oi.

Só uma contribuição:

"
#bloquear ataque do tipo SYN-FLOOD
echo "0" > /proc/sys/net/ipv4/tcp_syncookies
$IPTABLES -A INPUT -i $WAN -p tcp --syn -j syn-flood
(...)
$IPTABLES -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
"

Como descrevi em meu outro artigo "Iptables Protege contra Syn-Food?" esta técnica baseada em limit é FURADA (veja o artigo e meus argumentos em http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=7070).

Mas porque o "0" no tcp_syncookies??

Colocar "1" nele (LIGAR) por si só já é técnica suficiente para bloquear o Syn food. Claro que isto deve ser feito em TODOS os servidores. Tentar evitar a negação de serviço no firewall usando limit é FURADA!

[]'s

[2] Comentário enviado por elgio em 18/11/2007 - 11:30h

Outra coisa é sobre, também, a proteção contra SSH brute force.

Eu usava esta de por um limit (tu colocaste 1s), mas tive que ABANDONAR pelos mesmos motivos do Syn food. Acontece que o mundo tentava tanto entrar no meu SSH que meus usuários legítimos acabavam sendo o +1 no mesmo segundo e não conseguiam. Furada denovo! Resolvi isto com o uso do RECENT do iptables (onde me lembro do IP que fez SSH e o nego se ele fizer muitos em pouco tempo. DIFERENTE do limit que apenas conta quantos sem diferenciar quem, qual IP de origem).

Ah, em tempo, como eu resolvi o problema de brute force SSH eu respondi como COMENTARIO neste artigo (o cara descreveu muito bem o modulo Recent e foi lá que eu soube da existência deste ótimo módulo do iptables):
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=5551

[3] Comentário enviado por suportemega em 19/11/2007 - 17:01h

Marcelo;

Neste artigo como você trata as coneccoes na porta 3389 (terminal service)?
tenho um servidor Linux (proxy e firewall) tenho um TS interno que já acesso de uma rede externa. Mas não consigo fazer com que minha rede interna casse um Terminal Service Externo!

[4] Comentário enviado por thaleseduardo em 19/11/2007 - 19:09h

Parabens, um excelente artigo e será de muita valia. Mas gostaria de tirar uma duvida, sobre servidor wireless. Qual regra de iptables serveria para bloquear o acesso entre os computadores, fazendo com que eles não se enxergue.

[5] Comentário enviado por Gabrihell em 20/11/2007 - 23:59h

Ótimo artigo amigo, parabéns! :-)

[6] Comentário enviado por luiscarlos em 22/11/2007 - 01:43h

$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport $i -j ACCEPT
$IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT

isso não é redundante?

uma vez que a politica de saida é SEMPRE permitir, por que criar um regra de saida?
ótimo artigo e excelente firewall, muito bem planejado na minha opinião, parabéns.

[7] Comentário enviado por agk em 24/11/2007 - 13:24h

Gostei da organização do script em arquivos menores e também do uso do Shell para organizar melhor as coisas sem precisar ficar mudando o script de configuração principal.
Não entendi porque foi carregado o modulo ipt_log, pois não é usando em nenhum lugar, recomendo logar os serviços básicos, com a idéia do webmin acho que ficaria bem legal fazer um script Shell para tratar os logs e fazer com que apareçam em html (sei que já tem programa que faz isso, não recordo o nome).
A tabela mangle é muito útil quando se faz controle de banda com HTB, daí é possível tratar os pacotes com o classify, mas isso talvez já esteja um pouco fora do escopo do artigo.

No mais, parabéns pelo artigo, continue assim.

[8] Comentário enviado por maickelpc em 26/11/2007 - 17:41h

mto bom

[9] Comentário enviado por tiagonetwork em 29/11/2007 - 13:24h

bom mesmoooo...

[10] Comentário enviado por alaorjunior em 21/05/2008 - 00:40h

Como fazer para que as estacoes sejam obrigadas a passar pelo squid, ou melhor, seja obrigado a configuracao do proxy

[11] Comentário enviado por k4mus em 06/10/2008 - 23:25h

Amigo, uma duvida. Eh obrigatorio a chamad dos modulos no inicio .modproble .. etc. Estes modulos ja nao sao levantados automaticos na hora do comando nao?


Grato

[12] Comentário enviado por fenix_chikinho em 29/11/2008 - 13:08h

Muito bom seu artigo, fiz alguma modificações adaptando as minhas necessidades.
só contribuição
para que quiser obrigar que todas maquinas a passar pelo proxy squid
use

$IPTABLES -t nat -A PREROUTING -i $IPSOURCE -p tcp -m multiport --dport 80,443 -j REDIRECT --to-ports 3128

e para utilizar o sistema em conjunto com squid 2.6 ou superior com chache full

use essa regra logo após o redirecionamento

$IPTABLES -t mangle -A OUTPUT -p tcp -m connmark --mark 0 -m string --string "X-Cache: HIT" --algo kmp -j CONNMARK --set-mark 6
$IPTABLES -t mangle -A OUTPUT -p tcp -j CONNMARK --restore-mark
$IPTABLES -t mangle -A OUTPUT -p tcp -m mark --mark 6 -j CLASSIFY --set-class 1:9
echo "Pacotes o HTB Cache-Full ativado"
echo "ON .................................................[ OK ]"


depois crie a classe 1:9 (esta com velocodade superior as demais) voce pode utiliza o HTB ou CBQ, nao iporta pois o sistema funciona perfeitamente em ambos os controladores de banda


[13] Comentário enviado por andriopj em 08/03/2009 - 13:40h

referente a parte de liberar apenas para os mac+ips cadastrados.
tentei implementar esse script aqui, mas nao funcionou...

aqui eu uso fedora 10, rodando:
squid (Version 3.0.stable13) como proxy/webcache
dhcp (MACxIP)

tenho o seguinte cenario, uma rede onde nao posso barrar nada (skype, msn, hotmail, acesso a web, etc).
mas tenho que encontrar um meio de aumentar a seguranca do servidor ou/e ate mesmo dos usuarios (ataques)
e controlar quem acessa e quem nao acessa seria uma boa.

tem algum outro script parecido com esse, que apenas verifica se o mac e o ip coincidem, entao libera acessa a internet
caso nao coincida ou nao exista cadastrado, ele nega o acesso externo???

e onde eh o melhor local para coloca-lo?

[14] Comentário enviado por wolrk em 29/04/2009 - 09:51h

Bom dia galera gostaria de uma ajuda de vcs meu Script Firewall.
Gostaria que a galera desse uma opinião sobre ele.
########################## ScriptFirewall############################

#############################################################################

# Compartilhamento da internet

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptable -t nat -A POSTROUTING -O eth1 -j MASQUERADE

######################################################################################

# Proxy transparente

iptables -t nat -A POSTROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --TO-PORT 5050

######################################################################################

# Regras de segurança

iptables -A INPUT -p icmp -- cmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m --state --state INVALID -j DROP

#######################################################################################

# Abre para interface de loopback

iptables -A INPUT -p tcp -i lo -j ACCEPT

#######################################################################################

# Abre a porta 22 (ssh) para internet:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#######################################################################################

# Dns

iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

#######################################################################################

# HTTP,HTTPS, MSN, LIME WIREWIN E PROXY :

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -p tcp --dport 5050 -j ACCEPT
iptables -A INPUT -p tcp --dport 17417 -j ACCEPT
iptables -A INPUT -p tcp --dport 6346 -j ACCEPT

#######################################################################################

# Bloquear conexoes nas demais portas:

iptables -A INPUT -p tcp --syn -j DROP

iptables -A INPUT -m state --state ESTABLISHED ,RELATED -j ACCEPT

#######################################################################################

# Bloqueia as portas UDP de 0 a 1023

iptables -A INPUT -p tcp --dport 0:1023 -j DROP

#######################################################################################


[15] Comentário enviado por removido em 01/08/2009 - 22:19h

Cara oq significa o $1 em $IPTABLES -A INPUT -p tcp --dport $i -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport $i -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport $i -j ACCEPT

[16] Comentário enviado por carlosparisotto em 24/05/2010 - 16:44h

Cara, muito show o script. Meus parabéns, ajudou bastante a melhorar
o meu script de firewall.
Abraço!!

[17] Comentário enviado por paulo.perina em 24/05/2010 - 19:25h

e ai galera td bem? esse script do marcelo parece ser muito bom show ms mas to com um problema aq tenho um servidor ubuntu rodando samba dhcp bind squid como proxy trasnparent e toda vez q rodo esse script de firewall minha rede e minha net para até o servidor fica sem net fiz td igual ao tutorial acima mas msm assim nun funcionou sera q alguem pode me ajudar???vlw

[18] Comentário enviado por paulo.perina em 27/05/2010 - 09:03h

e ai galera td blz? consegui fazer o script funcionar mas agora ta aparecendo uma mensagem assim not found.4.4: host/network e é sempre nos sites bloqueados será q alguem pode me ajudar??? vlw

[19] Comentário enviado por GustavinhoO em 02/05/2011 - 11:09h

estou com um problema!

usando esse script de firewall, não estou conseguindo compartilhar conexão.
quando compartilho normal funciona.

outra coisa, quando coloco regra no firewall liberando as portas 80,22,443,53,1433

depois fecho o resto das portas.

ai é que ta, se fecho o resto das portas fico sem conexão.

oque pode ser?

[20] Comentário enviado por marcelinoti em 17/07/2012 - 18:01h

Fala galera!

Entao, fiz tudo tudo que explicou porem só nao estou conseguindo é acessa meu servidor de fora (SERVER 2008), coloquei a porta 3389, em, Exemplo do arquivo "/etc/configuracao_personalizada/listaderedirecionamento". Alguem pode me ajudar?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts