Script de firewall completíssimo
Este script possui diversas características como: mascaramento da rede interna e a rede externa, bloquear acesso de sites, rádio UOL mesmo com proxy transparente, liberar as portas principais, bloqueio de ataques como ping da morte, SYN-FLOOD, ssh de força bruta, anti-spoofings e entre outros. Faltou dizer a importante amarração do ip ao mac.
[ Hits: 341.449 ]
Por: marcelo espindola de melo em 18/11/2007 | Blog: https://marceloespindolaweb.blogspot.com.br/
Para um ambiente mais flexível
Descrição:
Como exemplos Lan Houses ou provedores de acesso que precisam liberar outras coisas mais importantes. Uma dica para estes ambientes é não bloquear tudo com aquela política padrão (-P), pois não é necessário tanto controle, mas se mesmo assim quiser bloquear alguma coisa tem muitos exemplos no capítulo de regras para ambientes rígidos.
Neste exemplo eu incluo regras de redirecionamento que podemos fazer de forma mais simples, basta acrescentar a porta, o protocolo e o ip de pacotes de serviços destinados a serem redirecionados a outros computadores. Em linhas gerais, sendo este script implementado a um gateway os computadores que estão fora da rede Interna, isto na internet, que não podem se comunicarem diretamente aos computadores da rede interna, ao não ser que se faça redirecionamento como, por exemplo: acessar por vnc de forma externa algum pc da rede interna, emule com id baixa ou acessar outro serviço qualquer oferecido pela rede interna, neste formato fica mais fácil se você faz muitos redirecionamentos, assim não precisa várias com a mesma finalidade.
Para acrescentar esta funcionalidade basta acrescentar este linha a seguir no inicio do script junto às outras variáveis; sugiro que seja no final.
É recomendado que estas próximas linhas que se seque sejam colocadas antes dos bloqueios de portas e de ataques.
A sintaxe do arquivo é "protocolo;porta;ip;nome_do_servico;nome_do_host" muito semelhante ao do exemplo de amarrar ip ao mac, eu coloquei nome do serviço e nome do host, apenas para fim organizacional do arquivo.
Exemplo do arquivo "/etc/configuracao_personalizada/listaderedirecionamento".
Coloque estas em caso se gateway pertence a uma lan house, estou dando prioridade a porta 80 e 3128.
Estas regras foram encontradas na internet e serve para libera a radio da UOL mesmo com o proxy transparente, a fim de não passar por ele. O curioso sobre a radio UOL, é que nem mesmo pelo ISA SERVER, que o proxy da Microsoft, não funciona. Lembre-se de colocar estas regras antes do Proxy transparente. Outra coisa importante referente a isto é que eu não coloquei as portas e endereços sendo liberadas nos arquivos portslib e nem no listaderedirecionamento por que elas são especificas para a rádio UOL.
No arquivo (portslib) coloque estas portas:
Como exemplos Lan Houses ou provedores de acesso que precisam liberar outras coisas mais importantes. Uma dica para estes ambientes é não bloquear tudo com aquela política padrão (-P), pois não é necessário tanto controle, mas se mesmo assim quiser bloquear alguma coisa tem muitos exemplos no capítulo de regras para ambientes rígidos.
Neste exemplo eu incluo regras de redirecionamento que podemos fazer de forma mais simples, basta acrescentar a porta, o protocolo e o ip de pacotes de serviços destinados a serem redirecionados a outros computadores. Em linhas gerais, sendo este script implementado a um gateway os computadores que estão fora da rede Interna, isto na internet, que não podem se comunicarem diretamente aos computadores da rede interna, ao não ser que se faça redirecionamento como, por exemplo: acessar por vnc de forma externa algum pc da rede interna, emule com id baixa ou acessar outro serviço qualquer oferecido pela rede interna, neste formato fica mais fácil se você faz muitos redirecionamentos, assim não precisa várias com a mesma finalidade.
Para acrescentar esta funcionalidade basta acrescentar este linha a seguir no inicio do script junto às outras variáveis; sugiro que seja no final.
REDILIST="/etc/configuracao_personalizada/listaderedirecionamento"
É recomendado que estas próximas linhas que se seque sejam colocadas antes dos bloqueios de portas e de ataques.
for i in `cat $REDILIST`; do
REDIPROTO=`echo $i | cut -d ';' -f 1` #recebe o protocolo a ser redirecionado
REDIPORTA=`echo $i | cut -d ';' -f 2` #recebe a porta a ser redirecionado
REDIP=`echo $i | cut -d ';' -f 3` #recebe o ip a ser redirecionado
REDISERVICO=`echo $i | cut -d ';' -f 4` #recebe o nome do serviço
REDIHOST=`echo $i | cut -d ';' -f 5` #recebe o nome do host
$IPTABLES -A FORWARD -p $REDIPROTO --dport $REDIPORTA -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p $REDIPROTO -i $WAN --dport $REDIPORTA -j DNAT --to $REDIP
echo "ativado o serviço $REDISERVICO para o $REDIHOST"
done # fim do comando laço for
echo "ativado o redirecionamento das portas da WAN para LAN"
echo "ON ...................................................... [ OK ]"
REDIPROTO=`echo $i | cut -d ';' -f 1` #recebe o protocolo a ser redirecionado
REDIPORTA=`echo $i | cut -d ';' -f 2` #recebe a porta a ser redirecionado
REDIP=`echo $i | cut -d ';' -f 3` #recebe o ip a ser redirecionado
REDISERVICO=`echo $i | cut -d ';' -f 4` #recebe o nome do serviço
REDIHOST=`echo $i | cut -d ';' -f 5` #recebe o nome do host
$IPTABLES -A FORWARD -p $REDIPROTO --dport $REDIPORTA -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p $REDIPROTO -i $WAN --dport $REDIPORTA -j DNAT --to $REDIP
echo "ativado o serviço $REDISERVICO para o $REDIHOST"
done # fim do comando laço for
echo "ativado o redirecionamento das portas da WAN para LAN"
echo "ON ...................................................... [ OK ]"
A sintaxe do arquivo é "protocolo;porta;ip;nome_do_servico;nome_do_host" muito semelhante ao do exemplo de amarrar ip ao mac, eu coloquei nome do serviço e nome do host, apenas para fim organizacional do arquivo.
Exemplo do arquivo "/etc/configuracao_personalizada/listaderedirecionamento".
#Redireciona as conexões do VNC
tcp;5900;192.168.253.2;VNC;debian-home
#Redirecionar as portas do emule para o host 192.168.253.2
tcp;4662;192.168.253.2;EMULE;debian-home
udp;4672;192.168.253.2;EMULE;debian-home
tcp;5900;192.168.253.2;VNC;debian-home
#Redirecionar as portas do emule para o host 192.168.253.2
tcp;4662;192.168.253.2;EMULE;debian-home
udp;4672;192.168.253.2;EMULE;debian-home
Coloque estas em caso se gateway pertence a uma lan house, estou dando prioridade a porta 80 e 3128.
# ativando o tráfego de prioridade de saída e entrada pela tabela mangle
$IPTABLES -t mangle -A OUTPUT -o $WAN -p tcp --dport 80 -j TOS --set-tos 16
$IPTABLES -t mangle -A INPUT -i $LAN -p tcp --sport 80 -j TOS --set-tos 16
$IPTABLES -t mangle -A FORWARD -i $LAN -p tcp --sport 80 -j TOS --set-tos 8
$IPTABLES -t mangle -A INPUT -i $LAN -p tcp --sport 3128 -j TOS --set-tos 16
$IPTABLES -t mangle -A OUTPUT -o $LAN -p tcp --dport 3128 -j TOS --set-tos 16
$IPTABLES -t mangle -A INPUT -i $WAN -p tcp --sport 22 -j TOS --set-tos 8
$IPTABLES -t mangle -A OUTPUT -o $WAN -p tcp --dport 22 -j TOS --set-tos 8
echo "ativado o trafego de prioridades mangle TOS:"
echo "ON ....................................................... [ OK ]"
$IPTABLES -t mangle -A OUTPUT -o $WAN -p tcp --dport 80 -j TOS --set-tos 16
$IPTABLES -t mangle -A INPUT -i $LAN -p tcp --sport 80 -j TOS --set-tos 16
$IPTABLES -t mangle -A FORWARD -i $LAN -p tcp --sport 80 -j TOS --set-tos 8
$IPTABLES -t mangle -A INPUT -i $LAN -p tcp --sport 3128 -j TOS --set-tos 16
$IPTABLES -t mangle -A OUTPUT -o $LAN -p tcp --dport 3128 -j TOS --set-tos 16
$IPTABLES -t mangle -A INPUT -i $WAN -p tcp --sport 22 -j TOS --set-tos 8
$IPTABLES -t mangle -A OUTPUT -o $WAN -p tcp --dport 22 -j TOS --set-tos 8
echo "ativado o trafego de prioridades mangle TOS:"
echo "ON ....................................................... [ OK ]"
Estas regras foram encontradas na internet e serve para libera a radio da UOL mesmo com o proxy transparente, a fim de não passar por ele. O curioso sobre a radio UOL, é que nem mesmo pelo ISA SERVER, que o proxy da Microsoft, não funciona. Lembre-se de colocar estas regras antes do Proxy transparente. Outra coisa importante referente a isto é que eu não coloquei as portas e endereços sendo liberadas nos arquivos portslib e nem no listaderedirecionamento por que elas são especificas para a rádio UOL.
# Liberar Radio UOL
$IPTABLES -t nat -I PREROUTING -i $LAN -m tcp -p tcp -d 200.221.0.0/16 --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -s $REDE -p tcp --dport 554 -j ACCEPT
$IPTABLES -A FORWARD -d $REDE -p udp --sport 554 -j ACCEPT
$IPTABLES -t nat -I PREROUTING -d app.radio.musica.uol.com.br -j ACCEPT
$IPTABLES -t nat -I PREROUTING -d radio.musica.uol.com.br -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 111 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 111 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 2049 -j ACCEPT
echo "Liberado a Radio UOL"
echo "ON ......................................................... [ OK ]"
$IPTABLES -t nat -I PREROUTING -i $LAN -m tcp -p tcp -d 200.221.0.0/16 --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -s $REDE -p tcp --dport 554 -j ACCEPT
$IPTABLES -A FORWARD -d $REDE -p udp --sport 554 -j ACCEPT
$IPTABLES -t nat -I PREROUTING -d app.radio.musica.uol.com.br -j ACCEPT
$IPTABLES -t nat -I PREROUTING -d radio.musica.uol.com.br -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 111 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 111 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 2049 -j ACCEPT
echo "Liberado a Radio UOL"
echo "ON ......................................................... [ OK ]"
No arquivo (portslib) coloque estas portas:
MSN=1863
ICQ=5190
ICQ=5190
Páginas do artigo
1. Introdução2. Construindo o Firewall - O básico
3. Construindo o Firewall - Corpo principal do script/start - parte I
4. Construindo o Firewall - Corpo principal do script/start - parte II
5. Construindo o Firewall - Corpo principal do script - FINAL
6. Exemplos dos arquivos de configuração personalizada
7. Dicas para um ambiente fechado como empresas com políticas rígidas de acesso
8. Black List - Lista negra - Sites pornográficos
9. Para um ambiente mais flexível
10. Como fazê-lo funcionar no boot
11. O script básico, completo, puro
12. Facilidades para quem usa webmin
13. Conclusão e as considerações finais
14. Downloads
15. Referências
16. Contato & dúvidas
Outros artigos deste autor
Personalize seu shell na entrada de seu logon
Leitura recomendada
Relatório do sistema (Shel Script + PHP)
flock - Gerenciador de lockfiles
Monitoramento de pops para provedores
Piano Gripe 3 - Caracteres de controle
Comentários
[1] Comentário enviado por elgio em 18/11/2007 - 11:08h
Oi.
Só uma contribuição:
"
#bloquear ataque do tipo SYN-FLOOD
echo "0" > /proc/sys/net/ipv4/tcp_syncookies
$IPTABLES -A INPUT -i $WAN -p tcp --syn -j syn-flood
(...)
$IPTABLES -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
"
Como descrevi em meu outro artigo "Iptables Protege contra Syn-Food?" esta técnica baseada em limit é FURADA (veja o artigo e meus argumentos em http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=7070).
Mas porque o "0" no tcp_syncookies??
Colocar "1" nele (LIGAR) por si só já é técnica suficiente para bloquear o Syn food. Claro que isto deve ser feito em TODOS os servidores. Tentar evitar a negação de serviço no firewall usando limit é FURADA!
[]'s
Oi.
Só uma contribuição:
"
#bloquear ataque do tipo SYN-FLOOD
echo "0" > /proc/sys/net/ipv4/tcp_syncookies
$IPTABLES -A INPUT -i $WAN -p tcp --syn -j syn-flood
(...)
$IPTABLES -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
"
Como descrevi em meu outro artigo "Iptables Protege contra Syn-Food?" esta técnica baseada em limit é FURADA (veja o artigo e meus argumentos em http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=7070).
Mas porque o "0" no tcp_syncookies??
Colocar "1" nele (LIGAR) por si só já é técnica suficiente para bloquear o Syn food. Claro que isto deve ser feito em TODOS os servidores. Tentar evitar a negação de serviço no firewall usando limit é FURADA!
[]'s
[2] Comentário enviado por elgio em 18/11/2007 - 11:30h
Outra coisa é sobre, também, a proteção contra SSH brute force.
Eu usava esta de por um limit (tu colocaste 1s), mas tive que ABANDONAR pelos mesmos motivos do Syn food. Acontece que o mundo tentava tanto entrar no meu SSH que meus usuários legítimos acabavam sendo o +1 no mesmo segundo e não conseguiam. Furada denovo! Resolvi isto com o uso do RECENT do iptables (onde me lembro do IP que fez SSH e o nego se ele fizer muitos em pouco tempo. DIFERENTE do limit que apenas conta quantos sem diferenciar quem, qual IP de origem).
Ah, em tempo, como eu resolvi o problema de brute force SSH eu respondi como COMENTARIO neste artigo (o cara descreveu muito bem o modulo Recent e foi lá que eu soube da existência deste ótimo módulo do iptables):
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=5551
Outra coisa é sobre, também, a proteção contra SSH brute force.
Eu usava esta de por um limit (tu colocaste 1s), mas tive que ABANDONAR pelos mesmos motivos do Syn food. Acontece que o mundo tentava tanto entrar no meu SSH que meus usuários legítimos acabavam sendo o +1 no mesmo segundo e não conseguiam. Furada denovo! Resolvi isto com o uso do RECENT do iptables (onde me lembro do IP que fez SSH e o nego se ele fizer muitos em pouco tempo. DIFERENTE do limit que apenas conta quantos sem diferenciar quem, qual IP de origem).
Ah, em tempo, como eu resolvi o problema de brute force SSH eu respondi como COMENTARIO neste artigo (o cara descreveu muito bem o modulo Recent e foi lá que eu soube da existência deste ótimo módulo do iptables):
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=5551
[3] Comentário enviado por suportemega em 19/11/2007 - 17:01h
Marcelo;
Neste artigo como você trata as coneccoes na porta 3389 (terminal service)?
tenho um servidor Linux (proxy e firewall) tenho um TS interno que já acesso de uma rede externa. Mas não consigo fazer com que minha rede interna casse um Terminal Service Externo!
Marcelo;
Neste artigo como você trata as coneccoes na porta 3389 (terminal service)?
tenho um servidor Linux (proxy e firewall) tenho um TS interno que já acesso de uma rede externa. Mas não consigo fazer com que minha rede interna casse um Terminal Service Externo!
[4] Comentário enviado por thaleseduardo em 19/11/2007 - 19:09h
Parabens, um excelente artigo e será de muita valia. Mas gostaria de tirar uma duvida, sobre servidor wireless. Qual regra de iptables serveria para bloquear o acesso entre os computadores, fazendo com que eles não se enxergue.
Parabens, um excelente artigo e será de muita valia. Mas gostaria de tirar uma duvida, sobre servidor wireless. Qual regra de iptables serveria para bloquear o acesso entre os computadores, fazendo com que eles não se enxergue.
[6] Comentário enviado por luiscarlos em 22/11/2007 - 01:43h
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport $i -j ACCEPT
$IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT
isso não é redundante?
uma vez que a politica de saida é SEMPRE permitir, por que criar um regra de saida?
ótimo artigo e excelente firewall, muito bem planejado na minha opinião, parabéns.
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport $i -j ACCEPT
$IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT
isso não é redundante?
uma vez que a politica de saida é SEMPRE permitir, por que criar um regra de saida?
ótimo artigo e excelente firewall, muito bem planejado na minha opinião, parabéns.
[7] Comentário enviado por agk em 24/11/2007 - 13:24h
Gostei da organização do script em arquivos menores e também do uso do Shell para organizar melhor as coisas sem precisar ficar mudando o script de configuração principal.
Não entendi porque foi carregado o modulo ipt_log, pois não é usando em nenhum lugar, recomendo logar os serviços básicos, com a idéia do webmin acho que ficaria bem legal fazer um script Shell para tratar os logs e fazer com que apareçam em html (sei que já tem programa que faz isso, não recordo o nome).
A tabela mangle é muito útil quando se faz controle de banda com HTB, daí é possível tratar os pacotes com o classify, mas isso talvez já esteja um pouco fora do escopo do artigo.
No mais, parabéns pelo artigo, continue assim.
Gostei da organização do script em arquivos menores e também do uso do Shell para organizar melhor as coisas sem precisar ficar mudando o script de configuração principal.
Não entendi porque foi carregado o modulo ipt_log, pois não é usando em nenhum lugar, recomendo logar os serviços básicos, com a idéia do webmin acho que ficaria bem legal fazer um script Shell para tratar os logs e fazer com que apareçam em html (sei que já tem programa que faz isso, não recordo o nome).
A tabela mangle é muito útil quando se faz controle de banda com HTB, daí é possível tratar os pacotes com o classify, mas isso talvez já esteja um pouco fora do escopo do artigo.
No mais, parabéns pelo artigo, continue assim.
[10] Comentário enviado por alaorjunior em 21/05/2008 - 00:40h
Como fazer para que as estacoes sejam obrigadas a passar pelo squid, ou melhor, seja obrigado a configuracao do proxy
Como fazer para que as estacoes sejam obrigadas a passar pelo squid, ou melhor, seja obrigado a configuracao do proxy
[11] Comentário enviado por k4mus em 06/10/2008 - 23:25h
Amigo, uma duvida. Eh obrigatorio a chamad dos modulos no inicio .modproble .. etc. Estes modulos ja nao sao levantados automaticos na hora do comando nao?
Grato
Amigo, uma duvida. Eh obrigatorio a chamad dos modulos no inicio .modproble .. etc. Estes modulos ja nao sao levantados automaticos na hora do comando nao?
Grato
[12] Comentário enviado por fenix_chikinho em 29/11/2008 - 13:08h
Muito bom seu artigo, fiz alguma modificações adaptando as minhas necessidades.
só contribuição
para que quiser obrigar que todas maquinas a passar pelo proxy squid
use
$IPTABLES -t nat -A PREROUTING -i $IPSOURCE -p tcp -m multiport --dport 80,443 -j REDIRECT --to-ports 3128
e para utilizar o sistema em conjunto com squid 2.6 ou superior com chache full
use essa regra logo após o redirecionamento
$IPTABLES -t mangle -A OUTPUT -p tcp -m connmark --mark 0 -m string --string "X-Cache: HIT" --algo kmp -j CONNMARK --set-mark 6
$IPTABLES -t mangle -A OUTPUT -p tcp -j CONNMARK --restore-mark
$IPTABLES -t mangle -A OUTPUT -p tcp -m mark --mark 6 -j CLASSIFY --set-class 1:9
echo "Pacotes o HTB Cache-Full ativado"
echo "ON .................................................[ OK ]"
depois crie a classe 1:9 (esta com velocodade superior as demais) voce pode utiliza o HTB ou CBQ, nao iporta pois o sistema funciona perfeitamente em ambos os controladores de banda
Muito bom seu artigo, fiz alguma modificações adaptando as minhas necessidades.
só contribuição
para que quiser obrigar que todas maquinas a passar pelo proxy squid
use
$IPTABLES -t nat -A PREROUTING -i $IPSOURCE -p tcp -m multiport --dport 80,443 -j REDIRECT --to-ports 3128
e para utilizar o sistema em conjunto com squid 2.6 ou superior com chache full
use essa regra logo após o redirecionamento
$IPTABLES -t mangle -A OUTPUT -p tcp -m connmark --mark 0 -m string --string "X-Cache: HIT" --algo kmp -j CONNMARK --set-mark 6
$IPTABLES -t mangle -A OUTPUT -p tcp -j CONNMARK --restore-mark
$IPTABLES -t mangle -A OUTPUT -p tcp -m mark --mark 6 -j CLASSIFY --set-class 1:9
echo "Pacotes o HTB Cache-Full ativado"
echo "ON .................................................[ OK ]"
depois crie a classe 1:9 (esta com velocodade superior as demais) voce pode utiliza o HTB ou CBQ, nao iporta pois o sistema funciona perfeitamente em ambos os controladores de banda
[13] Comentário enviado por andriopj em 08/03/2009 - 13:40h
referente a parte de liberar apenas para os mac+ips cadastrados.
tentei implementar esse script aqui, mas nao funcionou...
aqui eu uso fedora 10, rodando:
squid (Version 3.0.stable13) como proxy/webcache
dhcp (MACxIP)
tenho o seguinte cenario, uma rede onde nao posso barrar nada (skype, msn, hotmail, acesso a web, etc).
mas tenho que encontrar um meio de aumentar a seguranca do servidor ou/e ate mesmo dos usuarios (ataques)
e controlar quem acessa e quem nao acessa seria uma boa.
tem algum outro script parecido com esse, que apenas verifica se o mac e o ip coincidem, entao libera acessa a internet
caso nao coincida ou nao exista cadastrado, ele nega o acesso externo???
e onde eh o melhor local para coloca-lo?
referente a parte de liberar apenas para os mac+ips cadastrados.
tentei implementar esse script aqui, mas nao funcionou...
aqui eu uso fedora 10, rodando:
squid (Version 3.0.stable13) como proxy/webcache
dhcp (MACxIP)
tenho o seguinte cenario, uma rede onde nao posso barrar nada (skype, msn, hotmail, acesso a web, etc).
mas tenho que encontrar um meio de aumentar a seguranca do servidor ou/e ate mesmo dos usuarios (ataques)
e controlar quem acessa e quem nao acessa seria uma boa.
tem algum outro script parecido com esse, que apenas verifica se o mac e o ip coincidem, entao libera acessa a internet
caso nao coincida ou nao exista cadastrado, ele nega o acesso externo???
e onde eh o melhor local para coloca-lo?
[14] Comentário enviado por wolrk em 29/04/2009 - 09:51h
Bom dia galera gostaria de uma ajuda de vcs meu Script Firewall.
Gostaria que a galera desse uma opinião sobre ele.
########################## ScriptFirewall############################
#############################################################################
# Compartilhamento da internet
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptable -t nat -A POSTROUTING -O eth1 -j MASQUERADE
######################################################################################
# Proxy transparente
iptables -t nat -A POSTROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --TO-PORT 5050
######################################################################################
# Regras de segurança
iptables -A INPUT -p icmp -- cmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m --state --state INVALID -j DROP
#######################################################################################
# Abre para interface de loopback
iptables -A INPUT -p tcp -i lo -j ACCEPT
#######################################################################################
# Abre a porta 22 (ssh) para internet:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#######################################################################################
# Dns
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
#######################################################################################
# HTTP,HTTPS, MSN, LIME WIREWIN E PROXY :
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -p tcp --dport 5050 -j ACCEPT
iptables -A INPUT -p tcp --dport 17417 -j ACCEPT
iptables -A INPUT -p tcp --dport 6346 -j ACCEPT
#######################################################################################
# Bloquear conexoes nas demais portas:
iptables -A INPUT -p tcp --syn -j DROP
iptables -A INPUT -m state --state ESTABLISHED ,RELATED -j ACCEPT
#######################################################################################
# Bloqueia as portas UDP de 0 a 1023
iptables -A INPUT -p tcp --dport 0:1023 -j DROP
#######################################################################################
Bom dia galera gostaria de uma ajuda de vcs meu Script Firewall.
Gostaria que a galera desse uma opinião sobre ele.
########################## ScriptFirewall############################
#############################################################################
# Compartilhamento da internet
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptable -t nat -A POSTROUTING -O eth1 -j MASQUERADE
######################################################################################
# Proxy transparente
iptables -t nat -A POSTROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --TO-PORT 5050
######################################################################################
# Regras de segurança
iptables -A INPUT -p icmp -- cmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m --state --state INVALID -j DROP
#######################################################################################
# Abre para interface de loopback
iptables -A INPUT -p tcp -i lo -j ACCEPT
#######################################################################################
# Abre a porta 22 (ssh) para internet:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#######################################################################################
# Dns
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
#######################################################################################
# HTTP,HTTPS, MSN, LIME WIREWIN E PROXY :
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -p tcp --dport 5050 -j ACCEPT
iptables -A INPUT -p tcp --dport 17417 -j ACCEPT
iptables -A INPUT -p tcp --dport 6346 -j ACCEPT
#######################################################################################
# Bloquear conexoes nas demais portas:
iptables -A INPUT -p tcp --syn -j DROP
iptables -A INPUT -m state --state ESTABLISHED ,RELATED -j ACCEPT
#######################################################################################
# Bloqueia as portas UDP de 0 a 1023
iptables -A INPUT -p tcp --dport 0:1023 -j DROP
#######################################################################################
[15] Comentário enviado por removido em 01/08/2009 - 22:19h
Cara oq significa o $1 em $IPTABLES -A INPUT -p tcp --dport $i -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport $i -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport $i -j ACCEPT
Cara oq significa o $1 em $IPTABLES -A INPUT -p tcp --dport $i -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport $i -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport $i -j ACCEPT
[16] Comentário enviado por carlosparisotto em 24/05/2010 - 16:44h
Cara, muito show o script. Meus parabéns, ajudou bastante a melhorar
o meu script de firewall.
Abraço!!
Cara, muito show o script. Meus parabéns, ajudou bastante a melhorar
o meu script de firewall.
Abraço!!
[17] Comentário enviado por paulo.perina em 24/05/2010 - 19:25h
e ai galera td bem? esse script do marcelo parece ser muito bom show ms mas to com um problema aq tenho um servidor ubuntu rodando samba dhcp bind squid como proxy trasnparent e toda vez q rodo esse script de firewall minha rede e minha net para até o servidor fica sem net fiz td igual ao tutorial acima mas msm assim nun funcionou sera q alguem pode me ajudar???vlw
e ai galera td bem? esse script do marcelo parece ser muito bom show ms mas to com um problema aq tenho um servidor ubuntu rodando samba dhcp bind squid como proxy trasnparent e toda vez q rodo esse script de firewall minha rede e minha net para até o servidor fica sem net fiz td igual ao tutorial acima mas msm assim nun funcionou sera q alguem pode me ajudar???vlw
[18] Comentário enviado por paulo.perina em 27/05/2010 - 09:03h
e ai galera td blz? consegui fazer o script funcionar mas agora ta aparecendo uma mensagem assim not found.4.4: host/network e é sempre nos sites bloqueados será q alguem pode me ajudar??? vlw
e ai galera td blz? consegui fazer o script funcionar mas agora ta aparecendo uma mensagem assim not found.4.4: host/network e é sempre nos sites bloqueados será q alguem pode me ajudar??? vlw
[19] Comentário enviado por GustavinhoO em 02/05/2011 - 11:09h
estou com um problema!
usando esse script de firewall, não estou conseguindo compartilhar conexão.
quando compartilho normal funciona.
outra coisa, quando coloco regra no firewall liberando as portas 80,22,443,53,1433
depois fecho o resto das portas.
ai é que ta, se fecho o resto das portas fico sem conexão.
oque pode ser?
estou com um problema!
usando esse script de firewall, não estou conseguindo compartilhar conexão.
quando compartilho normal funciona.
outra coisa, quando coloco regra no firewall liberando as portas 80,22,443,53,1433
depois fecho o resto das portas.
ai é que ta, se fecho o resto das portas fico sem conexão.
oque pode ser?
[20] Comentário enviado por marcelinoti em 17/07/2012 - 18:01h
Fala galera!
Entao, fiz tudo tudo que explicou porem só nao estou conseguindo é acessa meu servidor de fora (SERVER 2008), coloquei a porta 3389, em, Exemplo do arquivo "/etc/configuracao_personalizada/listaderedirecionamento". Alguem pode me ajudar?
Fala galera!
Entao, fiz tudo tudo que explicou porem só nao estou conseguindo é acessa meu servidor de fora (SERVER 2008), coloquei a porta 3389, em, Exemplo do arquivo "/etc/configuracao_personalizada/listaderedirecionamento". Alguem pode me ajudar?
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
E a guerra contra bots continua
Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário
Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).
Dicas
Instalando o FreeOffice no LMDE 6
Anki: Remover Tags de Estilo HTML de Todas as Cartas
Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE
Tópicos
Gentoo bane contribuições de código feitas com IA (2)
Top 10 do mês
-
Xerxes
1° lugar - 69.048 pts -
Fábio Berbert de Paula
2° lugar - 56.988 pts -
Clodoaldo Santos
3° lugar - 42.716 pts -
Buckminster
4° lugar - 22.553 pts -
Sidnei Serra
5° lugar - 21.949 pts -
Alberto Federman Neto.
6° lugar - 17.063 pts -
Daniel Lara Souza
7° lugar - 17.030 pts -
Mauricio Ferrari
8° lugar - 16.945 pts -
Diego Mendes Rodrigues
9° lugar - 15.720 pts -
edps
10° lugar - 13.963 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
