Firewall para o dia a dia

H4ck-Du5t

Em ambiente corporativo devemos nos preocupar bastante com a segurança da nossa rede interna e os dados que nela trafegam, não podemos vacilar e nem "dar mole" pra não ser vítima de um ataque e acabar "dando empada pro gato", como se diz aqui no meu trabalho. Bem, vou abordar aqui um firewall simples com diversos bloqueios e redirecionamentos para serviços especiais internos.

[ Hits: 36.911 ]

Por: Eliseu Ribeiro Cherene Viana em 09/08/2007

0 0
Denuncie   Favoritos   Indicar   Impressora

Introdução



Creio eu que o arquivo esteja bem explicado e nele contemos as proteções mais necessárias para uma rede que requer segurança, como: IP Spoofing, Flood, Ping da Morte, Trojans, Worms, port Scaners e etc. Mas digo que toda proteção ainda não é o bastante.

Temos também redirecionamentos de conexões vindos da rede externa e encaminhamentos de portas de determinados programas que podem ser ajustados conforme as suas necessidades, por exemplo: você quer liberar a porta 9090 apenas para um IP na rede, ou você deseja que todas as conexões vindas de fora na porta 80 sejam encaminhadas para o seu servidor Web.

É isso aí, espero contribuir para uma utilização de forma eficaz..

Disposição do Firewall

Teremos o nosso Firewall divido em 3 (três) arquivos, um para limpeza de todas as regras chamado de "limpa_regras.sh", outro para carregar os módulos que iremos utilizar chamado de "modulos.sh" e o "firewall.sh", que é o próprio dito.

# vim limpa_regras.sh

#!/bin/bash
# Script para limpar regras do Iptables 1.0
# Criado por Eliseu Cherene eliseurcv@hotmail.com www.eliseucherene.com
# Dia 30/07/2007 2:20 AM

echo "Limpando Regras do Firewall..."

/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -F
/sbin/iptables -t mangle -X

# vim modulos.sh

#!/bin/bash
# Script de Execução de Módulos Iptables 1.0
# Criado por Eliseu Cherene eliseurcv@hotmail.com www.eliseucherene.com
# Dia 30/07/2007 2:20 AM

echo "1" > /proc/sys/net/ipv4/ip_forward

echo "Carregando Módulos..."

/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_mangle
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ipt_LOG

    Próxima página

Páginas do artigo
   1. Introdução
   2. O firewall (firewall.sh)
Outros artigos deste autor

Samba standalone server com antivírus

Implementando um servidor DHCP

Samba como controlador de domínio no Ubuntu

Slackware como controlador de domínio

Leitura recomendada

A teoria por trás do firewall

Entendendo a teoria do iptables

Firewall/Proxy (solução completa)

Iptables em modo gráfico

Abrindo e fechando portas com o BlockOutTraffic

  
Comentários
[1] Comentário enviado por y2h4ck em 09/08/2007 - 09:47h

Entro no mérito de "Artigo/Dica" ?

Não ... :P

[]s

[2] Comentário enviado por dtux em 09/08/2007 - 13:01h

Tem q arrumar algumas regras do ultimo scritp, pois estão com argumento repetido e falatando parametro
ex
iptables -A TRINOO -m limit -limit 15/m -j LOG -log-log-level 6 -log-prefix "FIREWALL: trinoo:"

Possui dois erros -j LOG -log-log-level, parametro log repetido duas vezes
e limit -limit 15/m , tem q ser limit --limit 15/m

[3] Comentário enviado por elgio em 09/08/2007 - 14:42h

Pois é.
Eu acho muito complicado escrever um script de firewall genérico para o dia a dia... Os usuários instalam ele e nem sabem o que estão fazendo!
Ou se aprende a construir o seu, realmente personalizado para tuas necessidades ou se usa uma interface gráfica.

Por exemplo: para que tanta regra se o que eu tenho é um desktop? Nada do FORWARD tem sentido! Pra que aceitar SYN se o meu desktop não é servidor de nada? Ou mais, ele é servidor de HTTP, então para que aceitar SYN em outros serviços como SSH?

Eu sou contra scripts genéricos de firewall, mas cada um cada um :-D
Veja, por exemplo, estes tópicos de discussão:
http://www.vivaolinux.com.br/comunidades/verTopico.php?codigo=40&codtopico=5402

[4] Comentário enviado por srf em 09/08/2007 - 15:18h

Meus parabens muito bom seu artigo...

[5] Comentário enviado por maniac em 10/08/2007 - 11:22h

Muito bom

[6] Comentário enviado por DondaJr em 10/08/2007 - 19:16h

Acho que esse firewall vale mais para aprendizado do que para uso em si.!

Porém, tem que se observar bastante,já que há erros de parametros

[7] Comentário enviado por jgama em 11/08/2007 - 19:08h

sem dizer que a regra unclean não é mais aceita no kernel 2.6

Abraço

[8] Comentário enviado por fmpfmp em 13/08/2007 - 15:36h

Nada demais, existem milhares de scripts de iptables na net.

[9] Comentário enviado por removido em 17/10/2009 - 11:27h

Bem Explicado seu Script. Parabens

[10] Comentário enviado por removido em 17/10/2009 - 22:40h

Firewall para o Dia a Dia Certamente, Otimo.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Porque Gentoo semi-binário atualmente (desabafo)

A combinação de WMs com compositores feitos por fora

Audacious, VLC e QMMP - que saudades do XMMS

SUNO OpenSource: Crie um servidor de gerador de música com IA

Instalação Completa e Configuração Básica do Void Linux

Dicas

Warsaw para Banco do Brasil no Archlinux

Capturando senha LDAP em texto claro e como proteger usando TLS no Samba 4

Mais uma pós Instalação Arch Linux

Plantar o Singrante Google Chrome no Void Linux

Lançando Java e Netbeans no Linux

Tópicos

Curso do mouse parou (5)

Preciso de ajuda com minha pesquisa sobre o Linux Mint (2)

Configuração resolução tela no zorn os 18 (1)

Configuração resolução tela no zorn os 18 (1)

Configuração resolução tela no zorn os 18 (1)

Top 10 do mês

Scripts

[Shell Script] Renomador em lote feito em Zenity

[C/C++] Jogo do Labirinto no Terminal

[Shell Script] Status do teclado em qualquer ambiente gráfico com system tray no Linux

[Shell Script] Zemblema

[Shell Script] Flatpak manager

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: