#----PROTEGE CONTRA SYN-FLOOD------
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
#----CONTRA TRACEROUTE-----
echo 0 >
/proc/sys/net/ipv4/conf/all/accept_source_route
#----PROTEGE CONTRA RESPONSES BOGUS-----
echo 1 >
/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#----NAO RESPONDE A PING------
#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
#----DESATIVA O PING BROADCAST-----
echo 1 >
/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#----IMPEDE ALTERACAO DE ROTAS----
echo 0 >
/proc/sys/net/ipv4/conf/all/accept_redirects
#----DESCARTA PACOTES MAL FORMADOS----
$IPTABLES -A INPUT -m state --state INVALID -j DROP
#-----BLOQUEANDO TRACEROUTE------
$IPTABLES -A INPUT -p udp -s 0/0 -i $EXT --dport
33435:33525 -j DROP
# Habilitar verificacao de rota de origem (Protecao
p/ IP Spoofing)
for RP in /proc/sys/net/ipv4/conf/*/rp_filter ; do
echo 1 > $RP ; done
#----SETA A POLITICA PADRAO DO FIREWALL----
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
#----LIBERA A PORTA 7022 E LOGA OS ACESSOS NELA----
$IPTABLES -A INPUT -p tcp --dport 22 -j LOG
--log-prefix "FIREWALL SSH "
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
#----LIBERA A PORTA 80 APENAS PARA A REDE INTERNA E
LOGA OS ACESSOS NELA----
$IPTABLES -A INPUT -p tcp --dport 80 -j LOG
--log-prefix "APACHE "
$IPTABLES -A INPUT -p tcp -s $REDE --dport 80 -j
ACCEPT
#----LIBERA A PORTA 2564 E LOGA OS ACESSOS NELA----
$IPTABLES -A INPUT -p udp --dport 1194 -j LOG
--log-prefix "OPENVPN "
$IPTABLES -A INPUT -p udp --dport 1194 -j ACCEPT
#----LIMITA O PING PARA UMA RESPOSTA POR SEGUNDO----
$IPTABLES -A INPUT -p icmp --icmp-type echo-request
-m limit --limit 1/s -j ACCEPT
#----PERMITE PACOTES DE CONEXOES JA INICIADAS-----
$IPTABLES -A FORWARD -m state --state
ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state
ESTABLISHED,RELATED -j ACCEPT
#----LOGA OS PACOTES MORTOS POR INATIVIDADE----
$IPTABLES -A FORWARD -m limit --limit 3/minute
--limit-burst 3 -j LOG
#----PROTECAO CONTRA ATAQUES DO TIPO
SYN-FLOOD,DOS,ETC----
$IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j
ACCEPT
#----PROTECAO CONTRA PACOTES QUE PODEM PROCURAR E
OBTER INFORMACOES DA REDE INTERNA---
$IPTABLES -A FORWARD --protocol tcp --tcp-flags ALL
SYN,ACK -j DROP
#----PRECAUCAO CONTRA FALHAS NO NAT----
$IPTABLES -A OUTPUT -m state -p icmp --state INVALID
-j DROP
$IPTABLES -A INPUT -p udp -s 208.67.222.222 -j
ACCEPT
$IPTABLES -A FORWARD -p udp -d 208.67.222.222 -j
ACCEPT
$IPTABLES -A INPUT -p udp -s 208.67.220.220 -j
ACCEPT
$IPTABLES -A FORWARD -p udp -d 208.67.220.220 -j
ACCEPT
$IPTABLES -A FORWARD -p udp --dport 53 -j ACCEPT
#$IPTABLES -A FORWARD -p tcp --dport 53 -j ACCEPT
#---LIBERA A PORTA NTP---
$IPTABLES -A FORWARD -p udp --dport 123 -j ACCEPT
#----ABRE PARA A REDE LOCAL
#$IPTABLES -A INPUT -p tcp --syn -s $REDE -j ACCEPT
#---LIBERA PARA A REDE INTERNA----
$IPTABLES -A INPUT -s $REDE -j ACCEPT
$IPTABLES -A FORWARD -s $REDE -j ACCEPT
$IPTABLES -A FORWARD -d $REDE -j ACCEPT
#---LIBERA O LOCALHOST----
$IPTABLES -A INPUT -s 127.0.0.1/255.0.0.0
-j ACCEPT
#----FECHA O RESTO DA REDE----
$IPTABLES -A INPUT -p tcp -j DROP
O problema é que as requisições chegam na porta 3128 e
nao na 80 então no firewall nao consegui fazer isso
Quando eu tento acessar o site ele me retorna ou TCP/000
ou TCP/304
Obrigado
Patrick
Em 04-06-2013 08:30, Alexandre Borges Souza
escreveu:
Fala, Patrick
Tens como passar-nos a configuração do squid e
firewall? Assim podemos lhe ajudar.