[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Iptables: meu script (e algumas dúvidas)

Bom galera gostaria que vcs criticassem meu script de firewall.
Vou explicar o que eu quis fazer:
Nesse servidor roda qmail(+acessorios)+apache+squid. Quis fazê-lo o mais restritivo possível e ir liberando somente o necessário (25, 110, 80 para entrantes e mascarar somente algumas para a rede)
Segue o script:
 
 
------------ INICIO DO SCRIPT
 
##### POLICY #####
# Tabela filter
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
# Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
 
##### Ativamos o redirecionamento de pacotes (requerido para NAT) #####
echo "1" >/proc/sys/net/ipv4/ip_forward
 
##### Abaixar o limite de conexoes simultaneas
echo "2048" > /proc/sys/net/ipv4/ip_conntrack_max
 
###############################################################
#                      Tabela filter                          #
###############################################################
##### Chain INPUT #####
# Criamos um chain que será usado para tratar o tráfego vindo da Internet
iptables -N int-input
# Aceita todo o tráfego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT
# Todo tráfego vindo da rede interna também é aceito
iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT
 
# Conexões vindas da interface eth1 são tratadas pelo chain int-input
iptables -A INPUT -i eth1 -j int-input
 
# Outras conex sao bloqueadas
iptables -A INPUT -j DROP
 
##### Chain FORWARD ####
# Permite redirecionamento de conexões entre as interfaces locais
# especificadas abaixo. Qualquer tráfego vindo/indo para outras
# interfaces será bloqueado neste passo.
iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -j DROP
 
##### Chain int-input ####
# Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação
# O tráfego de pacotes icmp que superar este limite será bloqueado
# pela regra "...! ESTABLISHED,RELATED -j DROP" no final do
# chain int-input
iptables -A int-input -p icmp -j ACCEPT    
# Primeiro aceitamos o tráfego vindo da Internet para as portas 80, 110, 25
iptables -A int-input -p tcp --dport 80 -j ACCEPT
iptables -A int-input -p tcp --dport 110 -j ACCEPT
iptables -A int-input -p tcp --dport 25 -j ACCEPT
 
# Bloqueia qualquer tentativa de nova conexão de fora para esta máquina
iptables -A int-input -m state --state ! ESTABLISHED,RELATED -j DROP
 
# Aceita outros tipos de trafego
iptables -A int-input -j ACCEPT
 

#######################################################
#                   Tabela nat                        #
#######################################################
 
# Redir do SQUID
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
 
# Ativando mascaramento para determinadas portas
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p icmp -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 80 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 3128 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport https -j MASQUERADE
 
------------------ FIM DO SCRIPT
 
 
Minhas dúvidas:
1) A policy [iptables -t nat -P POSTROUTING ACCEPT ] deixa o firewall muito peneira? tentei deixar em DROP e liberar somente algumas coisas mas parecia que dava conflitos de regras.
2) Por que, se eu liberei somente algumas portas para masquerade, o msn continua funcionando? (pensei que talvez o maldito funcione em porta 80, caso nao encontre sua porta específica)
3) O firewall está realmente restritivo? Ou está uma merda? hehe
 
Não tenho muita experiência em segurança, mas li muito a respeito pra tentar fazer o melhor possível (guia foca - iptables, google com vários exemplos de scripts) porém, precisava da opinião de vocês e de uma ajuda pra dar uma melhorada já que muitos têm uma experiência grande nisso.
 
 
Obrigado!!
Reply to: