Bom galera gostaria que vcs criticassem meu
script de firewall.
Vou explicar o que eu quis fazer:
Nesse servidor roda
qmail(+acessorios)+apache+squid. Quis fazê-lo o mais restritivo possível e ir
liberando somente o necessário (25, 110, 80 para entrantes e mascarar somente
algumas para a rede)
Segue o script:
------------ INICIO DO SCRIPT
##### POLICY #####
# Tabela filter
iptables
-t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t
filter -P FORWARD DROP
# Tabela nat
iptables -t nat -P PREROUTING
ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING
ACCEPT
##### Ativamos o redirecionamento de pacotes
(requerido para NAT) #####
echo "1"
>/proc/sys/net/ipv4/ip_forward
##### Abaixar o limite de conexoes
simultaneas
echo "2048" >
/proc/sys/net/ipv4/ip_conntrack_max
###############################################################
#
Tabela
filter
#
###############################################################
#####
Chain INPUT #####
# Criamos um chain que será usado para tratar o tráfego
vindo da Internet
iptables -N int-input
# Aceita todo o tráfego vindo
do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT
# Todo
tráfego vindo da rede interna também é aceito
iptables -A INPUT -s
192.168.0.0/24 -i eth0 -j ACCEPT
# Conexões vindas da interface
eth1 são tratadas pelo chain int-input
iptables -A INPUT -i eth1 -j
int-input
# Outras conex sao bloqueadas
iptables -A
INPUT -j DROP
##### Chain FORWARD ####
# Permite
redirecionamento de conexões entre as interfaces locais
# especificadas
abaixo. Qualquer tráfego vindo/indo para outras
# interfaces será bloqueado
neste passo.
iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j
ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j
ACCEPT
iptables -A FORWARD -j DROP
##### Chain int-input ####
# Aceitamos todas
as mensagens icmp vindas de eth1 com certa limitação
# O tráfego de pacotes
icmp que superar este limite será bloqueado
# pela regra "...!
ESTABLISHED,RELATED -j DROP" no final do
# chain int-input
iptables -A
int-input -p icmp -j ACCEPT
# Primeiro aceitamos o
tráfego vindo da Internet para as portas 80, 110, 25
iptables -A int-input
-p tcp --dport 80 -j ACCEPT
iptables -A int-input -p tcp --dport 110 -j
ACCEPT
iptables -A int-input -p tcp --dport 25 -j ACCEPT
# Bloqueia qualquer tentativa de nova conexão de
fora para esta máquina
iptables -A int-input -m state --state !
ESTABLISHED,RELATED -j DROP
# Aceita outros tipos de trafego
iptables -A
int-input -j ACCEPT
#######################################################
#
Tabela
nat
#
#######################################################
#
Redir do SQUID
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
REDIRECT --to-port 3128
# Ativando mascaramento para determinadas portas
iptables -t nat -A
POSTROUTING -s 192.168.0.0/24 -d 0/0 -p icmp -j MASQUERADE
iptables -t nat
-A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 110 -j
MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp
--dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24
-d 0/0 -p tcp --dport 80 -j MASQUERADE
iptables -t nat -A POSTROUTING -s
192.168.0.0/24 -d 0/0 -p tcp --dport 3128 -j ACCEPT
iptables -t nat -A
POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j
MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp
--dport 53 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d
0/0 -p tcp --dport https -j MASQUERADE
------------------ FIM DO SCRIPT
Minhas dúvidas:
1) A policy [iptables -t nat -P POSTROUTING ACCEPT ] deixa o
firewall muito peneira? tentei deixar em DROP e liberar somente algumas
coisas mas parecia que dava conflitos de regras.
2) Por que, se eu liberei somente algumas portas para masquerade, o msn
continua funcionando? (pensei que talvez o maldito funcione em porta 80, caso
nao encontre sua porta específica)
3) O firewall está realmente restritivo? Ou está uma merda? hehe
Não tenho muita experiência em segurança, mas li muito a respeito pra
tentar fazer o melhor possível (guia foca - iptables, google com vários
exemplos de scripts) porém, precisava da opinião de vocês e de uma ajuda pra
dar uma melhorada já que muitos têm uma experiência grande nisso.
Obrigado!!