Re: RES: Iptables: meu script (e algumas dúvidas)

cara, nao manjo muito de firewall nao, mas eu droparia todas as conexões saintes e iria liberando conforme a necessidade ...

Andre N.R.S. Leite
Depto. de TI - Embalatec
andre.ti@embalatec.com.br
11 5534.0017

*******Atenção*****************
Esta mensagem pode conter informação confidencial e/ou privilegiada. Se você não for o destinatário ou a pessoa autorizada a receber esta mensagem, não pode usar, copiar ou divulgar as informações nela contidas ou tomar qualquer ação baseada nessas informações. Se você recebeu esta mensagem por engano, por favor avise imediatamente o remetente, respondendo o e-mail e em seguida apague-o. Agradecemos sua cooperação.

This message may contain confidential and/or privileged information. If you are not the addressee or authorized to receive this for the addressee, you must not use, copy, disclose or take any action based on this message or any information herein. If you have received this message in error, please advise the sender immediately by reply e-mail and delete this message. Thank you for your cooperation

-----Mensagem original-----
De: master_ [mailto:master_@ig.com.br]
Enviada em: sexta-feira, 3 de fevereiro de 2006 09:19
Para: debian-user-portuguese@lists.debian.org
Assunto: Iptables: meu script (e algumas dúvidas)

Bom galera gostaria que vcs criticassem meu script de firewall.

Vou explicar o que eu quis fazer:

Nesse servidor roda qmail(+acessorios)+apache+squid. Quis fazê-lo o mais restritivo possível e ir liberando somente o necessário (25, 110, 80 para entrantes e mascarar somente algumas para a rede)

Segue o script:

------------ INICIO DO SCRIPT

##### POLICY #####
# Tabela filter
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
# Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

##### Ativamos o redirecionamento de pacotes (requerido para NAT) #####
echo "1" >/proc/sys/net/ipv4/ip_forward

##### Abaixar o limite de conexoes simultaneas
echo "2048" > /proc/sys/net/ipv4/ip_conntrack_max

###############################################################
#                      Tabela filter                          #
###############################################################
##### Chain INPUT #####
# Criamos um chain que será usado para tratar o tráfego vindo da Internet
iptables -N int-input
# Aceita todo o tráfego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT
# Todo tráfego vindo da rede interna também é aceito
iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT

# Conexões vindas da interface eth1 são tratadas pelo chain int-input
iptables -A INPUT -i eth1 -j int-input

# Outras conex sao bloqueadas
iptables -A INPUT -j DROP

##### Chain FORWARD ####
# Permite redirecionamento de conexões entre as interfaces locais
# especificadas abaixo. Qualquer tráfego vindo/indo para outras
# interfaces será bloqueado neste passo.
iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -j DROP

##### Chain int-input ####
# Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação
# O tráfego de pacotes icmp que superar este limite será bloqueado
# pela regra "...! ESTABLISHED,RELATED -j DROP" no final do
# chain int-input
iptables -A int-input -p icmp -j ACCEPT
# Primeiro aceitamos o tráfego vindo da Internet para as portas 80, 110, 25
iptables -A int-input -p tcp --dport 80 -j ACCEPT
iptables -A int-input -p tcp --dport 110 -j ACCEPT
iptables -A int-input -p tcp --dport 25 -j ACCEPT

# Bloqueia qualquer tentativa de nova conexão de fora para esta máquina
iptables -A int-input -m state --state ! ESTABLISHED,RELATED -j DROP

# Aceita outros tipos de trafego
iptables -A int-input -j ACCEPT

#######################################################
#                   Tabela nat                        #
#######################################################

# Redir do SQUID
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Ativando mascaramento para determinadas portas
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p icmp -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 80 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 3128 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport https -j MASQUERADE

------------------ FIM DO SCRIPT

Minhas dúvidas:

1) A policy [iptables -t nat -P POSTROUTING ACCEPT ] deixa o firewall muito peneira? tentei deixar em DROP e liberar somente algumas coisas mas parecia que dava conflitos de regras.

2) Por que, se eu liberei somente algumas portas para masquerade, o msn continua funcionando? (pensei que talvez o maldito funcione em porta 80, caso nao encontre sua porta específica)

3) O firewall está realmente restritivo? Ou está uma merda? hehe

Não tenho muita experiência em segurança, mas li muito a respeito pra tentar fazer o melhor possível (guia foca - iptables, google com vários exemplos de scripts) porém, precisava da opinião de vocês e de uma ajuda pra dar uma melhorada já que muitos têm uma experiência grande nisso.

Obrigado!!