Re: firewall
> BOM DIA A TODOS
BOM DIA
>
> Se possivel gostaria que voces olha-se este firewall
> que tenho na maquina e desse palpites para eu melhorar
> ou se estou fazendo a coisa certa.
>
>
> #!/bin/sh
>
> #Limpa todas as regras anteriores do iptables
> #e bloqueia todo o tráfego temporariamente.
> iptables -F
> iptables -P OUTPUT DROP
> iptables -P INPUT DROP
> iptables -P FORWARD DROP
>
> #Seta as politicas padrão
> iptables -P INPUT DROP
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD DROP
>
Bom, veja bem, se vc quer limpar as regras anteriores, deve limpa-la em
todas as tabelas. A regra para limpar deve ser assim
iptables -F
iptables -t NAT -F
iptables -t MANGLE -F
Assim fica tudo limpo
Depois, vc fez as regras de policiamento padrão e logo após mudou... isso
não faz muito sentido... defina o policiamento padrão e coloque nuam linha
só... olhe o output por exemplo, vc fez umDROP e logo após um ACCEPT... ele
vai aceitar tudo dessa forma... se for pra aceitar mesmo, simplesmente
coloque ACCEPT
> #Habilita IP_Forwarding
> echo "1" > /proc/sys/net/ipv4/ip_forward
>
blz
> #Proteção contra IP Spoofing
> iptables -A FORWARD -i ppp0 -s 192.168.0.0/16 -j DROP
> iptables -A FORWARD -i ppp0 -s 172.16.0.0/12 -j DROP
> iptables -A FORWARD -i ppp0 -s 10.0.0.0/8 -j DROP
> iptables -A INPUT -i ppp0 -s 192.168.0.0/16 -j DROP
> iptables -A INPUT -i ppp0 -s 172.16.0.0/12 -j DROP
> iptables -A INPUT -i ppp0 -s 10.0.0.0/8 -j DROP
>
Vc quebrou a classe 192.168.0.0 mesmo? Ou foi sem querer? se não me engano,
pessoal da lista por favor corrija se estiver errado, pra bloqeuar o ip
spoofing da classe 192.168.0.0 completa vc deve deixar /24
> #Abre para a interface de LoopBack.
> #esta regra é essencial para o KDE e outros programas gráficos
> #funcionem adequadamente.
> iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
>
> # Abre porta 22 do servidor SSH para acesso remoto
> iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT
>
Certo
> #Proteções diversas contra PortScanners, Ping of Death, ataques DoS,
etc...
> iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
> 1/s -j ACCEPT
> iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
> --limit 1/s -j ACCEPT
> iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
> iptables -A FORWARD -m unclean -j DROP
>
Essas regras vc pegou prontas certo? não me lembro de cabeça se é isso
mesmo, mas no google vc acha fácil pra conferir
> #Acesso de fora para rede local tendo classe de ip 192.168.0.0
> #iptables -t nat -A PREROUTING -i ppp0 -p tcp -d eth1 --dport 22 -j DNAT
> --to-destination 192.168.0.2:22
>
OK
> #Manter o estado das conexões da maquina local e da rede interna
> iptables -A OUTPUT -m state --state NEW -o ppp0 -j ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A FORWARD -m state --state NEW -o ppp0 -j ACCEPT
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
Se não me engano, vc não precisa dessa regra no FORWARD... tenta sem e ve se
funciona....
> #Macarando conexões da rede se sua conexao estiver na interface
> #basta trocar ppp0 por eth0
> #a interface ppp0 é usada tb em dial-up, entao neste caso
> #troque o eth0 por ppp0
> iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
>
tá... vc mesmo colocou a explicação antes...
> #Em muitas distribuições com o Kernel 2.6 é necessário usar um quarto
> comando ao #compartilhar uma conexão ADSL. Este comando ajusta os
> tamanhos dos pacotes recebidos do #modem ao MTU usado na rede local.
> iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -m \
> tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
>
> Atenciosamente
> Carlos
>
É isso aí Carlos, foram minhas sugestões, aceite se achar conveniente...
espero ter ajudado
[]´s
Daniel
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
>
Reply to:
- References:
- firewall
- From: debopen <debopen@gmail.com>