Bom dia ... Se o Sr. considera difícil o uso direto do iptables, o Sr. poderia considerar um front-end ! Eu uso o shorewall :
http://shorewall.net/ http://people.connexer.com/~roberto/debian/ um simples "apt-get install shorewall-perl" e já estará instalado . E para manter um número muito grande de regras, ele é uma verdadeira mão na massa !!! Fábio Rabelo Em 25 de abril de 2012 22:56, Moksha Tux <[email protected]> escreveu: > Boa noite queridos amigos! > > Estou construindo um roteador com iptables para o trabalho mas antes estou > colhendo bastante informações pois não considero esta ferramenta fácil mas > já estou tendo algum exito a miha dúvida é a seguinte... por ser um > roteador devo prestar atenção nas regras INPUT que no caso seria > relacionado ao próprio host (sistema) e FORWARD que trataria dos pacotes > vão "atravessar" este host, sendo assim, as regras de proteção eu devo > implementá-las tanto em INPUT quanto em FARWARD ex: > > *#====================== > # REGRAS PARA PROTEÇÃO > #====================== > ## INPUT > > # CONTRA PING DA MORTE > iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j > ACCEPT > > # ACEITANDO CONEXÕES > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > > # CONTRA PORTCAN OCULTO > iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit > 1/s -j ACCEPT > iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP > > # ACEITANDO CONEXÕES > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > > ************************************************************************************************ > ## FORWARD > > # CONTRA PING DA MORTE > iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s > -j ACCEPT > > # ACEITANDO CONEXÕES* * > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > > # CONTRA PORTCAN OCULTO* * > iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit > --limit 1/s -j ACCEPT > iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j DROP > > > # ACEITANDO CONEXÕES* * > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > > **#============================== > # FIM DAS REGRAS PARA PROTEÇÃO > #==============================* > * > * > Estaria eu tendo uma dúvida relevante ou simplesmente viajando > literalmente na maionese pergunto isto pois concluí que existe a proteção > tanto para o host quanto para a rede. Agradeço desde já que puder me > orientar a respeito. Grande abraço, > > Moksha > >
