Saudacoes caros integrantes da lista. Estou usando o RH9 com o iptables da seguinte forma
#================================== Echo Iniciando o servico BIND (DNS) /etc/init.d/named start #=================================== #================================== echo Iniciando IP FORWARD echo 1 > /proc/sys/net/ipv4/ip_forward $================================== #================================== echo Iniciando agora regras de IPTABLES echo #------------------------------------------------------- echo Flash ALL iptables -F iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT iptables -F -t nat iptables -X echo #-------------------------------------------------------- #-------------------------------------------------------- echo Bloqueando Ping iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP iptables -A INPUT -p icmp -j REJECT --reject-with icmp-net-unreachable #-------------------------------------------------------- #-------------------------------------------------------- echo Bloqueando Ping of Death iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT echo #-------------------------------------------------------- #-------------------------------------------------------- echo Bloqueando ataques SYN FLOOD iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT echo #-------------------------------------------------------- #-------------------------------------------------------- echo Bloqueando Port Scanners Avancados iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/2 -j ACCEPT #-------------------------------------------------------- #-------------------------------------------------------- echo Bloqueando pacotes danificados ou suspeitos iptables -A FORWARD -m unclean -j DROP #-------------------------------------------------------- #-------------------------------------------------------- echo Bloqueando IP SPOOFING iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j DROP iptables -A INPUT -s 172.16.0.0./16 -i eth0 -j DROP iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP #-------------------------------------------------------- #-------------------------------------------------------- echo Bloqueando e logando portas FTP iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix # esta linha foi criada pois havia conexoes fora pra dentro, na maquina Firewall iptables -A INPUT -p tcp --dport 21 -j DROP iptablest -A FORWARD -p tcp --dport 21 -j LOG --log-prefix #esta linha foi comentada pois barrava acessos internos a externos via fTP # iptables -A FORWARD -p tcp --dport 21 -j DROP #-------------------------------------------------------- #-------------------------------------------------------- echo bloqueando e logando BO iptables -A INPUT -p tcp --dport 12345 -j LOG --log-prefix iptables -A INPUT -p tcp --dport 12345 -j DROP #-------------------------------------------------------- #-------------------------------------------------------- echo Politicas padroes a serem ativadas DEPOIS q estiver com a lista de end # iptables -P INPUT DROP # iptables -P OUTPUT ACCEPT # iptables -P FORWARD ACCEPT #-------------------------------------------------------- #-------------------------------------------------------- echo Ativando NAT iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to (ip valido) #-------------------------------------------------------- #-------------------------------------------------------- echo Roteamento de portas para 2 server iptables -t nat -A PREROUTING -p tcp --dport XXXX -j DNAT --to 192.168.0.X:XXXX iptables -t nat -A PREROUTING -p tcp --dport XXXX -j DNAT --to 192.168.0.X:XXXX iptables -t nat -A PREROUTING -p tcp --dport XXXX -j DNAT --to 192.168.0.X:XXXX iptables -t nat -A PREROUTING -p tcp --dport XXXX -j DNAT --to 192.168.0.X:XXXX #-------------------------------------------------------- Bom, como sou iniciante em Linux, antes fazia isso via Windows, mas fiquei abismado com a velocidade e segurabilidade q o sistema Linux me proporcionou, gostaria de voces a opiniao e sugestoes de como se pode melhorar estas funcoes de Firewall Adicionarei logo os bloqueios a p2p, porem tenho perguntas: - Porque o servico de IRC das estacoes nao funciona mais? Acredito q seja na 3 linha, sobre o bloqueio de pings. Porem, como eu ativei o bloqueio para todos os pings, podem existir PINGS beneficos? Entre um limit de tempo, me parece q alguns routers utilizam essa forma. - Este script esta funcionando normalmente, mas alguem tem mais alguma sugestao? no bloqueio de port scanners, eh isso mesmo? como testaria-lo? - Na regre de bloqueio de ataque (iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j DROP) apos um tempo de uso aparece qdo dou um $iptables -L -vn uma qte de bytes la, isso sao ataques SYN FLOOD barrados? Grato a ajuda de todos Marcos Nomura --------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
