(linux-br)[IPTABLES FIREWALL] Modelo de Firewall

[Moacir Cardoso]

#!/bin/sh

#Detecta o IP da Internet
NET=`ifconfig ppp0 | grep inet | cut -f 13 -d " "`/32
#Net Interface
IF=ppp0
#iptables
IPT=/usr/sbin/iptables


$IPT -N LR
$IPT -A LR -j LOG
$IPT -A LR -j DROP
$IPT -P INPUT DROP

STOP=LR

#Esta regra barra qualquer tentativa de conex�o vindo da internet
$IPT -A INPUT -j $STOP

#Aqui serao adicionados os IPs que voce quer liberar de sua maquina

#$IPT -t filter -A INPUT -s IP/32 -j ACCEPT

#Ligar algumas prote�oes do kernel

if [ -e /proc/sys/net/ipv4/tcp_syncookies ]
 then
  echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ]
 then
  echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

if [ -e /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts ]
 then
  echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
fi

#Alguns servi�os que voce possa querer liberar o acesso serao adicionados aqui

#$IPT -t filter -A INPUT -p tcp -s 0/0 -d $NET --dport 21 -i $IF -j ACCEPT 
#ftp
$IPT -t filter -A INPUT -p tcp -s 0/0 -d $NET --dport 22 -i $IF -j ACCEPT #ssh
$IPT -t filter -A INPUT -p tcp -s 0/0 -d $NET --dport 23 -i $IF -j ACCEPT 
#telnet
$IPT -t filter -A INPUT -p tcp -s 0/0 -d $NET --dport 25 -i $IF -j ACCEPT 
#smtp
#$IPT -t filter -A INPUT -p tcp -s 0/0 -d $NET --dport 80 -i $IF -j ACCEPT 
#www
$IPT -t filter -A INPUT -p tcp -s 0/0 -d $NET --dport 110 -i $IF -j ACCEPT 
#pop3

#Permitir entrada de ICMP

$IPT -t filter -A INPUT -p icmp -s $NET -d 0/0 -j ACCEPT

-----------------------------------------------------------------------

Neste Script eu barro todas as portas e libero somente o que vou precisar. 
Neste caso estou liberando somente as portas POP3, SMTP, TELNET e SSH pois 
aqui nesta empresa a internet s� � utilizada para navega��o, envio e 
recebimento de e-mails. Valhe resaltar que servi�os como ICQ, MSN e tal n�o 
v�o funcionar pois estes servi�os utilizam portas aleat�rias ent�o n�o tem 
como deixar uma porta aberta para eles.

Gostaria que voc�s comentassem sobre o que acharam do script e sugest�es 
tamb�m ser�o de muita valia.

um abra�o pra todos,

bye!

Moa :-)

---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br

Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html