pessoal, coloquei um server com adsl, utilizando um modem bridge, criei um rc.firewall para dar uma seguran�a na maquina, tenho um samba nela e tambem um OpenVpn... gostaria q alguem desse uma dica se esta correto minhas regras...
ou se alguem quiser dar uma dica, mais simples... valeu...abra�os Everton #!/bin/bash # Definindo as variaveis IPTABLES="/sbin/iptables" MODPROBE="/sbin/modprobe" # carregando os modulos $MODPROBE ip_tables $MODPROBE iptable_nat $MODPROBE ip_nat_ftp $MODPROBE ip_conntrack_ftp $MODPROBE ip_conntrack # limpando as tabelas $IPTABLES -F $IPTABLES -t nat -F # compartilha a web na rede interna $IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp+ -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward # libera ssh de casa $IPTABLES -A INPUT -p tcp -s xxx.xxx.xxx.xxx --dport 22 -j ACCEPT # bloqueia acesso ssh, ftp de fora e grava no log $IPTABLES -A INPUT -p tcp --dport 22 -j LOG --log-prefix "IN: SSH " $IPTABLES -A INPUT -p tcp --dport 22 -j REJECT $IPTABLES -A INPUT -p tcp --dport 23 -j LOG --log-prefix "IN: Telnet " $IPTABLES -A INPUT -p tcp --dport 23 -j REJECT # bloqueia acesso netbios de fora e da rede interna para fora $IPTABLES -A INPUT -p tcp --sport 137:139 -i ppp+ -j DROP $IPTABLES -A INPUT -p udp --sport 137:139 -i ppp+ -j DROP $IPTABLES -A FORWARD -p tcp --sport 137:139 -o ppp+ -j DROP $IPTABLES -A FORWARD -p udp --sport 137:139 -o ppp+ -j DROP $IPTABLES -A OUTPUT -p tcp --sport 137:139 -o ppp+ -j DROP $IPTABLES -A OUTPUT -p udp --sport 137:139 -o ppp+ -j DROP # Protege contra os "Ping of Death" $IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # Protege contra os ataques do tipo "Syn-flood, DoS, etc" $IPTABLES -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT # Permitir repassamento (NAT,DNAT,SNAT) de pacotes etabilizados e os relatados ... $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Logar os pacotes mortos por inatividade ... $IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG # Protege contra port scanners avancados (Ex.: nmap) $IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT # Protege contra pacotes que podem procurar e obter informacoes da rede interna ... $IPTABLES -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DROP # Protege contra todos os pacotes danificados e ou suspeitos ... $IPTABLES -A INPUT -m unclean -j DROP # Bloqueando traceroute $IPTABLES -A INPUT -p udp -s 0/0 -i ppp+ --dport 33435:33525 -j DROP # Protecoes contra ataques $IPTABLES -A INPUT -m state --state INVALID -j DROP # protecao contra bugs na traducao de nat $IPTABLES -A OUTPUT -m state -p icmp --state INVALID -j DROP --------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
