Agradeço a atenção de todos, mas como não tenho a menor idéia de como
se escreve um script para o iptables, dei um googleada e achei este
para banda larga:
============================================================================================
#
# Script Simples para Firewall com opção de proxy transparente
#
#!/bin/sh
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe iptable_filter
modprobe iptable_mangle
# Definicoes das Variaveis
# Variavel das interfaces de rede
IR0="eth0"
IR1="eth1"
# Estes são os endereços de sua rede
RINTERNA="192.168.0.0/24"
RFILIAL1="192.168.1.0/24"
RFILIAL2="192.168.2.0/24"
# Portas Altas e baixas
UP_PORTS="1024:"
D_PORTS=":1024"
##### Definição de Policiamento #####
# Tabela filter
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
# Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
##### Proteçaõ contra IP Spoofing #####
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 >$i
done
##### Ativamos o redirecionamento de pacotes (requerido para NAT)
#####
echo "1" >/proc/sys/net/ipv4/ip_forward
echo "2048" > /proc/sys/net/ipv4/ip_conntrack_max
###############################################################
# Tabela filter #
###############################################################
##### Chain INPUT #####
# Aceita todo o trafego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT
# Todo trafego vindo da rede interna e das Filiais tambem sao aceitos
iptables -A INPUT -s $RINTERNA -i $IR0 -j ACCEPT
iptables -A INPUT -s $RFILIAL1 -i $IR0 -j ACCEPT
iptables -A INPUT -s $RFILIAL2 -i $IR0 -j ACCEPT
# Liberacao de PING (ICMP) na Interface Externa com certa limitacao
iptables -A INPUT -i $IR1 -p icmp -m limit --limit 2/s -j ACCEPT
# Liberacao de Portas de Servico para interface externa
# Porta 22 (SSH)
iptables -A INPUT -i $IR1 -p tcp --sport 22 -j ACCEPT
# Liberando Portas Altas e DNS para interface externa
iptables -A INPUT -i $IR1 -p udp --sport 53 -j ACCEPT
iptables -A INPUT -i $IR1 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i $IR1 -p udp --dport $UP_PORTS -j ACCEPT
iptables -A INPUT -i $IR1 -p tcp --dport $UP_PORTS -j ACCEPT
# Qualquer outra conexao desconhecida é imediatamente registrada e
derrubada
iptables -A INPUT -j LOG --log-level 6 --log-prefix "FIREWALL: INPUT "
iptables -A INPUT -j DROP
# A tentativa de acesso externo a estes serviços serão registrados no
syslog
# do sistema e serão bloqueados regras abaixo.
iptables -A INPUT -i $IR1 -p tcp --dport 23 -j LOG --log-level 6 --log-
prefix "FIREWALL: telnet"
iptables -A INPUT -i $IR1 -p tcp --dport 110 -j LOG --log-level 6 --
log-prefix "FIREWALL: pop3 "
iptables -A INPUT -i $IR1 -p tcp --dport 113 -j LOG --log-level 6 --
log-prefix "FIREWALL: identd "
iptables -A INPUT -i $IR1 -p tcp --sport 21 -j LOG --log-level 6 --log-
prefix "FIREWALL: ftp "
iptables -A INPUT -i $IR1 -p udp --dport 111 -j LOG --log-level 6 --
log-prefix "FIREWALL: rpc"
iptables -A INPUT -i $IR1 -p tcp --dport 111 -j LOG --log-level 6 --
log-prefix "FIREWALL: rpc"
iptables -A INPUT -i $IR1 -p tcp --dport 137:139 -j LOG --log-level 6
--log-prefix "FIREWALL: samba "
iptables -A INPUT -i $IR1 -p udp --dport 137:139 -j LOG --log-level 6
--log-prefix "FIREWALL: samba "
# Bloqueia qualquer tentativa de nova conexão de fora para esta
maquina
iptables -A INPUT -i $IR1 -m state --state ! ESTABLISHED,RELATED -j
LOG --log-level 6 --log-prefix "FIREWALL: IN eth1 "
iptables -A INPUT -i $IR1 -m state --state ! ESTABLISHED,RELATED -j
DROP
# Qualquer outro tipo de trafego é aceito
iptables -A INPUT -i $IR1 -j ACCEPT
#######################################################
# Tabela nat #
#######################################################
##### Chain PREROUTING #####
# Redirecionando Porta 80 para SQUID Transparente
iptables -t nat -A PREROUTING -p tcp -i $IR0 --dport 80 -j REDIRECT --
to-port 3128
iptables -t nat -A PREROUTING -p udp -i $IR0 --dport 80 -j REDIRECT --
to-port 3128
# Masquerade (NAT)
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
===================================================================================================
Entretanto, o firewall que pretendo montar é para conexão discada com
hardmodem na ttySl que funciona perfeitamente no Slackware (aliás, foi
o único que funcionou, mesmo sendo hardmodem).
Destina a usuário doméstico com um única máquina ...
obs: a minha linha não tem suporte para banda larga, daí a
necessidade.
Aprendi no livro do Morimoto que para bloquear a porta 22 eu tenho que
por a cerquilha, como as também para desativar a placa de rede que
está inativa.
Sei também que devo slavar como rc.firewall na pasta /etc/rc.d/.
O q
On 30 jun, 14:07, "..:: Andi || Gaucho ::.." <[EMAIL PROTECTED]>
wrote:
> tu sabe como funciona um firewall?
> o firewall que o slackware usa eh o IPTABLES, eh um firewall em nivel de
> pacotes.
>
> tu tem que criar as tuas proprias regras e carregar elas...
>
> ateh+++
>
> 2008/6/26 Luiz Marins <[EMAIL PROTECTED]>:
>
>
>
>
>
> > Olá Amigos,
>
> > Assunto: FIREWALL
>
> > Estive lendo o Slackbook e o capítulo sobre sobre segurança fala sobre
> > firewall, mas não deixa claro se eu preciso montar o firewall com as opções
> > básicas que estão no livro, ou se o Slackware já carrega um firewall no
> > boot.
>
> > Queria saber de vcs:
>
> > 1) o Slackware tem firewall básico?
>
> > 2) ou não tem nada, eu teria que fazer script seguindo o Slackbook?
>
> > 3) um firewall para discada é diferente da banda larga?
>
> > Procurei no google, mas não achei nada nesse sentido que me tirasse da
> > dúvida.
>
> > No aguardo,
>
> > Obrigado
>
> --
> []'s
> ..:: Andi || Gaúcho ::..- Ocultar texto entre aspas -
>
> - Mostrar texto entre aspas -
--~--~---------~--~----~------------~-------~--~----~
GUS-BR - Grupo de Usuários de Slackware Brasil
http://www.slackwarebrasil.org/
http://groups.google.com/group/slack-users-br
-~----------~----~----~----~------~----~------~--~---
