 | Iptables comunitário |
Conheça o projeto de alguns usuários do fórum para a criação deste script, e participe! O nome já diz tudo.Angelo Valle
25/08/2004
Em 27 de Setembro de 2003 nasceu a idéia de se fazer um script "comunitário" para o Iptables. E deu certo!
Mas como isso funciona?
Através do Fórum GdH (http://forumgdh.net) alguns usuários enviaram suas edições para a criação de um script mais completo para que outras pessoas pudessem o utilizar. O resultado após 1 ano é este aqui que veremos logo abaixo.
Este é o link original do projeto:
http://forumgdh.net/viewtopic.php?p=698322
Use o mesmo para enviar a sua contribuição, tirar as suas dúvidas ou fazer comentários. Este é o propósito deste artigo: Compartilhar a informação.
Links interessantes que merecem uma visita:
Artigo do Carlos que trata sobre a configuração do Kurumin Firewall
Trecho do Livro "Kurumin: Desvendando seus segredos" que aborda mais o assunto
Veja abaixo o script. A data de atualização sempre será impressa no próprio.
Copie o conteudo e salve em seu micro, não esqueça de dar permissão de execução (# chmod +x nome-do-arquivo) e depois, comente no ForumGdH o seu resultado :)
Importante: Edite os ips de acordo com a sua rede. O mesmo para as portas de alguns serviços, como o bittorrent por exemplo.
#!/bin/bash
# ----------------------------------------------------------------
# Script iptables montado pela comunidade forumgdh.net
# http://forumgdh.net
# Última atualização: 06/09/2004
# ---
# Participantes na ordem alfabetica:
# AValle
# bolao
# Default
# JohnDoe
# Kalicrates
# ----------------------------------------------------------------
echo "Carregando o firewall..."
# Definindo as variaveis
IPTABLES="/sbin/iptables"
REDEINT="192.168.0.0/8"
IPDNSPROVEDOR="200.227.128.21"
ENT="ppp+"
# carregando os modulos
modprobe ip_tables
modprobe iptable_nat
# limpando as tabelas
$IPTABLES -F
$IPTABLES -t nat -F
# Protege contra os "Ping of Death"
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Protege contra os ataques do tipo "Syn-flood, DoS, etc"
$IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
# Permitir repassamento (NAT,DNAT,SNAT) de pacotes etabilizados e os relatados ...
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Logar os pacotes mortos por inatividade ...
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG
# Protege contra port scanners avançados (Ex.: nmap)
$IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Protege contra pacotes que podem procurar e obter informações da rede interna ...
$IPTABLES -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
# Protege contra todos os pacotes danificados e ou suspeitos ...
$IPTABLES -A FORWARD -m unclean -j DROP
# Bloqueando tracertroute
$IPTABLES -A INPUT -p udp -s 0/0 -i $ENT --dport 33435:33525 -j DROP
# Protecoes contra ataques
$IPTABLES -A INPUT -m state --state INVALID -j DROP
# Performance - Setando acesso a web com delay minimo
$IPTABLES -t mangle -A OUTPUT -o $ENT -p tcp --dport 53 -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $ENT -p tcp --dport 80 -j TOS --set-tos Minimize-Delay
# Deixa passar as portas UDP do servidores DNS, e Rejeitar o restante
$IPTABLES -A INPUT -i $ENT -p udp -s $IPDNSPROVEDOR -j ACCEPT
$IPTABLES -A INPUT -i $ENT -p udp -s $IPDNSPROVEDOR -j ACCEPT
$IPTABLES -A INPUT -i $ENT -p udp -j REJECT
# Bloqueia qualquer tentativa de conexao de fora para dentro por TCP
$IPTABLES -A INPUT -i $ENT -p tcp --syn -j DROP
# Mesmo assim fechar todas as portas abaixo de 32000
$IPTABLES -A INPUT -i $ENT -p tcp --dport :32000 -j DROP
# Responde pacotes icmp especificados e rejeita o restante
$IPTABLES -A INPUT -i $ENT -p icmp --icmp-type host-unreachable -j ACCEPT
$IPTABLES -A INPUT -i $ENT -p icmp --icmp-type source-quench -j ACCEPT
$IPTABLES -A INPUT -i $ENT -p icmp -j REJECT --reject-with icmp-host-unreachable
# Rejeita o Kazaa (não testado ainda)
#$IPTABLES -A FORWARD -p tcp -m string --string X-Kazaa-Username: -j REJECT --reject-with tcp-reset
# libera acesso interno da rede
$IPTABLES -A INPUT -p tcp --syn -s $REDEINT -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --syn -s $REDEINT -j ACCEPT
$IPTABLES -A FORWARD -p tcp --syn -s $REDEINT -j ACCEPT
# libera o loopback
$IPTABLES -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
# libera conexoes de fora pra dentro
$IPTABLES -A INPUT -p tcp --destination-port 80 -j ACCEPT
#$IPTABLES -A INPUT -p tcp --destination-port 443 -j ACCEPT
#$IPTABLES -A INPUT -p tcp --destination-port 20 -j ACCEPT
#$IPTABLES -A INPUT -p tcp --destination-port 21 -j ACCEPT
#$IPTABLES -A INPUT -p tcp --destination-port 22 -j ACCEPT
#libera conexoes de dentro pra fora:
$IPTABLES -A OUTPUT -p tcp --destination-port 80 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --destination-port 3306 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --destination-port 22 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --destination-port 20 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --destination-port 21 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --destination-port 86 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --destination-port 5190 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --destination-port 443 -j ACCEPT
# libera o bittorrent - (não testado)
# troque o X.X.X.X pelo IP da máquina correspondente
#$IPTABLES -A INPUT -p tcp --destination-port 1214 -j ACCEPT
#$IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 1214 -j DNAT --to-dest X.X.X.X
#$IPTABLES -A FORWARD -p tcp -i ppp0 --dport 1214 -d X.X.X.X -j ACCEPT
#$IPTABLES -t nat -A PREROUTING -i ppp0 -p udp --dport 1214 -j DNAT --to-dest X.X.X.X
#$IPTABLES -A FORWARD -p udp -i ppp0 --dport 1214 -d X.X.X.X -j ACCEPT
# faz o icq receber arquivos - (não testado)
# troque o X.X.X.X pelo IP da máquina correspondente
#$IPTABLES -A INPUT -p tcp --destination-port 2000:3000 -j ACCEPT
#$IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 2000:3000 -j DNAT --to-dest X.X.X.X
#$IPTABLES -A FORWARD -p tcp -i ppp0 --dport 2000:3000 -d X.X.X.X -j ACCEPT
#$IPTABLES -t nat -A PREROUTING -i ppp0 -p udp --dport 2000:3000 -j DNAT --to-dest X.X.X.X
#$IPTABLES -A FORWARD -p udp -i ppp0 --dport 2000:3000 -d X.X.X.X -j ACCEPT
# compartilha a web na rede interna
$IPTABLES -t nat -A POSTROUTING -s $REDEINT -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
# bloqueia o resto
$IPTABLES -A INPUT -p tcp --syn -j DROP
$IPTABLES -A OUTPUT -p tcp --syn -j DROP
$IPTABLES -A FORWARD -p tcp --syn -j DROP
# bloqueia ping
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
# ----------------------------------------------------------------
echo "Firewall carregado..."
# EOF
» Gostou do texto? Veja nossos livros impressos
... ou use a busca para localizar outros artigos relacionados:
Atualizações |
|
[19/08] Artigo: Mandriva Flash 2008.1 no ASUS Eee PC 900
[19/08] Otimizando a configuração do Apache
[18/08] Tutorial: Mandriva Linux, parte 2
[18/08] Como os HDs funcionam
[17/08] ISO-8859-1 x UTF8: Solucionando problemas com o charset
|
[16/08] Entendendo as portas TCP e UDP
[15/08] Ruby on Rails
[14/08] Artigo: A saga dos 'Eco-eletrônicos'
[14/08] Entendendo o CIDR (máscaras de tamanho variável)
[13/08] Redes: TCP/IP, endereçamento e portas
|
|
|
Destaques
» Redes wireless, parte 4: Alcance, antenas, conectores
» Obtendo um endereço fixo, usando um DNS dinâmico
» Dominando a linha de comando, parte 2
» Processadores, uma introdução
» Linux: Máquinas virtuais
» Mandriva Linux, parte 1
» Sistemas de escrita para smartphoness
» Redes: Entendendo o endereçamento IP
» Convertendo vídeos usando o FFMPEG
» Serviços de DNS Dinâmico
 Assine o RSS
 Add to iGoogle
|
Cursos com vagas abertas: Linux, administrando o sistema (29 a 31 de agosto) com Leandro Santos
Linux, conhecendo o sistema (06 e 07 de setembro) com Júlio Monqueiro
Servidores Linux (26 a 28 de setembro) com Carlos E. Morimoto |
|
