Em Seg, 2005-05-09 às 00:42 -0300, Jeison Sanches escreveu: > Ola. Gostaria de saber dos experts em iptables o nivel de segurança > desse script : baixo,
baixíssimo.... vide abaixo > medio ou alto. sei q esta bem simples porem > gostaria de algumas dicas para aumentar a segurança. > > Obrigado > > > LAN='10.1.x.x/28' > # Limpa Tudo > iptables -F > iptables -F INPUT > iptables -t nat -F > # Definicao do Policiamento > #Table Filter > iptables -t filter -P INPUT DROP > iptables -t filter -P OUTPUT ACCEPT bem aqui é uma briga. Uns dizem para deixar em DROP, outro dizem que pode-se deixar em ACCEPT para facilitar as regras. Aqui vai da preferencia do administrador. > iptables -t filter -P FORWARD ACCEPT ARRRGGGHHHHHHHH DROP sem sombra de dúvidas, a não ser que vc queira fazer uma peneira e não um firewall.... > #Table nat > iptables -t nat -P PREROUTING ACCEPT > iptables -t nat -P OUTPUT ACCEPT > iptables -t nat -P POSTROUTING ACCEPT > ok > # Conexoes estabelecidas e loopback > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A INPUT -i lo -j ACCEPT > ok > # Filtrando a rede interna > > iptables -t filter -A INPUT -p tcp -s $LAN --dport 22 -j ACCEPT > iptables -t filter -A INPUT -p udp -s $LAN --dport 22 -j ACCEPT > UPD descnecessario pois ssh funciona via tcp ... > iptables -t filter -A INPUT -p tcp --syn -s $LAN -j ACCEPT > iptables -t filter -A INPUT -s $LAN -p icmp -j ACCEPT > opps seria interessante colocar limite no icmp e vc aceira syn e mais nada não significa nada.... > #Liberando para fora > > iptables -t filter -A INPUT -p tcp -i ppp0 --dport 22 -j ACCEPT > aceitando ssh no firewall sem maiores proteções eu não aconselho. > # Ip Masquerade > > iptables -t nat -A POSTROUTING -s $LAN -j MASQUERADE vc tem IP estático ou dinamico? se for dinamico use a regra acima. se for estatico use SNAT > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT > --to-port 3128 eu DETESTO proxy transparente, mas se vc quizer ter dores de cabeça , vá em frente. > echo "1" > /proc/sys/net/ipv4/ip_forward > > > ### Anti IP Spoofing ### > for i in /proc/sys/net/ipv4/conf/*/rp_filter; do > echo 1 >$i > done > lixo, existem maneiras melhores de se usar anti-spoof via iptables. > > # A tentativa de acesso externo a estes serviços serão registrados no syslog > # do sistema e serão bloqueados pela última regra abaixo. > iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "FIREWALL: ftp " > iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix "FIREWALL: smtp " > iptables -A INPUT -p udp --dport 53 -j LOG --log-prefix "FIREWALL: dns " > iptables -A INPUT -p tcp --dport 110 -j LOG --log-prefix "FIREWALL: pop3 " > iptables -A INPUT -p tcp --dport 113 -j LOG --log-prefix "FIREWALL: identd " > iptables -A INPUT -p udp --dport 111 -j LOG --log-prefix "FIREWALL: rpc" > iptables -A INPUT -p tcp --dport 111 -j LOG --log-prefix "FIREWALL: rpc" > iptables -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix "FIREWALL: > samba " > iptables -A INPUT -p udp --dport 137:139 -j LOG --log-prefix "FIREWALL: > samba " > ARRRRRRRGHHHHHH vc esta colocando FTP, samba DNS , SMTP no firewall????, meu amigo, desista, vc terá uma dor de cabeça imensa.... coloque estes serviços em uma outra máquina e deixe no firewall ssh, squid e iptables, ou se vcs for bom em segurança e iptables ai que sabe vc pdoeria colocar os serviços acima.....80) > > > # Bloquear MSN > iptables -A FORWARD -s $LAN -p tcp --dport 1863 -j REJECT > iptables -A FORWARD -s $LAN -d loginnet.passport.com -j REJECT > iptables -A FORWARD -s $LAN -d webmessenger.msn.com -j REJECT > ok voltando aqui o seu nivel de segurança é baixissimo...... aconselharia a NÃO usar este script.... ats > -- Paulo Ricardo Bruck - consultor Contato Global Solutions tel 011 5031-4932 fone/fax 011 5034-1732 cel 011 9235-4327
signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem assinada digitalmente
