Cara,, monta um fw com umas opções dessa maneira... icmp somente 1/s coloca para aceitar somente conexoes established related..
-- att Marcos Carraro marcoscarraro.blogspot.com Em 16 de julho de 2011 08:31, Yuri Braz <braz.yur...@gmail.com> escreveu: > Ahhh, acho que entendi a sua consideração sobre spoof Marcos. > Adicionei essas duas regras: > > $IPTABLES -A INPUT -i $WANCARD -s $LANIP -j DROP > $IPTABLES -A INPUT -i $LANCARD ! -s $LANIP -j DROP > > :D > > -- > *Yuri Rodrigues Braz* > *ITIL V3 Foundation Qualification in IT Service Management* > *Junior Level Linux Professional (LPIC-1)* > > > > 2048R/2D727C88: 0181 8965 908D 3064 8753 F9AC 081A 0695 2D72 7C88 > http://yuribraz.com.br > +55 62 8428-4554 (Oi) > +55 62 9154-9974 (Claro) > > > > Em 16 de julho de 2011 08:24, Yuri Braz <braz.yur...@gmail.com> escreveu: > > Então Marcos :) obrigado. >> >> Essa parte do IDS está no plano para o próximo passo, realmente. Agora >> essa parte do "proteção contra spoof, entre outras..." é que eu gostaria de >> mais detalhes. >> Porque parece-me que o kernel do Linux já tem módulos de segurança para a >> maioria dos ataques mais comuns, não? O que realmente eu teria que adicionar >> nesse firewall? >> Outra coisa, contra spoof eu já estou protegendo, não? Porque para todos >> os serviços da LAN eu já filtro a rede de origem, para ter certeza que >> ninguém mascarou o IP. O que especificamente você percebeu com relação ao >> spoof? >> >> Atenciosamente, >> >> >> -- >> *Yuri Rodrigues Braz* >> *ITIL V3 Foundation Qualification in IT Service Management* >> *Junior Level Linux Professional (LPIC-1)* >> >> >> >> 2048R/2D727C88: 0181 8965 908D 3064 8753 F9AC 081A 0695 2D72 7C88 >> http://yuribraz.com.br >> +55 62 8428-4554 (Oi) >> +55 62 9154-9974 (Claro) >> >> >> >> Em 16 de julho de 2011 08:18, Marcos Carraro >> <marcos.g.carr...@gmail.com>escreveu: >> >> Bom Dia, >>> >>> Você pode instalar um IDS, e o portesentry >>> >>> No apache, verifica se o modulo securty esta ativo... >>> >>> Proteção contra spoof, entre outras... >>> >>> >>> >>> -- >>> att >>> Marcos Carraro >>> marcoscarraro.blogspot.com >>> >>> >>> Em 16 de julho de 2011 08:09, Yuri Braz <braz.yur...@gmail.com>escreveu: >>> >>> Pessoal, >>>> >>>> Estou fazendo um firewall, com propósitos de estudo, na minha rede >>>> doméstica. Acho que está ficando legal, mas eu gostaria que vocês pudessem >>>> fazer algumas considerações de segurança a respeito do mesmo, caso seja >>>> possível. >>>> >>>> É um servidor simples, com duas NICs. Os serviços rodando no servidor >>>> são: Firewall, Proxy e NTP. E tenho um servidor WWW na minha LAN. E eu >>>> ativei o net.ipv4.ip_forward no /etc/sysctl.conf >>>> >>>> Um abraço, >>>> >>>> >>>> -- >>>> *Yuri Rodrigues Braz* >>>> *ITIL V3 Foundation Qualification in IT Service Management* >>>> *Junior Level Linux Professional (LPIC-1)* >>>> >>>> >>>> >>>> 2048R/2D727C88: 0181 8965 908D 3064 8753 F9AC 081A 0695 2D72 7C88 >>>> http://yuribraz.com.br >>>> +55 62 8428-4554 (Oi) >>>> +55 62 9154-9974 (Claro) >>>> >>>> >>>> >>>> >>>> *#!/bin/bash* >>>> >>>> clear >>>> echo "---------------------===== Firewall =====--------------------" >>>> echo "" >>>> >>>> *# Declaracao das variaveis* >>>> IPTABLES="/sbin/iptables" # executavel do iptables >>>> LANCARD="eth0" # interface da rede local >>>> WANCARD="wlan0" # interface da Internet >>>> LANIP="172.16.0.0/16" # endereco de rede da rede local >>>> LOCALWANIP="10.0.0.200/32" # endereco ip para wan >>>> LOCALLANIP="172.16.0.1/32" # endereco ip para lan >>>> LANADMIP="172.16.0.2/32" # ip dos pcs privilegiados da lan >>>> >>>> *# Limpar regras antigas* >>>> $IPTABLES -t filter -F >>>> $IPTABLES -t nat -F >>>> $IPTABLES -t mangle -F >>>> echo "Limpeza de regras antigas ............................ [ OK ]" >>>> >>>> *# Definição de Policiamento* >>>> $IPTABLES -t filter -P FORWARD DROP >>>> $IPTABLES -t filter -P INPUT DROP >>>> $IPTABLES -t filter -P OUTPUT DROP >>>> echo "Definição da Política Padrão (DROP) .................. [ OK ]" >>>> >>>> *# Permitindo o Computador Local acessar a Internet* >>>> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p tcp --dport 80 -j >>>> ACCEPT >>>> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p udp --dport 53 -j >>>> ACCEPT >>>> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p tcp --dport 443 -j >>>> ACCEPT >>>> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p tcp --dport 20 -j >>>> ACCEPT >>>> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p tcp --dport 21 -j >>>> ACCEPT >>>> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p udp --dport 123 -j >>>> ACCEPT >>>> >>>> *# Política para pacotes ICMP* >>>> $IPTABLES -A OUTPUT -s $LOCALWANIP -p icmp -j ACCEPT >>>> $IPTABLES -A OUTPUT -s $LOCALLANIP -p icmp -j ACCEPT >>>> $IPTABLES -A OUTPUT -s localhost -p icmp -j ACCEPT >>>> $IPTABLES -A INPUT -p icmp -m limit --limit 2/s -j ACCEPT >>>> echo "Política para Pacotes ICMP ........................... [ OK ]" >>>> >>>> *# Ativação do Filtro de Estado de Sessão* >>>> $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>>> $IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>>> $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >>>> echo "Ativação do Filtro de Estado de Sessão ............... [ OK ]" >>>> >>>> *# Compartilhar a Internet* >>>> #$IPTABLES -A INPUT -i $LANCARD -s $LANIP -p tcp --dport 80 -j ACCEPT >>>> #$IPTABLES -A FORWARD -i $LANCARD -p tcp --dport 80 -j ACCEPT >>>> #$IPTABLES -t nat -A POSTROUTING -o $WANCARD -p tcp --dport 80 -j >>>> MASQUERADE >>>> #$IPTABLES -A INPUT -i $LANCARD -s $LANIP -p udp --dport 53 -j ACCEPT >>>> #$IPTABLES -A FORWARD -i $LANCARD -p udp --dport 53 -j ACCEPT >>>> #$IPTABLES -t nat -A POSTROUTING -o $WANCARD -p udp --dport 53 -j >>>> MASQUERADE >>>> #$IPTABLES -A INPUT -i $LANCARD -s $LANIP -p tcp --dport 443 -j ACCEPT >>>> #$IPTABLES -A FORWARD -i $LANCARD -p tcp --dport 443 -j ACCEPT >>>> #$IPTABLES -t nat -A POSTROUTING -o $WANCARD -p tcp --dport 443 -j >>>> MASQUERADE >>>> #echo "Compartilhamento da Internet ......................... [ OK ]" >>>> >>>> *# Squid* >>>> $IPTABLES -A INPUT -i $LANCARD -s $LANIP -p tcp --dport 3128 -j ACCEPT >>>> $IPTABLES -A FORWARD -i $LANCARD -o $WANCARD -s $LANIP -p tcp --dport >>>> 3128 -j ACCEPT >>>> $IPTABLES -A INPUT -s 127.0.0.1 -p tcp --dport 3128 -j ACCEPT >>>> $IPTABLES -A OUTPUT -s 127.0.0.1 -p tcp --dport 3128 -j ACCEPT >>>> echo "Regras para Servidor Proxy Squid ..................... [ OK ]" >>>> >>>> *# Permitindo acesso SSH à rede Interna* >>>> $IPTABLES -A INPUT -i $LANCARD -s $LANADMIP -d $LOCALLANIP -p tcp >>>> --dport 22 -j LOG --log-prefix "SSH (lan): " >>>> $IPTABLES -A INPUT -i $LANCARD -s $LANADMIP -d $LOCALLANIP -p tcp >>>> --dport 22 -j ACCEPT >>>> echo "Acesso SSH à Rede Interna ............................ [ OK ]" >>>> >>>> *# Permitindo acesso SSH à Internet* >>>> *# Nota: isso pode ser perigoso, melhor adicionar o parametro -s e >>>> definir* >>>> *# os ips de origem que podem acessar o servidor ssh remotamente.* >>>> $IPTABLES -A INPUT -i $WANCARD -d $LOCALWANIP -p tcp --dport 22 -j LOG >>>> --log-prefix "SSH (wan): " >>>> $IPTABLES -A INPUT -i $WANCARD -d $LOCALWANIP -p tcp --dport 22 -j >>>> ACCEPT >>>> echo "Acesso SSH à Internet ................................ [ OK ]" >>>> >>>> *# Redirecionando tráfego WWW para outro servidor na rede local* >>>> WWWSERVER="172.16.0.2" >>>> $IPTABLES -A INPUT -i $WANCARD -d $LOCALWANIP -p tcp --dport 80 -j LOG >>>> --log-prefix "WWW (wan): " >>>> $IPTABLES -A INPUT -i $WANCARD -d $LOCALWANIP -p tcp --dport 80 -j >>>> ACCEPT >>>> $IPTABLES -t nat -A PREROUTING -i $WANCARD -d $LOCALWANIP -p tcp --dport >>>> 80 -j DNAT --to $WWWSERVER >>>> $IPTABLES -A FORWARD -o $LANCARD -d $WWWSERVER -p tcp --dport 80 -j >>>> ACCEPT >>>> echo "Tráfego WWW para outro servidor na LAN ............... [ OK ]" >>>> >>>> *# Sincronizacao NTP para a LAN* >>>> $IPTABLES -A INPUT -i $LANCARD -s $LANIP -d $LOCALLANIP -p udp --dport >>>> 123 -j LOG --log-prefix "NTP (lan): " >>>> $IPTABLES -A INPUT -i $LANCARD -s $LANIP -d $LOCALLANIP -p udp --dport >>>> 123 -j ACCEPT >>>> echo "Sincronização NTP para LAN ........................... [ OK ]" >>>> >>>> echo "" >>>> echo "---------------------===== x =====--------------------" >>>> echo "" >>>> >>>> >>>> >>> >> >