Bom Dia, Você pode instalar um IDS, e o portesentry
No apache, verifica se o modulo securty esta ativo... Proteção contra spoof, entre outras... -- att Marcos Carraro marcoscarraro.blogspot.com Em 16 de julho de 2011 08:09, Yuri Braz <braz.yur...@gmail.com> escreveu: > Pessoal, > > Estou fazendo um firewall, com propósitos de estudo, na minha rede > doméstica. Acho que está ficando legal, mas eu gostaria que vocês pudessem > fazer algumas considerações de segurança a respeito do mesmo, caso seja > possível. > > É um servidor simples, com duas NICs. Os serviços rodando no servidor são: > Firewall, Proxy e NTP. E tenho um servidor WWW na minha LAN. E eu ativei > o net.ipv4.ip_forward no /etc/sysctl.conf > > Um abraço, > > > -- > *Yuri Rodrigues Braz* > *ITIL V3 Foundation Qualification in IT Service Management* > *Junior Level Linux Professional (LPIC-1)* > > > > 2048R/2D727C88: 0181 8965 908D 3064 8753 F9AC 081A 0695 2D72 7C88 > http://yuribraz.com.br > +55 62 8428-4554 (Oi) > +55 62 9154-9974 (Claro) > > > > > *#!/bin/bash* > > clear > echo "---------------------===== Firewall =====--------------------" > echo "" > > *# Declaracao das variaveis* > IPTABLES="/sbin/iptables" # executavel do iptables > LANCARD="eth0" # interface da rede local > WANCARD="wlan0" # interface da Internet > LANIP="172.16.0.0/16" # endereco de rede da rede local > LOCALWANIP="10.0.0.200/32" # endereco ip para wan > LOCALLANIP="172.16.0.1/32" # endereco ip para lan > LANADMIP="172.16.0.2/32" # ip dos pcs privilegiados da lan > > *# Limpar regras antigas* > $IPTABLES -t filter -F > $IPTABLES -t nat -F > $IPTABLES -t mangle -F > echo "Limpeza de regras antigas ............................ [ OK ]" > > *# Definição de Policiamento* > $IPTABLES -t filter -P FORWARD DROP > $IPTABLES -t filter -P INPUT DROP > $IPTABLES -t filter -P OUTPUT DROP > echo "Definição da Política Padrão (DROP) .................. [ OK ]" > > *# Permitindo o Computador Local acessar a Internet* > $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p tcp --dport 80 -j ACCEPT > $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p udp --dport 53 -j > ACCEPT > $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p tcp --dport 443 -j ACCEPT > $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p tcp --dport 20 -j ACCEPT > $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p tcp --dport 21 -j ACCEPT > $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p udp --dport 123 -j > ACCEPT > > *# Política para pacotes ICMP* > $IPTABLES -A OUTPUT -s $LOCALWANIP -p icmp -j ACCEPT > $IPTABLES -A OUTPUT -s $LOCALLANIP -p icmp -j ACCEPT > $IPTABLES -A OUTPUT -s localhost -p icmp -j ACCEPT > $IPTABLES -A INPUT -p icmp -m limit --limit 2/s -j ACCEPT > echo "Política para Pacotes ICMP ........................... [ OK ]" > > *# Ativação do Filtro de Estado de Sessão* > $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > $IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > echo "Ativação do Filtro de Estado de Sessão ............... [ OK ]" > > *# Compartilhar a Internet* > #$IPTABLES -A INPUT -i $LANCARD -s $LANIP -p tcp --dport 80 -j ACCEPT > #$IPTABLES -A FORWARD -i $LANCARD -p tcp --dport 80 -j ACCEPT > #$IPTABLES -t nat -A POSTROUTING -o $WANCARD -p tcp --dport 80 -j > MASQUERADE > #$IPTABLES -A INPUT -i $LANCARD -s $LANIP -p udp --dport 53 -j ACCEPT > #$IPTABLES -A FORWARD -i $LANCARD -p udp --dport 53 -j ACCEPT > #$IPTABLES -t nat -A POSTROUTING -o $WANCARD -p udp --dport 53 -j > MASQUERADE > #$IPTABLES -A INPUT -i $LANCARD -s $LANIP -p tcp --dport 443 -j ACCEPT > #$IPTABLES -A FORWARD -i $LANCARD -p tcp --dport 443 -j ACCEPT > #$IPTABLES -t nat -A POSTROUTING -o $WANCARD -p tcp --dport 443 -j > MASQUERADE > #echo "Compartilhamento da Internet ......................... [ OK ]" > > *# Squid* > $IPTABLES -A INPUT -i $LANCARD -s $LANIP -p tcp --dport 3128 -j ACCEPT > $IPTABLES -A FORWARD -i $LANCARD -o $WANCARD -s $LANIP -p tcp --dport 3128 > -j ACCEPT > $IPTABLES -A INPUT -s 127.0.0.1 -p tcp --dport 3128 -j ACCEPT > $IPTABLES -A OUTPUT -s 127.0.0.1 -p tcp --dport 3128 -j ACCEPT > echo "Regras para Servidor Proxy Squid ..................... [ OK ]" > > *# Permitindo acesso SSH à rede Interna* > $IPTABLES -A INPUT -i $LANCARD -s $LANADMIP -d $LOCALLANIP -p tcp --dport > 22 -j LOG --log-prefix "SSH (lan): " > $IPTABLES -A INPUT -i $LANCARD -s $LANADMIP -d $LOCALLANIP -p tcp --dport > 22 -j ACCEPT > echo "Acesso SSH à Rede Interna ............................ [ OK ]" > > *# Permitindo acesso SSH à Internet* > *# Nota: isso pode ser perigoso, melhor adicionar o parametro -s e > definir* > *# os ips de origem que podem acessar o servidor ssh remotamente.* > $IPTABLES -A INPUT -i $WANCARD -d $LOCALWANIP -p tcp --dport 22 -j LOG > --log-prefix "SSH (wan): " > $IPTABLES -A INPUT -i $WANCARD -d $LOCALWANIP -p tcp --dport 22 -j ACCEPT > echo "Acesso SSH à Internet ................................ [ OK ]" > > *# Redirecionando tráfego WWW para outro servidor na rede local* > WWWSERVER="172.16.0.2" > $IPTABLES -A INPUT -i $WANCARD -d $LOCALWANIP -p tcp --dport 80 -j LOG > --log-prefix "WWW (wan): " > $IPTABLES -A INPUT -i $WANCARD -d $LOCALWANIP -p tcp --dport 80 -j ACCEPT > $IPTABLES -t nat -A PREROUTING -i $WANCARD -d $LOCALWANIP -p tcp --dport 80 > -j DNAT --to $WWWSERVER > $IPTABLES -A FORWARD -o $LANCARD -d $WWWSERVER -p tcp --dport 80 -j ACCEPT > echo "Tráfego WWW para outro servidor na LAN ............... [ OK ]" > > *# Sincronizacao NTP para a LAN* > $IPTABLES -A INPUT -i $LANCARD -s $LANIP -d $LOCALLANIP -p udp --dport 123 > -j LOG --log-prefix "NTP (lan): " > $IPTABLES -A INPUT -i $LANCARD -s $LANIP -d $LOCALLANIP -p udp --dport 123 > -j ACCEPT > echo "Sincronização NTP para LAN ........................... [ OK ]" > > echo "" > echo "---------------------===== x =====--------------------" > echo "" > > >
