Ahhh, acho que entendi a sua consideração sobre spoof Marcos. Adicionei essas duas regras:
$IPTABLES -A INPUT -i $WANCARD -s $LANIP -j DROP $IPTABLES -A INPUT -i $LANCARD ! -s $LANIP -j DROP :D -- *Yuri Rodrigues Braz* *ITIL V3 Foundation Qualification in IT Service Management* *Junior Level Linux Professional (LPIC-1)* 2048R/2D727C88: 0181 8965 908D 3064 8753 F9AC 081A 0695 2D72 7C88 http://yuribraz.com.br +55 62 8428-4554 (Oi) +55 62 9154-9974 (Claro) Em 16 de julho de 2011 08:24, Yuri Braz <braz.yur...@gmail.com> escreveu: > Então Marcos :) obrigado. > > Essa parte do IDS está no plano para o próximo passo, realmente. Agora essa > parte do "proteção contra spoof, entre outras..." é que eu gostaria de mais > detalhes. > Porque parece-me que o kernel do Linux já tem módulos de segurança para a > maioria dos ataques mais comuns, não? O que realmente eu teria que adicionar > nesse firewall? > Outra coisa, contra spoof eu já estou protegendo, não? Porque para todos os > serviços da LAN eu já filtro a rede de origem, para ter certeza que ninguém > mascarou o IP. O que especificamente você percebeu com relação ao spoof? > > Atenciosamente, > > > -- > *Yuri Rodrigues Braz* > *ITIL V3 Foundation Qualification in IT Service Management* > *Junior Level Linux Professional (LPIC-1)* > > > > 2048R/2D727C88: 0181 8965 908D 3064 8753 F9AC 081A 0695 2D72 7C88 > http://yuribraz.com.br > +55 62 8428-4554 (Oi) > +55 62 9154-9974 (Claro) > > > > Em 16 de julho de 2011 08:18, Marcos Carraro > <marcos.g.carr...@gmail.com>escreveu: > > Bom Dia, >> >> Você pode instalar um IDS, e o portesentry >> >> No apache, verifica se o modulo securty esta ativo... >> >> Proteção contra spoof, entre outras... >> >> >> >> -- >> att >> Marcos Carraro >> marcoscarraro.blogspot.com >> >> >> Em 16 de julho de 2011 08:09, Yuri Braz <braz.yur...@gmail.com> escreveu: >> >> Pessoal, >>> >>> Estou fazendo um firewall, com propósitos de estudo, na minha rede >>> doméstica. Acho que está ficando legal, mas eu gostaria que vocês pudessem >>> fazer algumas considerações de segurança a respeito do mesmo, caso seja >>> possível. >>> >>> É um servidor simples, com duas NICs. Os serviços rodando no servidor >>> são: Firewall, Proxy e NTP. E tenho um servidor WWW na minha LAN. E eu >>> ativei o net.ipv4.ip_forward no /etc/sysctl.conf >>> >>> Um abraço, >>> >>> >>> -- >>> *Yuri Rodrigues Braz* >>> *ITIL V3 Foundation Qualification in IT Service Management* >>> *Junior Level Linux Professional (LPIC-1)* >>> >>> >>> >>> 2048R/2D727C88: 0181 8965 908D 3064 8753 F9AC 081A 0695 2D72 7C88 >>> http://yuribraz.com.br >>> +55 62 8428-4554 (Oi) >>> +55 62 9154-9974 (Claro) >>> >>> >>> >>> >>> *#!/bin/bash* >>> >>> clear >>> echo "---------------------===== Firewall =====--------------------" >>> echo "" >>> >>> *# Declaracao das variaveis* >>> IPTABLES="/sbin/iptables" # executavel do iptables >>> LANCARD="eth0" # interface da rede local >>> WANCARD="wlan0" # interface da Internet >>> LANIP="172.16.0.0/16" # endereco de rede da rede local >>> LOCALWANIP="10.0.0.200/32" # endereco ip para wan >>> LOCALLANIP="172.16.0.1/32" # endereco ip para lan >>> LANADMIP="172.16.0.2/32" # ip dos pcs privilegiados da lan >>> >>> *# Limpar regras antigas* >>> $IPTABLES -t filter -F >>> $IPTABLES -t nat -F >>> $IPTABLES -t mangle -F >>> echo "Limpeza de regras antigas ............................ [ OK ]" >>> >>> *# Definição de Policiamento* >>> $IPTABLES -t filter -P FORWARD DROP >>> $IPTABLES -t filter -P INPUT DROP >>> $IPTABLES -t filter -P OUTPUT DROP >>> echo "Definição da Política Padrão (DROP) .................. [ OK ]" >>> >>> *# Permitindo o Computador Local acessar a Internet* >>> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p tcp --dport 80 -j >>> ACCEPT >>> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p udp --dport 53 -j >>> ACCEPT >>> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p tcp --dport 443 -j >>> ACCEPT >>> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p tcp --dport 20 -j >>> ACCEPT >>> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p tcp --dport 21 -j >>> ACCEPT >>> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p udp --dport 123 -j >>> ACCEPT >>> >>> *# Política para pacotes ICMP* >>> $IPTABLES -A OUTPUT -s $LOCALWANIP -p icmp -j ACCEPT >>> $IPTABLES -A OUTPUT -s $LOCALLANIP -p icmp -j ACCEPT >>> $IPTABLES -A OUTPUT -s localhost -p icmp -j ACCEPT >>> $IPTABLES -A INPUT -p icmp -m limit --limit 2/s -j ACCEPT >>> echo "Política para Pacotes ICMP ........................... [ OK ]" >>> >>> *# Ativação do Filtro de Estado de Sessão* >>> $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>> $IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>> $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >>> echo "Ativação do Filtro de Estado de Sessão ............... [ OK ]" >>> >>> *# Compartilhar a Internet* >>> #$IPTABLES -A INPUT -i $LANCARD -s $LANIP -p tcp --dport 80 -j ACCEPT >>> #$IPTABLES -A FORWARD -i $LANCARD -p tcp --dport 80 -j ACCEPT >>> #$IPTABLES -t nat -A POSTROUTING -o $WANCARD -p tcp --dport 80 -j >>> MASQUERADE >>> #$IPTABLES -A INPUT -i $LANCARD -s $LANIP -p udp --dport 53 -j ACCEPT >>> #$IPTABLES -A FORWARD -i $LANCARD -p udp --dport 53 -j ACCEPT >>> #$IPTABLES -t nat -A POSTROUTING -o $WANCARD -p udp --dport 53 -j >>> MASQUERADE >>> #$IPTABLES -A INPUT -i $LANCARD -s $LANIP -p tcp --dport 443 -j ACCEPT >>> #$IPTABLES -A FORWARD -i $LANCARD -p tcp --dport 443 -j ACCEPT >>> #$IPTABLES -t nat -A POSTROUTING -o $WANCARD -p tcp --dport 443 -j >>> MASQUERADE >>> #echo "Compartilhamento da Internet ......................... [ OK ]" >>> >>> *# Squid* >>> $IPTABLES -A INPUT -i $LANCARD -s $LANIP -p tcp --dport 3128 -j ACCEPT >>> $IPTABLES -A FORWARD -i $LANCARD -o $WANCARD -s $LANIP -p tcp --dport >>> 3128 -j ACCEPT >>> $IPTABLES -A INPUT -s 127.0.0.1 -p tcp --dport 3128 -j ACCEPT >>> $IPTABLES -A OUTPUT -s 127.0.0.1 -p tcp --dport 3128 -j ACCEPT >>> echo "Regras para Servidor Proxy Squid ..................... [ OK ]" >>> >>> *# Permitindo acesso SSH à rede Interna* >>> $IPTABLES -A INPUT -i $LANCARD -s $LANADMIP -d $LOCALLANIP -p tcp --dport >>> 22 -j LOG --log-prefix "SSH (lan): " >>> $IPTABLES -A INPUT -i $LANCARD -s $LANADMIP -d $LOCALLANIP -p tcp --dport >>> 22 -j ACCEPT >>> echo "Acesso SSH à Rede Interna ............................ [ OK ]" >>> >>> *# Permitindo acesso SSH à Internet* >>> *# Nota: isso pode ser perigoso, melhor adicionar o parametro -s e >>> definir* >>> *# os ips de origem que podem acessar o servidor ssh remotamente.* >>> $IPTABLES -A INPUT -i $WANCARD -d $LOCALWANIP -p tcp --dport 22 -j LOG >>> --log-prefix "SSH (wan): " >>> $IPTABLES -A INPUT -i $WANCARD -d $LOCALWANIP -p tcp --dport 22 -j ACCEPT >>> echo "Acesso SSH à Internet ................................ [ OK ]" >>> >>> *# Redirecionando tráfego WWW para outro servidor na rede local* >>> WWWSERVER="172.16.0.2" >>> $IPTABLES -A INPUT -i $WANCARD -d $LOCALWANIP -p tcp --dport 80 -j LOG >>> --log-prefix "WWW (wan): " >>> $IPTABLES -A INPUT -i $WANCARD -d $LOCALWANIP -p tcp --dport 80 -j ACCEPT >>> $IPTABLES -t nat -A PREROUTING -i $WANCARD -d $LOCALWANIP -p tcp --dport >>> 80 -j DNAT --to $WWWSERVER >>> $IPTABLES -A FORWARD -o $LANCARD -d $WWWSERVER -p tcp --dport 80 -j >>> ACCEPT >>> echo "Tráfego WWW para outro servidor na LAN ............... [ OK ]" >>> >>> *# Sincronizacao NTP para a LAN* >>> $IPTABLES -A INPUT -i $LANCARD -s $LANIP -d $LOCALLANIP -p udp --dport >>> 123 -j LOG --log-prefix "NTP (lan): " >>> $IPTABLES -A INPUT -i $LANCARD -s $LANIP -d $LOCALLANIP -p udp --dport >>> 123 -j ACCEPT >>> echo "Sincronização NTP para LAN ........................... [ OK ]" >>> >>> echo "" >>> echo "---------------------===== x =====--------------------" >>> echo "" >>> >>> >>> >> >
