BOM DIA A TODOS

Se possivel gostaria que voces olha-se este firewall
que tenho na maquina e desse palpites para eu melhorar
ou se estou fazendo a coisa certa.


#!/bin/sh

#Limpa todas as regras anteriores do iptables
#e bloqueia todo o tráfego temporariamente.
iptables -F
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP

#Seta as politicas padrão
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#Habilita IP_Forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward

#Proteção contra IP Spoofing
iptables -A FORWARD -i ppp0 -s 192.168.0.0/16 -j DROP
iptables -A FORWARD -i ppp0 -s 172.16.0.0/12 -j DROP
iptables -A FORWARD -i ppp0 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i ppp0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i ppp0 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i ppp0 -s 10.0.0.0/8 -j DROP

#Abre para a interface de LoopBack.
#esta regra é essencial para o KDE e outros programas gráficos
#funcionem adequadamente.
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

# Abre porta 22 do servidor SSH para acesso remoto
iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT

#Proteções diversas contra PortScanners, Ping of Death, ataques DoS, etc...
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP

#Acesso de fora para rede local tendo classe de ip 192.168.0.0
#iptables -t nat -A PREROUTING -i ppp0 -p tcp -d eth1 --dport 22 -j DNAT --to-destination 192.168.0.2:22

#Manter o estado das conexões da maquina local e da rede interna
iptables -A OUTPUT -m state --state NEW -o ppp0 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state NEW -o ppp0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Macarando conexões da rede se sua conexao estiver na interface
#basta trocar ppp0 por eth0
#a interface ppp0 é usada tb em dial-up, entao neste caso
#troque o eth0 por ppp0
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

#Em muitas distribuições com o Kernel 2.6 é necessário usar um quarto comando ao #compartilhar uma conexão ADSL. Este comando ajusta os tamanhos dos pacotes recebidos do #modem ao MTU usado na rede local.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -m \
tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu

Atenciosamente
Carlos


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Responder a