BOM DIA A TODOS
Se possivel gostaria que voces olha-se este firewall
que tenho na maquina e desse palpites para eu melhorar
ou se estou fazendo a coisa certa.
#!/bin/sh
#Limpa todas as regras anteriores do iptables
#e bloqueia todo o tráfego temporariamente.
iptables -F
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
#Seta as politicas padrão
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#Habilita IP_Forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward
#Proteção contra IP Spoofing
iptables -A FORWARD -i ppp0 -s 192.168.0.0/16 -j DROP
iptables -A FORWARD -i ppp0 -s 172.16.0.0/12 -j DROP
iptables -A FORWARD -i ppp0 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i ppp0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i ppp0 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i ppp0 -s 10.0.0.0/8 -j DROP
#Abre para a interface de LoopBack.
#esta regra é essencial para o KDE e outros programas gráficos
#funcionem adequadamente.
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
# Abre porta 22 do servidor SSH para acesso remoto
iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT
#Proteções diversas contra PortScanners, Ping of Death, ataques DoS, etc...
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
--limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP
#Acesso de fora para rede local tendo classe de ip 192.168.0.0
#iptables -t nat -A PREROUTING -i ppp0 -p tcp -d eth1 --dport 22 -j DNAT
--to-destination 192.168.0.2:22
#Manter o estado das conexões da maquina local e da rede interna
iptables -A OUTPUT -m state --state NEW -o ppp0 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state NEW -o ppp0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Macarando conexões da rede se sua conexao estiver na interface
#basta trocar ppp0 por eth0
#a interface ppp0 é usada tb em dial-up, entao neste caso
#troque o eth0 por ppp0
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#Em muitas distribuições com o Kernel 2.6 é necessário usar um quarto
comando ao #compartilhar uma conexão ADSL. Este comando ajusta os
tamanhos dos pacotes recebidos do #modem ao MTU usado na rede local.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -m \
tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
Atenciosamente
Carlos
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
