(linux-br) IPTABLES

Tue, 11 Feb 2003 18:56:22 -0800

Estou configurando meu firewall, gostaria de saber se as regras que adquiri na internet e juntei todas, estao corretas e me darao seguran�a, outra coisa preciso bloquear todo acesso de fora da empresa para dentro, exceto alguns ip�s fixos que irao acessar o servidor alguem tem uma ideia???
abaixo seguem as regras que organizei:

# Ignora tudo que n�o for *explicitamente* permitido
iptables -P INPUT DROP
iptables -A INPUT -i $IRE -m state --state INVALID -j DROP

# Permite a entrada as nossas ligacoes
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -i $IRE -m state --state RELATED -j ACCEPT
iptables -A INPUT -i $IRE -m state --state ESTABLISHED -j ACCEPT

# Permite o acesso do servidor ao cliente DHCP
#iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport bootpc -j ACCEPT

# Permite o acesso externo ao servidor de FTP (transferencia de dados)
#iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport ftp -j ACCEPT

# Permite o acesso ao servidor de FTP quando em modo "active"
#iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport ftp-data -j ACCEPT

# Permite o acesso externo ao servidor de SSH (login remoto)
#iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport ssh -j ACCEPT

# Permite o acesso externo aos servidores de HTTP e HTTPS (servidores web)
#iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport http -j ACCEPT
#iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport https -j ACCEPT

# Permite o acesso externo aos servidores de correio eletronico
#iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport smtp -j ACCEPT
#iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport smtps -j ACCEPT
#iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport pop3 -j ACCEPT
#iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport pop3s -j ACCEPT
#iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport imap -j ACCEPT
#iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport imaps -j ACCEPT

# Permite o acesso externo ao servidor de news
#iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport nntp -j ACCEPT

# Permite o acesso externo aos servidores de IRC
#iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport irc -j ACCEPT
#iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport ircs -j ACCEPT

# Permite efetuar ping a partir de maquina externa
#iptables -A INPUT -i $IRE -m state --state NEW -p icmp -j ACCEPT

# Protecao contra syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

# Protecao contra port scanners ocultos
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Protecao contra ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Protecao contra IP spoofing
iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j DROP
iptables -A INPUT -s 127.0.0.0/8 -i eth0 -j DROP
iptables -A INPUT -s 172.16.0.0/16 -i eth0 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP

# Bloquear Multicast
iptables -A INPUT -s 224.0.0.0/8 -d 0/0 -j DROP
iptables -A INPUT -s 0/0 -d 224.0.0.0/8 -j DROP

# Bloquear Back Orifice
iptables -A INPUT -p tcp -i eth0 --dport 31337 -j LDROP
iptables -A INPUT -p udp -i eth0 --dport 31337 -j LDROP

# Bloquar NetBus
iptables -A INPUT -p tcp -i eth0 --dport 12345:123456 -j LDROP
iptables -A INPUT -p udp -i eth0 --dport 12345:123456 -j LDROP

# Bloquear Trin00
iptables -A INPUT -p tcp -i eth0 --dport 1524 -j LDROP
iptables -A INPUT -p tcp -i eth0 --dport 27665 -j LDROP
iptables -A INPUT -p udp -i eth0 --dport 27444 -j LDROP
iptables -A INPUT -p udp -i eth0 --dport 31335 -j LDROP

# Rejeitando nao aceitos - ident requeridos
iptables -A INPUT -p tcp -i eth0 --dport 113 -j TREJECT
iptables -A INPUT -p udp -i eth0 --dport 113 -j TREJECT

# Bloqueando acesso para o X Server
iptables -A INPUT -p tcp -i eth0 --dport 5999:6003 -j LDROP
iptables -A INPUT -p udp -i eth0 --dport 5999:6003 -j LDROP
iptables -A INPUT -p tcp -i eth0 --dport 7100 -j LDROP

# Setando telnet,www,smtp,pop3 e ftp para pouco delay
iptables -t mangle -A OUTPUT -p tcp --dport 22 -j TOS --set-tos Minimize-Delay
iptables -t mangle -A OUTPUT -p tcp --dport 23 -j TOS --set-tos Minimize-Delay
iptables -t mangle -A OUTPUT -p tcp --dport 110 -j TOS --set-tos Minimize-Delay

# Portas abertas para estabelecer conexoes
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 1023:65535 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport 1023:65535 -j ACCEPT
iptables -A INPUT -p icmp icmp -i eth0 -j LDROP
iptables -A INPUT -p icmp --icmp-type echo-reply -s 0/0 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -s 0/0 -i eth0 -j ACCEPT
iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT

# Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j DROP

# Prote��o contra pacotes danificados ou suspeitos.
iptables -A FORWARD -m unclean -j DROP

# Cria a 'chain' block para bloquear acessos de estranhos
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A block -j DROP

# Direciona (jump) as 'chains' INPUT e FORWARD para sua chain block.
iptables -A INPUT -j block
iptables -A FORWARD -j block



Assinantes em 11/02/2003: 2242
Mensagens recebidas desde 07/01/1999: 200863
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]

Responder a