iptables comunitário!

AValle · 27-09-2003, 8:17

E ae gente. vocês sabem que eu comecei a aprender iptables ontem (eu sei, eu sei! já tô meio velhinho pra isso hehehe)

Tive a idéia de colocar ele aqui, e cada um colar a sua contribuição com o intuito de ter um script melhor, mais completo e ajudar a aqueles que como eu não sabem muito de iptables.

Servirá como aprendizado, e acredito eu que ajudará até os mais experientes, visto que duas cabeças pensam melhor do que uma só

Segue o link do meu:
http://avalle.homelinux.com:6080/scripts/rc.firewall

Vou continuar estudando e adicionando linhas a ele. Quem quiser adicionar também, poste aqui mesmo nesse tópico

Bolão · 27-09-2003, 9:39

Citação:

Postado Originalmente por AValle

E ae gente. vocês sabem que eu comecei a aprender iptables ontem (eu sei, eu sei! já tô meio velhinho pra isso hehehe...

Aes Tio ... segura essas linha que uso contra flood's, pedidos mal formados, ping of death, DoS e coisas do tipo !!

Código:

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP

blz ??

AValle · 27-09-2003, 10:24

Citação:

Postado Originalmente por Bolão

Aes Tio ... segura essas linha que uso contra flood's, pedidos mal formados, ping of death, DoS e coisas do tipo !!
...

tá lá

tem como vc "traduzir" pra leigo as linhas?

Bolão · 27-09-2003, 11:03

Citação:

Postado Originalmente por AValle

tá lá

tem como vc "traduzir" pra leigo as linhas?

Claro que sim ... Vamos lá

Código:

Linha 01 - Protege contra os "Ping of Death"
Linha 02 - Protege contra os ataques do tipo "Syn-flood, DoS, etc"
Linha 03 - Permitir repassamento (NAT,DNAT,SNAT) de pacotes etabilizados e os relatados ...
Linha 04 - Logar os pacotes mortos por inatividade ...
Linha 05 - Protege contra port scanners avançados (Ex.: nmap)
Linha 06 - Protege contra pacotes que podem procurar e obter informações da rede interna ...
Linha 07 - Protege contra todos os pacotes danificados e ou suspeitos ...

Tá bom ?? qq coisa apita aí ... depois eu cobro a Skoll !! :wink:

AValle · 27-09-2003, 11:07

http://avalle.homelinux.com:6080/scripts/iptables_by_default

8O

Bolão · 27-09-2003, 12:00

Citação:

Postado Originalmente por AValle

http://avalle.homelinux.com:6080/scripts/iptables_by_default

8O

Aes ... isso merece uma Skoll !! como dizemos por aqui .. "ARRIÉGUA MACHO" 8O ... Cabulou :roll:

slackdi · 27-09-2003, 16:27

Opa e ai Bolão e Avalle ..
Parabéns a vcs era isso que eu estava precisando ...
Valeu mesmo.....

JohnDoe · 27-09-2003, 17:13

Bom, vc fez algumas regras iptables para servidor, mas queria contribuir com algumas regras q criei, para usuarios domesticos q não querem dar acesso algum a rede.

#!/bin/sh

#Para Excluir TODAS as regras anteriores do INPUT
iptables -F INPUT

# Protecao contra port scanners ocultos
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i ppp+ --dport 33435:33525 -j DROP

#Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j DROP

#Performance - Setando acesso a web com delay minimo
iptables -t mangle -A OUTPUT -o ppp+ -p tcp --dport 53 -j TOS --set-tos Minimize-Delay
iptables -t mangle -A OUTPUT -o ppp+ -p tcp --dport 80 -j TOS --set-tos Minimize-Delay

#Deixa passar as portas UDP do servidores DNS, e Rejeitar o restante
iptables -A INPUT -i ppp+ -p udp -s ipdnsdoprovedor -j ACCEPT
iptables -A INPUT -i ppp+ -p udp -s ipdnsdoprovedor -j ACCEPT
iptables -A INPUT -i ppp+ -p udp -j REJECT

#Bloqueia qualquer tentativa de conexao de fora para dentro por TCP
iptables -A INPUT -i ppp+ -p tcp --syn -j DROP

#Mesmo assim fechar todas as portas abaixo de 32000
iptables -A INPUT -i ppp+ -p tcp --dport :32000 -j DROP

#Responde pacotes icmp especificados e rejeita o restante
iptables -A INPUT -i ppp+ -p icmp --icmp-type host-unreachable -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp --icmp-type source-quench -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp -j REJECT --reject-with icmp-host-unreachable
#A regra acima é interessante, pois da a impressão q o host não esta on-line
echo "Firewall Configurado"

Ele permite o uso normal do navegador mozilla , Licq, Amsn e Evolution (Os que eu uso) e tambem compartilho minha conexão com o squid num arede local sem problemas
Eu testei diversas vezes estas regras, e até agora não encontrei nenhuma falha, se alguem quiser comentar ou me dar alguma dica ficarei grato.

ricneves · 27-09-2003, 19:26

Saudações galera, que tal ajudar um novato a configurar o iptables?
De posse do script todo digitado e configurado onde coloco esse script , diretório é claro!
Sei que pode parecer boba mas derepente esclarece mais gente que não teve cara de pau de fazer a mesma pergunta!

Default® · 27-09-2003, 22:48

Citação:

Postado Originalmente por ricneves

Saudações galera, que tal ajudar um novato a configurar o iptables?
De posse do script todo digitado e configurado o...

Coloque ele onde voce quiser :-)
Pode ser que voce queira chamar ele a partir do rc.local (coisa feia)
Para isso abra o arquivo rc.local e insira nele
. /local/onde/ta/o/script
Nao esquecendo de tornar o script executavel
chmod +x nomedoarquivo
e pronto.

PS: Depois eu faco um start , stop e reload no meu script.

Hiei · 27-09-2003, 22:57

aew galera, soh uma pergunta de n00b :lol:
Este script ae serve para quem tem banda larga ?
Tipo no meu caso eh o speedy IP Fixo

AValle · 28-09-2003, 0:01

Citação:

Postado Originalmente por Hiei

aew galera, soh uma pergunta de n00b :lol:
Este script ae serve para quem tem banda larga ?
Tipo no meu caso eh o...

Funciona

AValle · 28-09-2003, 0:02

O negócio é pegar as dicas de todo mundo e fazer um script só

Vai ficar legal isso

marcos jost · 28-09-2003, 0:37

Citação:

Postado Originalmente por AValle

O negócio é pegar as dicas de todo mundo e fazer um script só

Vai ficar legal isso

Qndo fizer io meu coloco aki...
Uma boa dica de site em portuga do iptables é : www.iptablesbr.cjb.net , desatualizado mas uma boa referencia.

Geraldomanaus · 28-09-2003, 0:38

Citação:

Postado Originalmente por AValle

http://avalle.homelinux.com:6080/scripts/iptables_by_default

8O

Olá amigos,

Isso é o que podemos chamar de um script "PhD", não é mesmo? Excelente mesmo.

AValle · 29-09-2003, 1:14

Tiago Cruz · 29-09-2003, 9:49

Angelo,

Na parte do bolão coloca os comentarios dele tb

ops:

Muito legal cara, quando eu crescer quero brincar com isso tb

John · 29-09-2003, 15:37

Peguei o script do default e copiei ele para meu /etc/rc.d/rc.firewall, mas ao visualizá-lo percebi algumas coisas, não uso dhcp posso eliminar (comentar) todas as linhas com relação a ele? e outra coisa ao ativar o firewall não consigo mais montar minhas partições samba dá a seguinte mensagem:
Packet send failed to 192.168.0.255(137) ERRNO=Operação não permitida
761: Connection to ccp failed

Quais linhas devo comentar para dar certo, desculpe pela ignorancia não sei nada de iptables.

jqueiroz · 29-09-2003, 19:52

Comunidade LinuxBSD, Firewall IPTables comentado

Tiago Cruz · 30-09-2003, 10:54

Código:

From: "Adriano Frare" <alfrare@terra.com.br>
Subject: RES: Barrar kaazar
Date: Tue, 30 Sep 2003 09:49:27 -0300
X-Mailer: Microsoft Outlook, Build 10.0.4510

Inclua as seguintes regras no seu IPTABLES.

IPTABLES="/usr/sbin/iptables"
# Portas e Redes Kazaa e Morpheus
echo -en "\\033[1;32m"
echo "DROP -> Ports and Network - Kazaa/Morpheus"
sleep 1
echo -en "\\033[1;37m"
$IPTABLES -A FORWARD -p TCP --dport 1214 -j LOG
$IPTABLES -A FORWARD -p UDP --dport 1214 -j LOG
$IPTABLES -A FORWARD -d 213.248.112.0/24 -j LOG
$IPTABLES -A FORWARD -d 206.142.53.0/24 -j LOG
$IPTABLES -A FORWARD -p TCP --dport 1214 -j REJECT
$IPTABLES -A FORWARD -p UDP --dport 1214 -j REJECT
$IPTABLES -A FORWARD -d 213.248.112.0/24 -j REJECT
$IPTABLES -A FORWARD -d 206.142.53.0/24 -j REJECT



Abraços.


Adriano

27-09-2003, 8:17	#1 (permalink)
AValle Ubbergeek Registrado em: Dec 2002 Localização: Rio de Janeiro Idade: 36 Mensagens: 4.437 Reputação: 40	iptables comunitário! E ae gente. vocês sabem que eu comecei a aprender iptables ontem (eu sei, eu sei! já tô meio velhinho pra isso hehehe) Tive a idéia de colocar ele aqui, e cada um colar a sua contribuição com o intuito de ter um script melhor, mais completo e ajudar a aqueles que como eu não sabem muito de iptables. Servirá como aprendizado, e acredito eu que ajudará até os mais experientes, visto que duas cabeças pensam melhor do que uma só Segue o link do meu: http://avalle.homelinux.com:6080/scripts/rc.firewall Vou continuar estudando e adicionando linhas a ele. Quem quiser adicionar também, poste aqui mesmo nesse tópico __________________ Entretenimento é aqui!

27-09-2003, 11:07	#5 (permalink)
AValle Ubbergeek Registrado em: Dec 2002 Localização: Rio de Janeiro Idade: 36 Mensagens: 4.437 Reputação: 40	http://avalle.homelinux.com:6080/scripts/iptables_by_default 8O __________________ Entretenimento é aqui!

27-09-2003, 19:26	#9 (permalink)
ricneves Tô em todas Registrado em: Dec 2002 Localização: Rio de Janeiro / RJ Mensagens: 1.823 Reputação: 26	Saudações galera, que tal ajudar um novato a configurar o iptables? De posse do script todo digitado e configurado onde coloco esse script , diretório é claro! Sei que pode parecer boba mas derepente esclarece mais gente que não teve cara de pau de fazer a mesma pergunta! __________________ Não há maior ego do que o daquele que se julga acima dos outros por ter domado o ego. Ao dominar o ego, ao buscar a transcendência e negar o mundo, ele comete o maior EGO de todos: Achar que não tem ego, e que está além do mundo em que vive.(Lao Tsé) "NÃO ALIMENTE OS TROLLS"

27-09-2003, 22:57	#11 (permalink)
Hiei Tô em todas Registrado em: Sep 2001 Localização: São Paulo SP / Zona Sul Idade: 33 Mensagens: 1.909 Reputação: 24	aew galera, soh uma pergunta de n00b :lol: Este script ae serve para quem tem banda larga ? Tipo no meu caso eh o speedy IP Fixo __________________ [GIGABYTE GA-965P-DS3 BR] [QuadCore Intel Core 2 Quad Q6600 2400] [4 GB DDR2 667][LG L196WTQ Wide Digital] [Seagate 120 GB/IDE] [Seagate 500 GB/SATA2] [Seagate 500 GB/SATA2] [DvD-RW LG] [DvD-RW SamSung] [PlayTV MPEG2] [8600 GTS 256/128] [7Team ST-620PAF] [Windows XP 64]

28-09-2003, 0:02	#13 (permalink)
AValle Ubbergeek Registrado em: Dec 2002 Localização: Rio de Janeiro Idade: 36 Mensagens: 4.437 Reputação: 40	O negócio é pegar as dicas de todo mundo e fazer um script só Vai ficar legal isso __________________ Entretenimento é aqui!

		FórumGdH > Redes > Redes, Servidores e Segurança Linux
iptables comunitário!

1. iptables 2. Iptables - "sumir" com portas na interface externa 3. Iptables Comunitário barra MSN. Como abrir a porta ?	4. Tirar Dúvida! iptables Comunitário... Script modificado!
Mais resultados? Use nossa pesquisa.

27-09-2003, 16:27	#7 (permalink)
slackdi Membro Senior Registrado em: Jul 2003 Localização: São José dos Campos/SP (12.223-190) Mensagens: 303 Reputação: 18	Opa e ai Bolão e Avalle .. Parabéns a vcs era isso que eu estava precisando ... Valeu mesmo.....

27-09-2003, 17:13	#8 (permalink)
JohnDoe Super Participante Registrado em: Jul 2001 Mensagens: 774 Reputação: 23	Bom, vc fez algumas regras iptables para servidor, mas queria contribuir com algumas regras q criei, para usuarios domesticos q não querem dar acesso algum a rede. #!/bin/sh #Para Excluir TODAS as regras anteriores do INPUT iptables -F INPUT # Protecao contra port scanners ocultos iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT # Bloqueando tracertroute iptables -A INPUT -p udp -s 0/0 -i ppp+ --dport 33435:33525 -j DROP #Protecoes contra ataques iptables -A INPUT -m state --state INVALID -j DROP #Performance - Setando acesso a web com delay minimo iptables -t mangle -A OUTPUT -o ppp+ -p tcp --dport 53 -j TOS --set-tos Minimize-Delay iptables -t mangle -A OUTPUT -o ppp+ -p tcp --dport 80 -j TOS --set-tos Minimize-Delay #Deixa passar as portas UDP do servidores DNS, e Rejeitar o restante iptables -A INPUT -i ppp+ -p udp -s ipdnsdoprovedor -j ACCEPT iptables -A INPUT -i ppp+ -p udp -s ipdnsdoprovedor -j ACCEPT iptables -A INPUT -i ppp+ -p udp -j REJECT #Bloqueia qualquer tentativa de conexao de fora para dentro por TCP iptables -A INPUT -i ppp+ -p tcp --syn -j DROP #Mesmo assim fechar todas as portas abaixo de 32000 iptables -A INPUT -i ppp+ -p tcp --dport :32000 -j DROP #Responde pacotes icmp especificados e rejeita o restante iptables -A INPUT -i ppp+ -p icmp --icmp-type host-unreachable -j ACCEPT iptables -A INPUT -i ppp+ -p icmp --icmp-type source-quench -j ACCEPT iptables -A INPUT -i ppp+ -p icmp -j REJECT --reject-with icmp-host-unreachable #A regra acima é interessante, pois da a impressão q o host não esta on-line echo "Firewall Configurado" Ele permite o uso normal do navegador mozilla , Licq, Amsn e Evolution (Os que eu uso) e tambem compartilho minha conexão com o squid num arede local sem problemas Eu testei diversas vezes estas regras, e até agora não encontrei nenhuma falha, se alguem quiser comentar ou me dar alguma dica ficarei grato.

29-09-2003, 1:14	#16 (permalink)
AValle Ubbergeek Registrado em: Dec 2002 Localização: Rio de Janeiro Idade: 36 Mensagens: 4.437 Reputação: 40	upa! __________________ Entretenimento é aqui!

29-09-2003, 9:49	#17 (permalink)
Tiago Cruz Highlander Registrado em: Oct 2001 Localização: $HOME/São Paulo/Tatuapé Mensagens: 10.305 Reputação: 34	Angelo, Na parte do bolão coloca os comentarios dele tb ops: Muito legal cara, quando eu crescer quero brincar com isso tb

29-09-2003, 15:37	#18 (permalink)
John Membro Senior Registrado em: Jun 2001 Localização: Coronel Fabriciano/MG Mensagens: 347 Reputação: 23	Peguei o script do default e copiei ele para meu /etc/rc.d/rc.firewall, mas ao visualizá-lo percebi algumas coisas, não uso dhcp posso eliminar (comentar) todas as linhas com relação a ele? e outra coisa ao ativar o firewall não consigo mais montar minhas partições samba dá a seguinte mensagem: Packet send failed to 192.168.0.255(137) ERRNO=Operação não permitida 761: Connection to ccp failed Quais linhas devo comentar para dar certo, desculpe pela ignorancia não sei nada de iptables. __________________ In God We Trust. Slackware 10 K6-2 500 (Onboard) 314Mb

29-09-2003, 19:52	#19 (permalink)
jqueiroz Highlander Registrado em: May 2002 Localização: Tijuca/RJ Idade: 9 Mensagens: 87.782 Reputação: 1756	Comunidade LinuxBSD, Firewall IPTables comentado __________________ Visite Quepolis (link de indicação) \| "chmod 777 nunca ajudou ninguém" (c) 2002-2010 JQueiroz/FGdH CCNP: √ ² CCSI: □ \| Conheça o Novo Bebuns

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail