Arno Iptables Firewall (poderoso e simples)
Neste artigo demonstro como é simples e fácil a instalação do excelente Arno Iptables Firewall como mecanismo de defesa.
Parte 3: Plugins
Agora iremos editar alguns plugins interessantes localizados em /etc/arno-iptables-firewall/plugins. Nos .confs abaixo já alterei a condição de ENABLE=0 para ENABLE=1. Dentre os plugins destaco:
ssh-brute-force-protection.conf (conteúdo já modificado):
traffic-accounting.conf (conteúdo já modificado):
traffic-shaper.conf (conteúdo já modificado para aMule e Transmission):
transparent-dnat.conf (conteúdo já modificado):
transparent-proxy.conf (conteúdo já modificado):
ssh-brute-force-protection.conf (conteúdo já modificado):
ENABLED=1
SSH_BFP_PORTS="22"
SSH_BFP_TRUSTED_HOSTS=""
SSH_BFP_MAX_RATE1="4"
SSH_BFP_MAX_TIME1="60"
SSH_BFP_MAX_RATE2="10"
SSH_BFP_MAX_TIME2="1800"
SSH_BFP_PORTS="22"
SSH_BFP_TRUSTED_HOSTS=""
SSH_BFP_MAX_RATE1="4"
SSH_BFP_MAX_TIME1="60"
SSH_BFP_MAX_RATE2="10"
SSH_BFP_MAX_TIME2="1800"
traffic-accounting.conf (conteúdo já modificado):
ENABLED=1
TRAFFIC_ACCOUNTING_RUN_AT_START=1
TRAFFIC_ACCOUNTING_OLD_CACHE_FALLBACK=1
TRAFFIC_ACCOUNTING_SESSION_FAILED_DNS_SKIP=1
TRAFFIC_ACCOUNTING_CRON="5 * * * *"
TRAFFIC_ACCOUNTING_HOSTS=""
TRAFFIC_ACCOUNTING_RUN_AT_START=1
TRAFFIC_ACCOUNTING_OLD_CACHE_FALLBACK=1
TRAFFIC_ACCOUNTING_SESSION_FAILED_DNS_SKIP=1
TRAFFIC_ACCOUNTING_CRON="5 * * * *"
TRAFFIC_ACCOUNTING_HOSTS=""
traffic-shaper.conf (conteúdo já modificado para aMule e Transmission):
ENABLED=1
DOWNLINK=<Velocidade de Download>
UPLINK=<Velocidade de Upload>
SHAPER_TYPE="htb"
# conteúdo modificado para aMule e Transmission
SHAPER_STREAMINGMEDIA_PORTS="t4662 t51413 u4665 u4672 u51413"
# conteúdo modificado para aMule e Transmission (as portas UDP 53 e TCP 22 já estavam incluídas).
SHAPER_INTERACTIVE_PORTS="u53 t22 t4662 t51413 u4665 u4672 u51413"
# não achei documentação (mantive como estava).
SHAPER_BULKDATA_PORTS="t20 t21 t25 t80 t110 t137:139 u137:139 t143 t443 t465 t515 t993 t8080"
DOWNLINK=<Velocidade de Download>
UPLINK=<Velocidade de Upload>
SHAPER_TYPE="htb"
# conteúdo modificado para aMule e Transmission
SHAPER_STREAMINGMEDIA_PORTS="t4662 t51413 u4665 u4672 u51413"
# conteúdo modificado para aMule e Transmission (as portas UDP 53 e TCP 22 já estavam incluídas).
SHAPER_INTERACTIVE_PORTS="u53 t22 t4662 t51413 u4665 u4672 u51413"
# não achei documentação (mantive como estava).
SHAPER_BULKDATA_PORTS="t20 t21 t25 t80 t110 t137:139 u137:139 t143 t443 t465 t515 t993 t8080"
transparent-dnat.conf (conteúdo já modificado):
# altere de acordo com sua necessidade
ENABLED=1
DNAT_MY_INTERNAL_IP=""
DNAT_MY_EXTERNAL_IP=""
DNAT_TCP_PORTS="80"
DNAT_UDP_PORTS=""
ENABLED=1
DNAT_MY_INTERNAL_IP=""
DNAT_MY_EXTERNAL_IP=""
DNAT_TCP_PORTS="80"
DNAT_UDP_PORTS=""
transparent-proxy.conf (conteúdo já modificado):
ENABLED=1
HTTP_PROXY_PORT="3128"
HTTPS_PROXY_PORT="3128"
FTP_PROXY_PORT="3128"
SMTP_PROXY_PORT="3128"
POP3_PROXY_PORT="3128"
HTTP_PROXY_PORT="3128"
HTTPS_PROXY_PORT="3128"
FTP_PROXY_PORT="3128"
SMTP_PROXY_PORT="3128"
POP3_PROXY_PORT="3128"
Se eu necessitar fazer uma regra do tipo, tudo que chegar na porta 3389 seja redirecionado para o ip 192.168.0.2 ( servidor dentro da minha rede ) como faria ?
Abraços