Pular para o conteúdo

Regras úteis de segurança com iptables

Dica publicada em Linux / Segurança
Jorge Luiz Taioque taioque

Por Jorge Luiz Taioque em 23/09/2004

Hits: 26.887 Categoria: Linux Subcategoria: Segurança
  • Indicar
  • Impressora
  • Denunciar
O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.

Regras úteis de segurança com iptables

Regras contra ataques do DoS e Ping:

Contra DoS:

# iptables -A FORWARD -p tcp -syn -m limit -limit 1/s -j accept

Contra Port Scanners:

# iptables -A FORWARD -o tcp -tcp-flags SYN,ACK,FIN,RST RST -m zlimit -limit 1/s -j accept

Contra Pings:

# iptables -A FORWARD -p icmp -icmp-type echo-request -m limit -limit 1/s -j accept

Bloquear Back Orifice:

# iptables -A INPUT -p tcp --dport 31337 -j DROP
# iptables -A INPUT -p udp --dport 31337 -j DROP

Bloquear NetBus:

# iptables -A INPUT -p tcp --dport 12345:12346 -j DROP
# iptables -A INPUT -p udp --dport 12345:12346 -j DROP

O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.
O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.

Outras dicas deste autor

Regras para bloqueio de NetBios do Windows

Squid x Hotmail

Shell script com Kdialog

Leitura recomendada

Análise de malware com Pyew

Série de Webinars - Auditoria de Segurança em Aplicações WEB

Mais segurança no Ubuntu Linux - Vídeo

Mudando senha de administrador do Windows usando o Linux

Como usar o DISPLAY de outra máquina para exibir seus processos

Comentários

#1 Comentário enviado por cvs em 24/09/2004 - 14:51h
Contra Pings:
# iptables -A FORWARD -p icmp -icmp-type echo-request -m limit -limit 1/s -j accept

Isso, na verdade, é contra ping da morte, ele esta limitando 1 ping por segundo apenas.
#2 Comentário enviado por lacierdias em 24/09/2004 - 17:11h
Maneiro..... Mandou bem....isso pode entrar em qualquer posição no FW???
#3 Comentário enviado por reimassupilami em 15/02/2005 - 14:53h
cara, bacana ae os comandos hein, bem simples e objetivo...

sabe onde posso encontrar mais material falando sobre os tipos de ataques e como evitá-los?

falow...
#4 Comentário enviado por leoberbert em 16/12/2005 - 10:17h
Boa dica... 100%

Mandou bem!!!
#5 Comentário enviado por Ecator em 27/03/2006 - 22:23h
eu tentei, mas da este erro.. "[root@localhost sbin]# iptables -A FORWARD -p tcp -syn -m limit -limit 1/s -j accept
iptables v1.3.0: Unknown arg `limit'
Try `iptables -h' or 'iptables --help' for more information." vc pode me ajudar? uso o fedora core 4 i386
#6 Comentário enviado por medeiros64 em 16/04/2006 - 18:44h
olha ai consigui bloquear ping assim

iptables -A INPUT -p icmp -j DROP

Ecator lsmod mostra os modulos q vc ta usando tenta olhar, mais acho q isso acontece pq o modulo ipt_limit nao esta carregado

tenta carregalo assim /sbin/modprobe ipt_limit

blz t+ bela dica prabens
#7 Comentário enviado por demattos em 09/09/2006 - 20:39h
Funciona bem mas somente com versoe do iptabes inferior ao v1.3.5
#8 Comentário enviado por claudioveronezi em 19/03/2007 - 16:24h
entao, realmente util a dica, mas o ideal de todo o firewall é bloquear tudo e liberar apenas oq se pode passar..
eu na verdande nao costumo fazer bloqueios .. mas sim liberacoes...
eu achei legal segunda regra, nao tinha visto e aproveitei bem...
as outras já estavam bloqueadas por padrao no meu firewall sem eu saber ..

VLW IRMAO.. Muito obrigado pela dica.
#9 Comentário enviado por removido em 20/03/2007 - 19:57h
Sim,
mais add digito ou sei la o q aonde ?
#10 Comentário enviado por edipo.magrelo em 17/01/2008 - 15:03h
#Bloqueando ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j accept
iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP

esta faltando alguns tracinhos (-) ai no seu post.....falow
#11 Comentário enviado por allisonvoll em 26/03/2009 - 08:41h
Se não me engano ja postaram um artigo sobre isso aqui mais é bom alertar do mesmo jeito.

A sua primeira regra vai liberar somente 1 pacote syn (requisição de conexão) por segundo independente da origem, então com essa regra você esta facilitando o ataque Dos (denial of service) visto que o atacante com apenas 1 pacote / segundo ja consegue o que queria.

Nesse caso o indicado contra synflood seria: ( OBS: SERIA MAS NÂO É )

Ativar o tcp_syncookies direto no kernel através do sistema de arquivos proc

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

Ou ativando direto no /etc/sysctl.conf

Porém o uso desse recurso não é recomendado hoje em dia, atualmente o kernel ja possui recursos o suficiente para tratar ataques de synflood, como descrito em [1]

[1] http://lkml.org/lkml/2008/2/5/167

Contribuir com comentário

Entre na sua conta para comentar.