Após ver várias e várias dicas de como deixar seu Linux mais seguro, resolvi mandar essa dica para vocês, que é um pouquinho mais completa que as outra que vemos por aí. Isso não vai garantir 100% de segurança, mas com certeza será muito útil, afinal, segurança nunca é demais.
Vamos bloquear pessoas que tentarem enviar qualquer pacotes com IPs locais, como se fossem de uma rede interna.
iptables -A INPUT -s 10.0.0.0/255.0.0.0 -j DROP
iptables -A INPUT -s 172.0.0.0/255.0.0.0 -j DROP
iptables -A INPUT -s 192.0.0.0/255.0.0.0 -j DROP
(Esse código não é recomendado para pessoas que utilizem rede local)
Vamos anular agora os famosos pacotes ICMP (Ping):
Proteções diversas contra portscanners, ping of death, ataques DoS, etc:
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP
Algumas boas idéias retiradas do Arno's iptables firewall:
iptables -N VALID_CHECK
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP
Bem amigos, por enquanto é só, essas são algumas proteções muito úteis e funcionais para nosso Linux, assim que descobrir mais postarei aqui para vocês.
Esta regra só permitirá pacotes icmp para máquinas que estejam em qualquer endereço ip, menos no citado acima.
Configurando o firewall contra ataques
Abaixo, um exemplo de configuração de um firewall contra os ataques mais constantes realizados pelos hackers em servidores da Web. Setando essas configurações, o servidor configurado dificilmente será atacado, veja:
Proteção contra Syn-floods:
Ataques do tipo DoS - um usuário envia um grande número de pacotes SYN ao servidor, que não suportará a grande carga de pacotes enviados e cairá. Setando a configuração abaixo, isso poderá ser evitado:
[6] Comentário enviado por Ecator em 27/03/2006 - 22:36h
pessoal, eu sou iniciante no linux.. uso o Fedora Core 4 com o "iptables v1.3.0"... para eu setar estas confs no iptables existe algum comando previo, ou posterior do tiso "save" ou algo assim ou basta eu digitar os comandos acima ?
[8] Comentário enviado por mudblur em 16/02/2007 - 02:06h
Caro amigo,
No Slackware se você criar um script chamado "rc.firewall" dentro de "/etc/rc.d/" e dar a permissão de execução, o Slackware executará o script. Recomendo por ser mais "profissional" do que simplismente encher o rc.local com regras do iptables.