Regras úteis de segurança com iptables

Publicado por Jorge Luiz Taioque em 23/09/2004

[ Hits: 26.245 ]

 


Regras úteis de segurança com iptables



Regras contra ataques do DoS e Ping:

Contra DoS:

# iptables -A FORWARD -p tcp -syn -m limit -limit 1/s -j accept

Contra Port Scanners:

# iptables -A FORWARD -o tcp -tcp-flags SYN,ACK,FIN,RST RST -m zlimit -limit 1/s -j accept

Contra Pings:

# iptables -A FORWARD -p icmp -icmp-type echo-request -m limit -limit 1/s -j accept

Bloquear Back Orifice:

# iptables -A INPUT -p tcp --dport 31337 -j DROP
# iptables -A INPUT -p udp --dport 31337 -j DROP


Bloquear NetBus:

# iptables -A INPUT -p tcp --dport 12345:12346 -j DROP
# iptables -A INPUT -p udp --dport 12345:12346 -j DROP


Outras dicas deste autor

Regras para bloqueio de NetBios do Windows

Shell script com Kdialog

Squid x Hotmail

Leitura recomendada

Bloqueie o acesso à sua máquina

Guias das Melhores Práticas de Segurança para GNU/Linux

Limitando a 1 login por usuário

Esqueceu a senha do root. Troque-a

PortDog - Detectando anomalias na sua rede

  

Comentários
[1] Comentário enviado por cvs em 24/09/2004 - 14:51h

Contra Pings:
# iptables -A FORWARD -p icmp -icmp-type echo-request -m limit -limit 1/s -j accept

Isso, na verdade, é contra ping da morte, ele esta limitando 1 ping por segundo apenas.

[2] Comentário enviado por lacierdias em 24/09/2004 - 17:11h

Maneiro..... Mandou bem....isso pode entrar em qualquer posição no FW???

[3] Comentário enviado por reimassupilami em 15/02/2005 - 14:53h

cara, bacana ae os comandos hein, bem simples e objetivo...

sabe onde posso encontrar mais material falando sobre os tipos de ataques e como evitá-los?

falow...

[4] Comentário enviado por leoberbert em 16/12/2005 - 10:17h

Boa dica... 100%

Mandou bem!!!

[5] Comentário enviado por Ecator em 27/03/2006 - 22:23h

eu tentei, mas da este erro.. "[root@localhost sbin]# iptables -A FORWARD -p tcp -syn -m limit -limit 1/s -j accept
iptables v1.3.0: Unknown arg `limit'
Try `iptables -h' or 'iptables --help' for more information." vc pode me ajudar? uso o fedora core 4 i386

[6] Comentário enviado por medeiros64 em 16/04/2006 - 18:44h

olha ai consigui bloquear ping assim

iptables -A INPUT -p icmp -j DROP

Ecator lsmod mostra os modulos q vc ta usando tenta olhar, mais acho q isso acontece pq o modulo ipt_limit nao esta carregado

tenta carregalo assim /sbin/modprobe ipt_limit

blz t+ bela dica prabens

[7] Comentário enviado por demattos em 09/09/2006 - 20:39h

Funciona bem mas somente com versoe do iptabes inferior ao v1.3.5

[8] Comentário enviado por claudioveronezi em 19/03/2007 - 16:24h

entao, realmente util a dica, mas o ideal de todo o firewall é bloquear tudo e liberar apenas oq se pode passar..
eu na verdande nao costumo fazer bloqueios .. mas sim liberacoes...
eu achei legal segunda regra, nao tinha visto e aproveitei bem...
as outras já estavam bloqueadas por padrao no meu firewall sem eu saber ..

VLW IRMAO.. Muito obrigado pela dica.

[9] Comentário enviado por removido em 20/03/2007 - 19:57h

Sim,
mais add digito ou sei la o q aonde ?

[10] Comentário enviado por edipo.magrelo em 17/01/2008 - 15:03h

#Bloqueando ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j accept
iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP

esta faltando alguns tracinhos (-) ai no seu post.....falow

[11] Comentário enviado por allisonvoll em 26/03/2009 - 08:41h

Se não me engano ja postaram um artigo sobre isso aqui mais é bom alertar do mesmo jeito.

A sua primeira regra vai liberar somente 1 pacote syn (requisição de conexão) por segundo independente da origem, então com essa regra você esta facilitando o ataque Dos (denial of service) visto que o atacante com apenas 1 pacote / segundo ja consegue o que queria.

Nesse caso o indicado contra synflood seria: ( OBS: SERIA MAS NÂO É )

Ativar o tcp_syncookies direto no kernel através do sistema de arquivos proc

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

Ou ativando direto no /etc/sysctl.conf

Porém o uso desse recurso não é recomendado hoje em dia, atualmente o kernel ja possui recursos o suficiente para tratar ataques de synflood, como descrito em [1]

[1] http://lkml.org/lkml/2008/2/5/167



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts