uesleisouza
(usa Debian)
Enviado em 15/02/2009 - 23:23h
Ola utilizo a certo tempo o Linux, mas agora estou montando um servidor para uma empresa de médio porte, tenho algumas configuraçoes de um firewall, q fui montando pegando partes de varios scripts, e ajustando para minha necessidade, o script esta pequeno, mas acredito q eficaz, gostaria q me ajudasem mandando sujestões para melhora-lo ou se há alguma falha.
#Limpando todas configuraçoes anteriores
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -Z
#Bloqueia os acessos
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#Libera o compartilhamento da internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
# Protecao contra port scanners ocultos
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP
#Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j DROP
#Libera a porta 22 do PUTTY
iptables -A INPUT -i eth0 -p tcp --dport 22022 -j ACCEPT
#Libera a porta 3306 do MySQL
iptables -A INPUT -i eth0 -p tcp --dport 3306 -j ACCEPT
#Libera a porta 80 do Apache
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
#Redireciona as portas do VNC nos outros computadores
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 50000 -j DNAT --to-destination 192.168.0.8:5900
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 50001 -j DNAT --to-destination 192.168.0.9:5900
#Redireciona as portas do VNC em outro Micro
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 50002 -j DNAT --to-destination 192.168.0.4:5900
#Redireciona as portas para outrs conexoes
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 3550 -j DNAT --to-destination 192.168.0.7
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 1024 -j DNAT --to-destination 192.168.0.7
#Lembrando q todas essas excesões são realmente necessarias como do VNC e outros serviços q a empresa precisa, vou usar o squid tambem para controle de acesso a site, bloqueio de msn, etc, sei q eh necessario criar outro direcionamento nat para isso, mas por enquanto não vem ao caso, gostaria de uma opinão antes de implementa-lo obrigado.