gustavohsr
(usa Debian)
Enviado em 24/01/2011 - 22:56h
MEU FIREWALL...
######################################################################
# IP da Rede
NETWORK=192.168.100.0/24
NETWORK_2=10.10.10.0/24
# Interface da Rede Local - LAN
ILAN=eth0
ILAN_2=eth2
# Interface da Rede Externa - Internet
INET=eth1
IPT=/sbin/iptables
if [ ! -x $IPT ]; then
if [ -e $IPT ]; then
echo "O programa 'iptables' está sem permissão de execução"
else
echo "O programa 'iptables' não está instalado atualmente. Você pode instalá-lo digitando:"
echo "sudo apt-get install iptables"
fi
exit 0
fi
CLEAN_RULES () {
# Removendo regras
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
# Apagando chains
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
# Zerando contadores
$IPT -Z
$IPT -t nat -Z
$IPT -t mangle -Z
}
REDIRECT () {
$IPT -t nat -A PREROUTING -i $ILAN -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -i $ILAN_2 -p tcp --dport 80 -j REDIRECT --to-port 3128
}
SHARE_INTERNET () {
#Mascaramento
$IPT -t nat -A POSTROUTING -o $INET -s $NETWORK -j MASQUERADE
$IPT -t nat -A POSTROUTING -o $INET -s $NETWORK_2 -j MASQUERADE
# Ativando o redirecionamento de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
}
SECURITY () {
# Proteção para SYN Flood
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# Rejeitar requisição de ICMP Echo destinado a Broadcasts e Multicasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Ignorar Mensagens Falsas de icmp_error_responses
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
for i in /proc/sys/net/ipv4/conf/*; do
# Não Redirecionar Mensagens ICMP
echo 0 > $i/accept_redirects
# Proteção a Ataques IP Spoofing
echo 0 > $i/accept_source_route
# O kernel decide se envia resposta pelo mesmo endereço ou não.
echo 1 > $i/arp_filter
# Permitir que Pacotes Forjados sejam logados pelo próprio kernel
echo 1 > $i/log_martians
# Verificar Endereço de Origem do Pacote (Proteção a Ataques IP Spoofing)
echo 1 > $i/rp_filter
done
}
LOG () {
$IPT -A INPUT -i $INET -p tcp --dport 135 -j DROP
$IPT -A INPUT -p tcp -m multiport ! --dports 0:1056 -j DROP
$IPT -A INPUT -p udp -j DROP
$IPT -A INPUT -p icmp -j DROP
$IPT -A INPUT -m limit --limit 3/m --limit-burst 3 -j LOG --log-prefix "LOG-FW: "
}
SERVER_RULES () {
# Apache - Servidor Web
#$IPT -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
# Apache TomCat - Servidor Web
#$IPT -A INPUT -p tcp --dport 8080 -j ACCEPT
# Bind9 - Servidor DNS
$IPT -A INPUT -p udp --dport 53 -j ACCEPT
# DanGuardian - Servidor Proxy
#$IPT -A INPUT -i $ILAN -p tcp --dport 8080 -j ACCEPT
# DHCP - Servidor DHCP
$IPT -A INPUT -i $ILAN -p udp --sport 68 --dport 67 -j ACCEPT
$IPT -A INPUT -i $ILAN_2 -p udp --sport 68 --dport 67 -j ACCEPT
# Squid - Servidor Proxy
$IPT -A INPUT -i $ILAN -p tcp --dport 3128 -j ACCEPT
$IPT -A INPUT -i $ILAN_2 -p tcp --dport 3128 -j ACCEPT
# SSH - Servidor SSH
$IPT -A INPUT -p tcp --dport 2222 -m state --state NEW -m recent --update --seconds 300 --hitcount 20 -j DROP
$IPT -A INPUT -p tcp --dport 2222 -m state --state NEW -m recent --set
$IPT -A INPUT -p tcp --dport 2222 -j ACCEPT
}
SERVICE_RULES () {
# DNS - Serviço de Nomes de Dominios
$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 53,5353 -j ACCEPT
$IPT -A FORWARD -o $INET -p udp -m multiport --dports 53,5353 -j ACCEPT
# FTP - Protocolo de Transferência de Arquivo
#$IPT -A FORWARD -o $INET -p tcp --dport 21 -j ACCEPT
# HTTP - Protocolo de Transferência de Hypertext
#IPT -A FORWARD -o $INET -p tcp -m multiport --dports 80,8080 -j ACCEPT
# HTTPS - Protocolo de Transferência de Hypertext Seguro
$IPT -A FORWARD -o $INET -p tcp --dport 443 -j ACCEPT
# MSNMS - Serviço de Mensageiro de Rede da Microsoft
$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 1863,7001 -j ACCEPT
$IPT -A FORWARD -o $INET -p udp --dport 7001 -j ACCEPT
# NTP - Protocolo para sincronização dos relógios
$IPT -A FORWARD -o $INET -p udp --dport 123 -j ACCEPT
# Ping
$IPT -A INPUT -i $ILAN -p icmp --icmp-type 8 -j ACCEPT
$IPT -A INPUT -i $ILAN_2 -p icmp --icmp-type 8 -j ACCEPT
$IPT -A FORWARD -o $INET -p icmp --icmp-type 8 -j ACCEPT
# WIRELESS - Aceita trafego entre a rede Wireless e com fio
$IPT -A FORWARD -i $ILAN -o $ILAN_2 -j DROP
$IPT -A FORWARD -i $ILAN_2 -o $ILAN -j DROP
$IPT -A FORWARD -s $NETWORK -d $NETWORK_2 -j DROP
$IPT -A FORWARD -s $NETWORK_2 -d $NETWORK -j DROP
}
ENABLE_FW () {
# Removendo regras, apagando chains e zerando contadores
CLEAN_RULES
# Política
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP
# Adicionando redirecionamentos
REDIRECT
# Compartilhando a Internet
SHARE_INTERNET
# Atribuindo segurança
SECURITY
# Adicionando regras p/ Servidores
SERVER_RULES
# Adicionando regras p/ Serviços
SERVICE_RULES
#ANTI_TROJAN
ANTI_TROJAN
# Manter Conexões Estabelecidas
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Liberando o Tráfego na Interface loopback
$IPT -A INPUT -i lo -j ACCEPT
# LOGs
LOG
#PSAD
$IPT -A INPUT -j LOG
$IPT -A FORWARD -j LOG
}
DISABLE_FW () {
# Removendo regras, apagando chains e zerando contadores
CLEAN_RULES
# Política
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
# Adicionando redirecionamentos
REDIRECT
# Compartilhando a Internet
SHARE_INTERNET
}
MODULES () {
MOD[0]="iptable_filter"
MOD[1]="iptable_nat"
MOD[2]="iptable_mangle"
MOD[3]="ipt_LOG"
MOD[4]="ipt_REDIRECT"
MOD[5]="ipt_MASQUERADE"
for N in $(seq 0 5); do
if [ -z "$(lsmod | grep ${MOD[$N]})" ]; then
/sbin/modprobe ${MOD[$N]}
fi
done
}
EXEC () {
if [ $(whoami) == "root" ]; then
MODULES
$1
RET=0
else
echo "You're not a user root: Operation not permitted"
RET=1
fi
}
. /lib/lsb/init-functions
case "$1" in
start)
log_daemon_msg "Starting Firewall iptables"
EXEC ENABLE_FW
;;
stop)
log_daemon_msg "Stopping Firewall iptables"
EXEC DISABLE_FW
;;
restart|reload)
log_action_begin_msg "Reloading Firewall configuration..."
echo "Reloading Firewall configuration rules."
EXEC ENABLE_FW
;;
*)
log_success_msg "Usage: $0 {start|stop|restart|reload}"
esac
log_end_msg $RET
exit $RET