C.Joseph
(usa Slackware)
Enviado em 19/09/2007 - 22:15h
Olá a todos, espero que esta minha dúvida possa auxiliar a todos os que assim como eu, tem interesse em aprender mais sobre o mundo Linux e sobre o firewall IPTABLES.
Eu fui no site
www.guiadohardware.net e vi a seção iptables comunitário.
Peguei este script aqui abaixo e estou com essa dúvida: Esse script está bom o suficiente para que eu possa acessar a internet sem risco de invasão? Eu utilizo o Slackware 11 mas o utilizo a pouco tempo e estou aprendendo tudo o que posso para ser um bom usuário Linux.
Aos que puderem me auxiliar eu agradeço não só a força que vocês puderem me dar, mas a toda essa união de uma comunidade que visa
Segue abaixo o script:
#!/bin/sh
echo "Carregando o firewall..."
# carregando os modulos
modprobe ip_tables
modprobe iptable_nat
#Para Excluir TODAS as regras anteriores do INPUT
iptables -F INPUT
# Protecao contra port scanners ocultos
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i ppp+ --dport 33435:33525 -j DROP
#Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j DROP
#Performance - Setando acesso a web com delay minimo
iptables -t mangle -A OUTPUT -o ppp+ -p tcp --dport 53 -j TOS --set-tos Minimize-Delay
iptables -t mangle -A OUTPUT -o ppp+ -p tcp --dport 80 -j TOS --set-tos Minimize-Delay
#Deixa passar as portas UDP do servidores DNS, e Rejeitar o restante
iptables -A INPUT -i ppp+ -p udp -s ipdnsdoprovedor -j ACCEPT
iptables -A INPUT -i ppp+ -p udp -s ipdnsdoprovedor -j ACCEPT
iptables -A INPUT -i ppp+ -p udp -j REJECT
#Bloqueia qualquer tentativa de conexao de fora para dentro por TCP
iptables -A INPUT -i ppp+ -p tcp --syn -j DROP
#Mesmo assim fechar todas as portas abaixo de 32000
iptables -A INPUT -i ppp+ -p tcp --dport :32000 -j DROP
#Responde pacotes icmp especificados e rejeita o restante
iptables -A INPUT -i ppp+ -p icmp --icmp-type host-unreachable -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp --icmp-type source-quench -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp -j REJECT --reject-with icmp-host-unreachable
#A regra acima é interessante, pois da a impressão q o host não esta on-line
# bloqueia ping
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
# ----------------------------------------------------------------
echo "Firewall Configurado"
#EOF