Firewall - Domestico

Ola, Tudo Bem ?


Esse e o meu primeiro post neste site, apesar de ja conhecer este site a muito e tempo(obs. ja me ajudou bastante).
Pois bem, recentemente criei um scrip Firewall Iptables para uso domestico baseado em alguns artigos que li na internet, porem acho que ele não esta completa ainda acho ele meio vulneravel, então gostaria da opção e sugestões de vcs sobre o que esta faltando e etc no firewall abaixo.


#!/bin/bash

# Limpando Regras

iptables -F
echo "[0]"

# Politica Padrao
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
echo "[1]"

# Abrindo Portas de Entrada

iptables -A INPUT -p tcp -m multiport --dport 80,53,443,9100 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 80,53,443 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dport 80,53,443,9100 -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dport 80,53,443 -j ACCEPT
echo "[2]"

# Bloqueando Portas UDP/TCP 0-1023

iptables -A INPUT -p udp -m multiport --dport 0:1023 -j DROP
iptables -A INPUT -p tcp -m multiport --dport 0:1023 -j DROP
iptables -A OUTPUT -p udp -m multiport --dport 0:1023 -j DROP
iptables -A OUTPUT -p tcp -m multiport --dport 0:1023 -j DROP
echo "[3]"

# Permitindo conexoes pre estabelecidas
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "[4]"

Procure na sessão dicas/artigos esta cheio de material sobre isso.
A depois vc tera mais "duvidas" e mais completo, ai sim poste aqui.
Essa é minha dica inicial para vc que esta começando a "lidar" com Iptables.

#-------------------------------------------------------------------------------------#
Administrador de Redes Mistas Linux/Windows
LPI 101-102
LPI 201
Para consultas particulares acesse:
www.cunhatec.com.br

"Falar é fácil, me mostre o código." - Linus Torvalds

#-------------------------------------------------------------------------------------#
Administrador de Redes Mistas Linux/Windows
LPI 101-102
LPI 201
Para consultas particulares acesse:
www.cunhatec.com.br

"Falar é fácil, me mostre o código." - Linus Torvalds

Ola,

para testar se o seu firewall está satisfatório entre neste site:

GRC - ShieldsUP
https://www.grc.com/x/ne.dll?bh0bkyd2

- Vai aparecer dois botoes "Proceed"; clique no botão de baixo;

- Na próxima página faça os três testes (clique nos botões): "All Service Ports", "Common Ports" e "File Sharing".

- Os resultados para cada teste tem ser, respectivamente: "Passed", "Passed" e "Your Internet port 139 does not appear to exist"/"Unable to connect with NetBIOS to your computer".

Se esses não forem os resultados o seu firewall esta RUIM. Faça e nos diga os resultados de seu firewall!

Conforme disse o colega, é bom você dar uma pesquisada na net para entender as regras de iptables...

Está tudo muito ou contraditório ou desnecessário..

por exemplo,

Você está definido a regra de Output padrão como accept (iptables -P OUTPUT ACCEPT), então, não tem sentido fazer nenhuma permissão. Nesse caso, são desnecessárias as seguintes linhas:

iptables -A OUTPUT -p tcp -m multiport --dport 80,53,443,9100 -j ACCEPT

iptables -A OUTPUT -p udp -m multiport --dport 80,53,443 -j ACCEPT



iptables -A OUTPUT -p udp -m multiport --dport 0:1023 -j DROP

iptables -A OUTPUT -p tcp -m multiport --dport 0:1023 -j DROP  

de modo semelhante..

uma vez que você definiu a política padrão do Input como Drop, então, é desnecessária as seguintes linhas..

iptables -A INPUT -p udp -m multiport --dport 0:1023 -j DROP

iptables -A INPUT -p tcp -m multiport --dport 0:1023 -j DROP