Firewall Rapido E Facil

Neste artigo mostrarei um script de firewall utilizando iptables com regras que julgo necessárias para a segurança da sua rede, além de opções de NATs, proxy transparente, logs, etc.

A configuração do meu servidor é a seguinte:

Ambiente testado:

Distro: Fedora Core 2

A máquina possui 2 interfaces de rede:

Intranet: eth1 - 10.0.0.0/24

ADSL: eth0 - 192.168.200.1/24 - GW: 192.168.200.254

Neste exemplo todo o tráfego da minha rede sai para a internet através do gateway (roteador) 192.168.200.254, passando antes pelo meu firewall.

Abaixo segue o script detalhado e comentado. Provavelmente você só precisará alterar o conteúdo das variáveis IF_EXTERNA e IF_INTERNA, correspondente às interfaces do seu firewall e mais no final do script as regras que tratam de possíveis NATs, proxy transparente, etc. Estas regras estão comentadas:

#!/bin/sh

# Variáveis

# -------------------------------------------------------

iptables=/sbin/iptables

IF_EXTERNA=eth0

IF_INTERNA=eth1

# Ativa módulos

# -------------------------------------------------------

/sbin/modprobe iptable_nat

/sbin/modprobe ip_conntrack

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ipt_LOG

/sbin/modprobe ipt_REJECT

/sbin/modprobe ipt_MASQUERADE

# Ativa roteamento no kernel

# -------------------------------------------------------

echo "1" > /proc/sys/net/ipv4/ip_forward

# Proteção contra IP spoofing

# -------------------------------------------------------

echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

# Zera regras

# -------------------------------------------------------

$iptables -F

$iptables -X

$iptables -F -t nat

$iptables -X -t nat

$iptables -F -t mangle

$iptables -X -t mangle

# Determina a política padrão

# -------------------------------------------------------

$iptables -P INPUT DROP

$iptables -P OUTPUT DROP

$iptables -P FORWARD DROP

#################################################

# Tabela FILTER

#################################################

# Dropa pacotes TCP indesejáveis

# -------------------------------------------------------

$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FIREWALL: NEW sem syn: "

$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

# Dropa pacotes mal formados

# -------------------------------------------------------

$iptables -A INPUT -i $IF_EXTERNA -m unclean -j LOG --log-level 6 --log-prefix "FIREWALL: pacote mal formado: "

$iptables -A INPUT -i $IF_EXTERNA -m unclean -j DROP

# Aceita os pacotes que realmente devem entrar

# -------------------------------------------------------

$iptables -A INPUT -i ! $IF_EXTERNA -j ACCEPT

$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

$iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

# Proteção contra trinoo

# -------------------------------------------------------

$iptables -N TRINOO

$iptables -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trinoo: "

$iptables -A TRINOO -j DROP

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27444 -j TRINOO

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27665 -j TRINOO

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 31335 -j TRINOO

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 34555 -j TRINOO

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 35555 -j TRINOO

# Proteção contra tronjans

# -------------------------------------------------------

$iptables -N TROJAN

$iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trojan: "

$iptables -A TROJAN -j DROP

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport

...