Guia do Hardware | http://www.guiadohardware.net


:. Indique este site a um amigo
Responsável:
:. Novo na área? Leia: Hardware, Redes e Linux para iniciantes

Seções Artigos

+ HOME
    :. Artigos
    :. Tutoriais
    :. Dicas Linux
    :. FAQ

+ Livros
    :. Entendendo e Dominando o Linux
    :. Kurumin: Desvendando seus segredos
    :. Dicionario de termos técnicos

    :. Notícias
    :. Overclock
    :. Análises

+ Publicações
    :. cd GDH
    :. cds Mandrake
    :. cds do Linux
    :. E-Books
    :. Cursos Presenciais

+ Kurumin Linux
    :. Manual
    :. FAQ
    :. Dicas
    :. Change-log
    :. Forum
    :. Download

+ Outros
    :. Fórum
    :. Humor
    :. Palm
    :. Quiz
    :. Cursos online
        :. Hardware
        :. Redes
        :. Gravação de cds
        :. Notebooks
        :. Setup

Cursos Linux
com Carlos E. Morimoto:

Em Porto Alegre:
Curso Entendendo e Dominando o Linux, 48 horas/aula:

Turma 1 - de 30/08 a 23/09, com aulas de Segunda à Quinta, das 18:30 às 21:30.
Turma 2 - (intensivo): de 27/09 a 09/10, com aulas de Segunda à Sexta, das 14:00 às 18:00 e aos Sábados das 09:00 às 13:00.
Turma 3 - de 09/10 a 13/11, com aulas às terças e quintas, das 19:15 às 22:30 e sábados, das 10:00 às 18:00.

Clique aqui para ver mais informações sobre os cursos

Invista em
conhecimento:

:.cd-ROM Guia do Hardware: Todos os e-books e uma cópia off-line de todo o site por R$ 21,00

:.Linux Mandrake 9.2 GDH, com manual em Português e aplicativos. 4 cds por R$ 26,00

:. E-Books de Carlos E. Morimoto:
- Dicionário Técnico de Informática 3ed.
- Entendendo e Dominando o Linux 6ed.
- Manual de Hardware Completo 3ed.
- Redes 3ed
- Upgrade e Manutenção
- Novas tecnologias 3ed.
Todos os e-books por
R$ 8,00
Download livre, pegue só depois de baixar.

:. cds do Linux:
Kurumin+Kokar R$ 15,00
Debian 3.0 rc02 R$ 40,00
Knoppix3.3 R$ 10,00
Slackware 9.1 R$ 14,00
Red Hat 9 R$ 20,00
DemoLinux R$ 10,00
Peanut R$ 10,00
FreeBSD R$ 20,00
NetBSD R$ 20,00
Libranet R$ 10,00
Definity R$ 10,00
E outras distribuições

:. Iptables comunitário

Por Angelo Valle
http://www.guiadohardware.net
25/08/2004

Em 27 de Setembro de 2003 nasceu a idéia de se fazer um script "comunitário" para o Iptables. E deu certo!

:. Mas como isso funciona?

Através do Fórum GdH (http://forumgdh.net) alguns usuários enviaram suas edições para a criação de um script mais completo para que outras pessoas pudessem o utilizar. O resultado após 1 ano é este aqui que veremos logo abaixo.

Este é o link original do projeto:
http://forumgdh.net/viewtopic.php?p=698322

Use o mesmo para enviar a sua contribuição, tirar as suas dúvidas ou fazer comentários. Este é o propósito deste artigo: Compartilhar a informação.

:. Links interessantes que merecem uma visita:

http://guiadohardware.net/artigos/273/
Artigo do Carlos que trata sobre a configuração do Kurumin Firewall
http://guiadohardware.net/livros/kurumin/02/
Trecho do Livro "Kurumin: Desvendando seus segredos" que aborda mais o assunto

Veja abaixo o script. A data de atualização sempre será impressa no próprio.
Copie o conteudo e salve em seu micro, não esqueça de dar permissão de execução (# chmod +x nome-do-arquivo) e depois, comente no ForumGdH o seu resultado :)

Importante: Edite os ips de acordo com a sua rede. O mesmo para as portas de alguns serviços, como o bittorrent por exemplo.

#!/bin/bash

              

              # ----------------------------------------------------------------

              # Script iptables montado pela comunidade forumgdh.net

              # http://forumgdh.net

              # Última atualização: 25/08/2004

              # ---

              # Participantes na ordem alfabetica:

              # AValle

              # bolao

              # Default

              # JohnDoe

              # ----------------------------------------------------------------

              

              echo "Carregando o firewall..."

              

              # Definindo as variaveis

              IPTABLES="/sbin/iptables"

              REDEINT="192.168.0.0/8"

              IPDNSPROVEDOR="200.227.128.21"

              ENT="ppp+"

              

              # carregando os modulos

              modprobe ip_tables

              modprobe iptable_nat

              

              # limpando as tabelas

              $IPTABLES -F

              $IPTABLES -t nat -F

              

              # Protege contra os "Ping of Death"

              $IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

              

              # Protege contra os ataques do tipo "Syn-flood, DoS, etc"

              $IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

              

              # Permitir repassamento (NAT,DNAT,SNAT) de pacotes etabilizados e os relatados ...

              $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

              

              # Logar os pacotes mortos por inatividade ...

              $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG

              

              # Protege contra port scanners avançados (Ex.: nmap)

              $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

              

              # Protege contra pacotes que podem procurar e obter informações da rede interna ...

              $IPTABLES -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

              

              # Protege contra todos os pacotes danificados e ou suspeitos ...

              $IPTABLES -A FORWARD -m unclean -j DROP

              

              # Bloqueando tracertroute

              $IPTABLES -A INPUT -p udp -s 0/0 -i $ENT --dport 33435:33525 -j DROP

              

              # Protecoes contra ataques

              $IPTABLES -A INPUT -m state --state INVALID -j DROP

              

              # Performance - Setando acesso a web com delay minimo

              $IPTABLES -t mangle -A OUTPUT -o $ENT -p tcp --dport 53 -j TOS --set-tos Minimize-Delay

              $IPTABLES -t mangle -A OUTPUT -o $ENT -p tcp --dport 80 -j TOS --set-tos Minimize-Delay

              

              # Deixa passar as portas UDP do servidores DNS, e Rejeitar o restante

              $IPTABLES -A INPUT -i $ENT -p udp -s $IPDNSPROVEDOR -j ACCEPT

              $IPTABLES -A INPUT -i $ENT -p udp -s $IPDNSPROVEDOR -j ACCEPT

              $IPTABLES -A INPUT -i $ENT -p udp -j REJECT

              

              # Bloqueia qualquer tentativa de conexao de fora para dentro por TCP

              $IPTABLES -A INPUT -i $ENT -p tcp --syn -j DROP

              

              # Mesmo assim fechar todas as portas abaixo de 32000

              $IPTABLES -A INPUT -i $ENT -p tcp --dport :32000 -j DROP

              

              # Responde pacotes icmp especificados e rejeita o restante

              $IPTABLES -A INPUT -i $ENT -p icmp --icmp-type host-unreachable -j ACCEPT

              $IPTABLES -A INPUT -i $ENT -p icmp --icmp-type source-quench -j ACCEPT

              $IPTABLES -A INPUT -i $ENT -p icmp -j REJECT --reject-with icmp-host-unreachable

              

              # Rejeita o Kazaa (não testado ainda)

              #$IPTABLES -A FORWARD -p tcp -m string --string X-Kazaa-Username: -j REJECT --reject-with tcp-reset

              

              # libera acesso interno da rede

              $IPTABLES -A INPUT -p tcp --syn -s $REDEINT -j ACCEPT

              $IPTABLES -A OUTPUT -p tcp --syn -s $REDEINT -j ACCEPT

              $IPTABLES -A FORWARD -p tcp --syn -s $REDEINT -j ACCEPT

              

              # libera o loopback

              $IPTABLES -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

              

              # libera conexoes de fora pra dentro

              $IPTABLES -A INPUT -p tcp --destination-port 80 -j ACCEPT

              #$IPTABLES -A INPUT -p tcp --destination-port 443 -j ACCEPT

              #$IPTABLES -A INPUT -p tcp --destination-port 20 -j ACCEPT

              #$IPTABLES -A INPUT -p tcp --destination-port 21 -j ACCEPT

              #$IPTABLES -A INPUT -p tcp --destination-port 22 -j ACCEPT

              

              #libera conexoes de dentro pra fora:

              $IPTABLES -A OUTPUT -p tcp --destination-port 80 -j ACCEPT

              $IPTABLES -A OUTPUT -p tcp --destination-port 3306 -j ACCEPT

              $IPTABLES -A OUTPUT -p tcp --destination-port 22 -j ACCEPT

              $IPTABLES -A OUTPUT -p tcp --destination-port 20 -j ACCEPT

              $IPTABLES -A OUTPUT -p tcp --destination-port 21 -j ACCEPT

              $IPTABLES -A OUTPUT -p tcp --destination-port 86 -j ACCEPT

              $IPTABLES -A OUTPUT -p tcp --destination-port 21 -j ACCEPT

              $IPTABLES -A OUTPUT -p tcp --destination-port 5190 -j ACCEPT

              $IPTABLES -A OUTPUT -p tcp --destination-port 443 -j ACCEPT

              

              # libera o bittorrent - Coloque o ip interno da maquina em questão aqui

              #$IPTABLES -A INPUT -p tcp --destination-port 1214 -j ACCEPT

              #$IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 1214 -j DNAT --to-dest 10.0.0.2

              #$IPTABLES -A FORWARD -p tcp -i ppp0 --dport 1214 -d 10.0.0.2 -j ACCEPT

              #$IPTABLES -t nat -A PREROUTING -i ppp0 -p udp --dport 1214 -j DNAT --to-dest 10.0.0.2

              #$IPTABLES -A FORWARD -p udp -i ppp0 --dport 1214 -d 10.0.0.2 -j ACCEPT

              

              # faz o icq receber arquivos - Coloque o ip interno da maquina em questão aqui

              #$IPTABLES -A INPUT -p tcp --destination-port 2000:3000 -j ACCEPT

              #$IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 2000:3000 -j DNAT --to-dest 10.0.0.2

              #$IPTABLES -A FORWARD -p tcp -i ppp0 --dport 2000:3000 -d 10.0.0.2 -j ACCEPT

              #$IPTABLES -t nat -A PREROUTING -i ppp0 -p udp --dport 2000:3000 -j DNAT --to-dest 10.0.0.2

              #$IPTABLES -A FORWARD -p udp -i ppp0 --dport 2000:3000 -d 10.0.0.2 -j ACCEPT

              

              # compartilha a web na rede interna

              $IPTABLES -t nat -A POSTROUTING -s $REDEINT -o ppp0 -j MASQUERADE

              echo 1 > /proc/sys/net/ipv4/ip_forward

              

              # bloqueia o resto

              $IPTABLES -A INPUT -p tcp --syn -j DROP

              $IPTABLES -A OUTPUT -p tcp --syn -j DROP

              $IPTABLES -A FORWARD -p tcp --syn -j DROP

              

              # bloqueia ping

              echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all

              

              # ----------------------------------------------------------------

              echo "Firewall carregado..."

              

              # EOF

:. Imprima este Texto

Encontrou alguma informação incorreta ou algum erro de revisão no texto?
Escreva para mim: avalle em guiadohardware.net

	© 1999 - 2004 :. Todos os direitos reservados :. Melhor visualizado em qualquer browser. Você escolhe o que usar, não nós :-) "The box said: Requires MS Windows or better, so I instaled Linux"