Ubuntu server - iptables

Disponível somente no TrabalhosFeitos
  • Páginas : 5 (1204 palavras )
  • Download(s) : 0
  • Publicado : 22 de fevereiro de 2013
Ler documento completo
Amostra do texto
INSTALANDO O IPTABLES COM O COMANDO
apt-get install iptables

CONFIGURANDO O IPTABLES
Apagando regras em tabelas FILTER e NAT
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X

. Abrindo todas as saídas e entradas do sistema
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
Configurando acesso da redeinterna para a Internet
sudo iptables -t nat -A POSTROUTING -s 192.168.0.5 -o wlan0 -j MASQUERADE

Trancando todas as saídas e entradas do sistema
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP

Configurando políticas para valores seguros
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP

Liberando queserviços e máquinas

# Permite entradas para uma faixa de endereços da rede local
sudo iptables -A INPUT -p tcp -s 192.168.0.0/255.255.255.0 -j ACCEPT

# Permite entradas na porta 80 (Apache)
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Permite que localhost receba dados para localhost
sudo iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

# Permite que entresomente pacotes de uma conexão já estabelecida
sudo iptables -A INPUT -p tcp --syn -j DROP

Liberando acesso de programas e serviços para o uso da Internet (OUTPUT)
# Permite saídas para uma faixa de endereços da rede local
sudo iptables -A OUTPUT -p tcp -d 192.168.0.0/255.255.255.0 -j ACCEPT

# Libera uso de serviços que estejam escutando localhost, como o CURPS e o POSTFIX
sudo iptables -AOUTPUT -s 127.0.0.1 -j ACCEPT

# Libera a consulta ao servidor DNS
sudo iptables -A OUTPUT -s $IP_LOCAL -d $IP_DNS -j ACCEPT

# Libera resposta para requisições web vindos de fora (Apache)
sudo iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

# Libera consulta aos serviços da web (HTTP)
sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 80 -j ACCEPT

# Libera consulta aos serviços da web(HTTPS, MSN)
sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 443 -j ACCEPT

# Libera consulta a caixa postal do e-mail (SMTP)
sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 25 -j ACCEPT

# Libera envio de e-mails (POP3)
sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 110 -j ACCEPT

# Libera consulta a caixa postal do GMail
sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport995 -j ACCEPT

# Libera envio de e-mail do GMail
sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 465 -j ACCEPT
sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 587 -j ACCEPT

# Libera o uso da rede Jabber
sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 5222 -j ACCEPT

# Libera o uso da rede MSN
sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 1863 -j ACCEPT

# Libera ouso do IRC
sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 6667 -j ACCEPT

# Libera o uso do ICQ
sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 5190 -j ACCEPT

# Libera o uso do YahooMesseger
sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 5050 -j ACCEPT

Configurando acesso de programas e serviços da rede interna a Internet
## Proteções diversas contra portscanners, ping ofdeath, ataques DoS, etc.
# Contra Ping of Death
sudo iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Contra Ping
sudo iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
# Contra port scanners avançados (nmap)
sudo iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Contra pacotes danificados (NÃO FUNCIONA?)sudo iptables -A FORWARD -m unclean -j DROP
# Outros ataques
sudo iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
# Ignora pings
sudo echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

Libera consulta aos serviços da web (Saída e Entrada)
sudo iptables -A FORWARD -s 192.168.0.5 -p tcp --dport 80...
tracking img