Linux Caipira

#!/bin/bash

#Vô iscrivinhá um script de firewall em duas partes - a primeira (essa daqui) vai ser um firewall com as políticas padrão setadas como ACCEPT e as chains fachando o que não precisamos

#Primeiro vamos setar como variáveis as conexões de rede

INT=eth0 #a variável INT (rede interna) recebe o parâmetro eth0 (interface de rede interna)

EXT-eth1 # a variavel EXT (rede externa ou internet) recebe o parâmetro eth1 (interface de rede externa)

IPINT=192.168.0.0/24 #seta a rede interna para a variavel IPINT

IPEXT=200.201.234.10 #seta o ip da rede externa (internet) para a variavel IPEXT

IPSSH=192.168.0.223

iptables -P INPUT ACCEPT # seta a política padrão de INPUT (ENTRADA) da tabela filter pra ACCEPT

iptables -P OUTPUT ACCEPT # seta a política padrão de OUTPUT (SAÍDA) da tabela filter pra ACCEPT

iptables -P FORWARD ACCEPT # seta a política padrão de FORWARD (EMCAMINHAMENTO) da tabela filter pra ACCEPT

iptables -F #Zera as regras

iptables -X #Zera as regras

iptables -t nat -A POSTROUTING -o $INT -j MASQUERADE  #roteia a conexão da internet para a rede interna

iptables -A FORWARD -i $INT -j ACCEPT # aceita redirecionamentos vindos da rede interna

iptables -A FORWARD -m state --state ESTABLISHED, RELATED -j ACCEPT #aceita somente conexões estabelecidas

echo "Bloqueio de MSN"

iptables -A FORWARD -p tcp --dport 1863 -j REJECT

iptables -A FORWARD -d 64.4.13.0/24 -j REJECT

iptables -A FORWARD -d loginnet.passport.microsoft.com -j REJECT

echo "Bloqueio de Yahoo Messenger"

iptables -A FORWARD -d cs.yahoo.com -j REJECT

iptables -A FORWARD -d scsa.yahoo.com -j REJECT

echo "Bloqueio de SItes"

iptables -A FORWARD -d www.orkut.com -j REJECT

echo "liberando o ssh para apenas um ip da rede interna"

iptables -A INPUT -s $IPSSH -p tcp --dport 22 -j ACCEPT # libera o ssh para o ip IPSSH (setado na variável la em cima)

iptables -A INPUT -p tcp -m multiport --dport 20,21,22,25,53,110,80 -j ACCEPT #libera as portas conhecidas para o protocolo tcp

iptables -A INPUT -p udp -m multiport --dport 20,22,53 -j ACCEPT #libera as portas conhecidas para o protocolo udp

echo "bloqueando SYN FLOOD"

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT # cuidado! a regra limita 1 pacote syn por segundo pode atrapalhar servidores com muito acesso

echo "bloqueando pacotes danificados"

iptables -A FORWARD -m unclean -j DROP

echo "fazendo redirecionamento de portas para algum serviço da rede interna DNAT" #(Ex: servidor de cameras escutando na porta 8081)

iptables -t nat -A PREROUTING -i $EXT -j DNAT --to 192.168.222

iptables -t nat -A POSTROUTING -o $INT -j SNAT --to $IPEXT

 

Mais tarde a gente completa mais

 

Abraços

Post by Rafael R. Fonseca