quarta-feira, 9 de junho de 2010

Versão 1.0 estável do manual de configuração Shell-Script de Firewall completíssimo em IPTABLES/NETFILTER

Já foi lançado a versão estável do manual que ensina de forma muita didática como construir um shell-script com as regras do iptables para manipular as tabelas do netfilter. O netfilter/iptables vem se tornando umas das referências no que se refere a segurança da tecnologia da informação, pois o mesmo oferece sua flexibilidade técnica e estrutural por está carregado diretamente no núcleo do sistema operacional tornando o software mais eficiente em sua categoria. É necessário a criação de um script de firewall com as regras do iptables é motivado por que o iptables grava as regras nas tabelas e quando é reiniciado o computador as mesmas são apagadas isto acarreta a necessidade da criação de scripts executáveis que iniciem automaticamente junto ao carregamento do computador, isso é um fator importante por que se o iptables guardassem as configurações na memória nem criaria scripts e eles podem tornar as regras bem mais dinâmicas do que se fossem configuradas diretamente sem este recurso.
Este script possui diversas características como: mascaramento da rede interna e a rede externa, bloquear acesso de sites, Radio UOL mesmo com proxy transparente, liberar as portas principais, bloqueio de ataques como: ping da morte, SYN-FLOOD, ssh de força bruta, Anti-Spoofings e entre outros. Faltou dizer a importante amarração do ip ao mac.
A implementação deste script foi feita em computador com o Debian-Etch, mas segue um exemplo de implementação no slackware. Das Características completas do que ele implementa:
  • Trafego de prioridade de saída e entrada pela tabela mangle;
  • Ativa o redirecionamento no arquivo ip_forward;
  • Habilita o fluxo interno entre os processos;
  • Libera as portas principais do servidor;
  • Bloqueia acesso de sites negados a rede interna;
  • Bloqueio de ataques conhecidos como: ping da morte, SYN-FLOOD, ssh de força bruta, Back Orifice, TRIN00, bloqueio para o servidor X, Anti-Spoofings;
  • Bloqueio de scanners ocultos (Shealt Scan);
  • AMARRA IP AO MAC;
  • Libera Radio UOL mesmo com o proxy transparente;
  • Direciona as requisições da porta 80 para a 3128 (proxy transparente);
  • Ativa o mascaramento da rede interna para a externa;
  • Exemplos de regras que fazem diversos arranjos como: Redirecionar conexões do VNC, bloqueio do emule, bloqueio Kazaa, Morpheus and AudioGalaxy.
Nestes links estão os scripts e arquivos para download referentes a este artigo
O script de firewall básico completo em texto puro:
O script de firewall básico completo em .doc:
Exemplo do maclist em texto puro:
Exemplo do arquivo portsblo em texto puro:
Exemplo do arquivo portslib em texto puro:
Exemplo do arquivo sitesnegados (black list) em texto puro:
O script do cbq versão 0.7.3:
Versão Para Impressão do artigo:
O artigo completo em pdf:
O artigo completo em .doc:
Para terminar eu já coloquei o artigo para a moderação no site vivaolinux e em breve estará sendo aprovada e publicada no mesmo fique acompanhando no meu perfil no site neste site: http://www.vivaolinux.com.br/perfil/verPerfil.php?login=marceloespindola






Nenhum comentário: