IPTables: Dica para ter um firewall IPTables mais seguro.

1. Quando começar a construir o firewall, feche todas as portas e conexões. Para isso, defina todas as políticas padrões como DROP (negar) no INPUT, FORWARD e OUTPUT. Com isso, você terá uma rede mais segura, permitindo apenas serviços que você conhece.

Para fechar o firewall por completo, use os comandos:

# iptables -P INPUT DROP
(iptables, troque a política de input para drop - negar)

# iptables -P FORWARD DROP
(iptables, troque a política de forward para drop - negar)

# iptables -P OUTPUT DROP
(iptables, troque a política de output para drop - negar)

2. Fazendo o passo acima, você está dizendo ao iptables para não aceitar qualquer conexão nesta máquina. Libere conforme a necessidade os serviços a serem acessados. Por exemplo, se você
tiver um proxy Squid rodando na porta 3128 desta máquina e só desejar que a rede interna (placa de rede eth1) possa usá-la, crie uma regra:

# iptables -A INPUT -p tcp -m tcp -i eth1 --dport 3128 -j ACCEPT
(português estruturado: iptables, quero adicionar uma regra de entrada usando tcp, onde se a origem for a rede interna, vindo da placa eth1, tentando acessar a porta 3128, você pode deixar!)

Vamos entender melhor a sintaxe:

iptables: chama a ferramenta que adiciona ou remove regras do firewall.
-A: indica que você quer adicionar uma regra
INPUT: estou dizendo que é uma regra de entrada. Na maioria dos casos, as pessoas usam INPUT, FORWARD ou OUTPUT.
-p tcp: estou dizendo para trabalhar com o protocolo tcp
-m tcp: estou dizendo para consultar o módulo do kernel que usa o tcp.
-i eth1: estou dizendo que a placa de onde virá o pacote é eth1.
--dport 3128: estou dizendo que o pacote vai tentar acessar a porta 3128
-j ACCEPT: estou dizendo para aceitar (permitir) o pacote. Poderia ser também DROP (negar) ou RETURN (passar para próxima
linha)

Adicionar: October 28th 2008
Revisor: Bit
Pontos:
Links relacionados: Meu Blog pessoal com outras dicas de T.I.
Cliques: 1211
Idioma: brazilian