aprendafirewall.wordpress.com

Módulo string

nickollas — Tue, 10 May 2011 13:30:10 +0000

Bloqueando conteúdo de sites com iptables

iptables -A FORWARD -m string –algo bm –string facebook -j DROP

Sistema de Login via Netfilter

nickollas — Fri, 22 Apr 2011 16:07:21 +0000

IP da Página de login: 66.35.250.203
IP da Página pós login: 66.35.250.204

# Quando o destino for 66.35.250.204 na porta 80 tcp o IP de origem será adicionado a lista IPS_LIBERADOS

[root]# iptables -t nat -A PREROUTING -d 66.35.250.204 -p tcp –dport 80 -m recent –set –name IPS_LIBERADOS –rsource

# Quando o destino for diferente de 66.35.250.203 na porta 80 tcp e o IP de origem não estiver em IPS_LIBERADOS o endereço de destino será modificado para 66.35.250.203

[root]# iptables -t nat -A PREROUTING -d ! 66.35.250.203 -p tcp –dport 80 -m recent ! –rcheck –name IPS_LIBERADOS –rsource -j DNAT –to-destination 66.35.250.203

ATENÇÃO: Não se esqueça de fazer SNAT e habilitar o repasse de pacote.

Stateless

aprendafirewall — Sat, 23 Jan 2010 15:05:15 +0000

iptables -A INPUT -i eth0 -d 192.168.0.0/24 -p tcp -m multiport –sports 20,21,22,25,80,110,443 -m tcp –tcp-flags ACK ACK -j ACCEPT

iptables -A OUTPUT -o eth0 -s 192.168.0.0/24 -p tcp -m multiport –dports 20,21,22,25,80,110,443 -m tcp –tcp-flags SYN SYN -j ACCEPT

iptables -A OUTPUT -o eth0 -s 192.168.0.0/24 -p tcp -m multiport –dports 20,21,22,25,80,110,443 -m tcp –tcp-flags ACK ACK -j ACCEPT

Statefull

aprendafirewall — Sat, 23 Jan 2010 14:59:44 +0000

iptables -A FORWARD -s 192.160.0.0/24 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A FORWARD -d 192.160.0.0/24 -m state –state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -m state –state INVALID -j DROP

Datagrama IPTABLES

aprendafirewall — Sat, 23 Jan 2010 13:32:31 +0000

MSN

aprendafirewall — Sat, 23 Jan 2010 13:11:06 +0000

Bloquear MSN via Firewall

iptables -I FORWARD -p tcp –dport 1863 -j DROP

ATENÇÃO: Ao fazer isso o MSN tentará se conectar pela porta 80, você então deverá bloquea-lo através do squid.

REDIRECT

aprendafirewall — Sat, 23 Jan 2010 12:37:07 +0000

Redirecionar trafego da porta 80 para a porta 3128 ( squid )

iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128

FTP

aprendafirewall — Sat, 23 Jan 2010 12:31:02 +0000

Liberando conexões FTP para as máquinas da rede

iptables -A FORWARD -s 192.168.0.0/24 -p tcp –dport 20 -m state –state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -s 192.168.0.0/24 -p tcp –dport 21 -m state –state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -s 192.168.0.0/24 -m state –state RELATED,ESTABLISHED -j ACCEPT

Carregue os módulos de acompanhamento de conexão para o serviço FTP

modprobe ip_nat_ftp

modprobe ip_conntrack_ftp

MASQUERADE – Compartilhar internet no Linux

aprendafirewall — Sat, 23 Jan 2010 11:56:34 +0000

Limitando o tamanho de pacotes IP com tamanho MSS

iptables -A FORWARD -p tcp -m tcp –tcp-flags SYN,RST SYN -m tcpmss –mss 1400:1536 -j TCPMSS –clamp-mss-to-pmtu

Mascarando a conexão

iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE

Habilitando o repasse de pacotes

echo 1 > /proc/sys/net/ipv4/ip_forward

ATENÇÃO: Para as máquinas da rede acessarem servidores FTP através de SNAT/MASQUERADE é necessário carregar alguns módulos.

modprobe ip_nat_ftp

modprobe ip_conntrack_ftp

Módulo geoip

aprendafirewall — Sat, 23 Jan 2010 11:49:42 +0000

Bloqueando as máquinas da rede para acessarem servidores do Brasil

iptables -A FORWARD -m geoip –dst-cc BR -j DROP

Bloqueando o acesso a servidores do Estados Unidos, França e Canadá

iptables -A FORWARD -m geoip –dst-cc US,FR,CA -j DROP

Fazendo o servidor recusar conexões vindas do Afeganistão e Argentina

iptables -A INPUT -m geoip –src-cc AF,AR -j DROP

IMPORTÂNTE: A lista de países usadas pelo geoip segue a ISO3166