Segurança com Iptables
Artigo bem simples, com o objetivo de mostrar aos usuários Linux o que é iptables/firewall, suas características, algumas regras e como colocá-las para iniciar junto com o sistema.
Parte 4: Regras úteis
IPTABLES=/sbin/iptables
# Protege contra os "Ping of Death":
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Permite repassamento (NAT,DNAT,SNAT) de pacotes estabilizados e os relatados:
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Loga os pacotes mortos por inatividade:
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG
# Protege contra port scanners avançados (ex.: nmap):
$IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Protege contra os "Ping of Death":
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Permite repassamento (NAT,DNAT,SNAT) de pacotes estabilizados e os relatados:
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Loga os pacotes mortos por inatividade:
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG
# Protege contra port scanners avançados (ex.: nmap):
$IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Iptables na inicialização do sistema
Para colocar suas regras na inicialização do sistema é preciso que você crie um arquivo e salve como um nome qualquer, no meu caso uso como "firewall".
# mv firewall /etc/init.d/
# chmod +x /etc/init.d/firewall
# cd /etc/rc2.d/
# ln -s /etc/init.d/firewall /etc/rc2.d/S99firewall
OBS: Utilizo o sistema Debian.
Fonte
As fontes de consulta do artigo foram:
# Permite repassamento (NAT,DNAT,SNAT) de pacotes estabilizados e os relatados:
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
O correto seria:
==========
# Permite repasse (NAT,DNAT,SNAT) de pacotes com o estado e de estabelecidos e relacionados:
Só isso
t+