Firewall - Oque liberar e oque bloquear? [RESOLVIDO]

felipedc
(usa Debian)

Enviado em 27/05/2013 - 09:18h

Pessoal blz?
Estou com um problema/dúvida na criação do meu script de firewall, pois bem
minhas politicas de INPUT, OUTPUT E FORWARD estão todas como drop.
Dentro do meu firewall eu criei 3regras nas quais liberam portas
INPUT, OUTPUT E FORWARD
Porém não sei exatamente quais as portas que devo liberar, tentei
filtrar através do tcpdump utilizando tcpdump -i ethX porém
não consigo identificar quais portas meus aplicativos, terminais utilizam para
navegação, email e etc.
Como posso fazer isso?

Meu script segue abaixo, qualquer sugestão ou critica construtiva é muito bem vinda!

Obs: tenho 2redes, uma interna e a outra que disponibilizo WI-FI para alunos, após
configurar corretamente meu firewall pretendo implementar um servidor proxy utilizando
squid para controle/bloqueio de sites, se alguém puder dar alguma sugestão em relação a isso
tbm, uma melhor forma de trabalhar com todas essas necessidades.

Muitissimo Obrigado, segue o script:

#!/bin/bash
echo ""
echo "#| Script de Firewall – IPTABLES 2013"
echo "#| Editado por: Victor Felipe Dolce Cardoso"
echo "#| victorfelipedolcec@hotmail.com"
echo "#| Uso: firewall start|stop"
echo “#| Fonte: http://www.vivaolinux.com.br/artigo/Script-de-firewall-completissimo?pagina=2";
echo ""
# Variáveis
PATH=/sbin:/bin:/usr/sbin:/usr/bin
IPTABLES="/sbin/iptables"

# Arquivos com as portas a liberar e a bloquear 
#aqui vou liberar/bloquear portas para entrada(input), saída(output) e forward
#de maneira distinta, por isso a criação de 3variáveis
#PINPUT = portas entrada POUTPUT = portas saída PFORWARD = portas forward
#
PINPUT=”/etc/firewall/PORTSINPUT”
POUTPUT=”/etc/firewall/PORTSOUTPUT”
PFORWARD=”/etc/firewall/PORTSFORWARD”
PBLOQ=”/etc/firewall/PORTSBLOQ”

# Redirecionamento de Portas (NAT)
REDILIST="/etc/firewall/REDILIST"

#IPS com acesso irrestrito
IPSLIBERADOS="/etc/firewall/IPSLIBERADOS"

# Script Firewall
PROGRAMA="/etc/firewall/FIREWALL"

# Interfaces de Rede
WAN=eth0
LAN1=eth1
LAN2=eth2

REDE1="192.168.1.0/25"
REDE2="192.168.2.0/23"

# Carregando Modulos
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
modprobe ipt_state
modprobe ipt_multiport
modprobe iptable_mangle
modprobe ipt_tos
modprobe ipt_limit
modprobe ipt_mark
modprobe ipt_MARK

case "$1" in
start)
echo "CARREGANDO FIREWALL..." ; sleep 1 ;
#Zerando Regras
$IPTABLES -F
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -t mangle -F
$IPTABLES -t nat -F
$IPTABLES -X

#Compartilhar a conexao
$IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward

#Politicas Padrao
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -i $LAN1 -j ACCEPT #Habilito o acesso ao servidor de internet para a Rede Interna ($LAN)

echo -n "LIBERANDO PORTAS DE COMUNICACAO..." ;
#portas entrada, INPUT
#variavel que armazena as portas = PINPUT
Sleep 1 ; 
CONTPORTA=0
For i in `cat $PINPUT`; do
PORTA=`echo $i | cut -d '#' -f 1`  
$IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT
$IPTABLES -A INPUT -p udp --dport $PORTA -j ACCEPT
done
sleep 2 ; 
[ $CONTPORTA -ne 0 ] && echo "[OK] $CONTPORTA PORTAS INPUT LIBERADAS!"
[ $CONTPORTA -eq 0 ] && echo "[OK] NENHUMA PORTA INPUT A LIBERAR!"

#portas saida, OUTPUT
#variavel que armazena as portas = POUTPUT
Sleep 1 ; 
CONTPORTA=0
For i in `cat $POUTPUT `; do
PORTA=`echo $i | cut -d '#' -f 1`  
$IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT
$IPTABLES -A OUTPUT -p udp --sport $PORTA -j ACCEPT
done
sleep 2 ; 
[ $CONTPORTA -ne 0 ] && echo "[OK] $CONTPORTA PORTAS OUTPUT LIBERADAS!"
[ $CONTPORTA -eq 0 ] && echo "[OK] NENHUMA PORTA OUTPUT A LIBERAR!"

#portas forward,
#variavel que armazena as portas = PFORWARD
Sleep 1 ; 
CONTPORTA=0
For i in `cat $PFORWARD `; do
PORTA=`echo $i | cut -d '#' -f 1`  
$IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport $PORTA -j ACCEPT done
sleep 2 ; 
[ $CONTPORTA -ne 0 ] && echo "[OK] $CONTPORTA PORTAS FORWARD LIBERADAS!"
[ $CONTPORTA -eq 0 ] && echo "[OK] NENHUMA PORTA FORWARD A LIBERAR!"


echo -n "REDIRECIONANDO PORTAS (NAT)..." ;
CONTREDIRECT=0;
for i in `cat $REDILIST`; do
IP=`echo $i | cut -d '#' -f 1`
PPRIVADA=`echo $i | cut -d '#' -f 2`
PPUBLICA=`echo $i | cut -d '#' -f 3`
$IPTABLES -t nat -I PREROUTING -i $WAN -p tcp --dport $PPUBLICA -j DNAT --to-destination $IP:$PPRIVADA
let CONTREDIRECT++ ;
done
sleep 2 ; 
[ $CONTREDIRECT -ne 0 ] && echo "[OK] $CONTREDIRECT PORTAS REDIRECIONADAS!"
[ $CONTREDIRECT -eq 0 ] && echo "[OK] NENHUMA PORTA A REDIRECIONAR!"


echo -n "LIBERANDO IPS SEM INTERMEDIO DO PROXY..." ; 
CONTIP=0;
for i in `cat $IPSLIBERADOS `; do
IPLIBERADO=`echo $i | cut -d ';' -f 1`
$IPTABLES -A FORWARD -s $IPLIBERADO -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -s $IPLIBERADO -j RETURN
let CONTIP++ ;
done
sleep 2 ;
[ $CONTIP -ne 0 ] && echo "[OK] $CONTIP IPS LIBERADOS!"
[ $CONTIP -eq 0 ] && echo "[OK] NENHUM IP A LIBERAR!"

#$IPTABLES -t nat -A PREROUTING -s $REDE1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#$IPTABLES -t nat -A PREROUTING -s $REDE2 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Não responde pings
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j DROP

#ProteþÒo contra Ip Spoofing
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
$IPTABLES -A INPUT -m state --state INVALID -j DROP

#Impedindo ataque Ping of Death na rede
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#Impedindo ataque de Denial Of Service Dos na rede e servidor
$IPTABLES -I FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
$IPTABLES -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT

#Protecao contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies


echo "FIREWALL CARREGADO!"
echo " "
;;
stop)
echo "DESCARREGANDO FIREWALL...";  sleep 1 ;
$IPTABLES -F
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -t mangle -F
$IPTABLES -t nat -F
$IPTABLES -X
$IPTABLES -Z
echo "FIREWALL DESCARREGADO!"
echo " "

;;
*)
SEG='8'
while [ $SEG != -1 ] ; do
clear;
echo "Argumento nÒo informado ou invßlido, por seguranþa o firewall serß INICIADO em $SEG. [^C] para cancelar"
let SEG--;
sleep 1;
done
$PROGRAMA start
exit 1
esac
exit 0
 

danniel-lara
(usa Fedora)

Enviado em 27/05/2013 - 11:55h

Firewall - Oque liberar e oque bloquear?
bom nesse caso tu tem que estudar a sua rede , se tem algum sistema
tem que ver com o pessoal do sistema qual porta tem que liberar ,
e também tu tem que liberar as portas para acesso aos bancos

felipedc
(usa Debian)

Enviado em 27/05/2013 - 13:25h

Certo daniel, mas existe alguma forma de eu descobrir isso além de "perguntar" pra alguém?
Pois, como é o firewall que está bloqueando deve existir algum log ou alguma forma de visualizar oque exatamente ele está bloqueando, pelo menos eu imagino que seja assim..
E se existe, queria saber de que forma eu posso visualizar isso!

Buckminster
(usa Debian)

Enviado em 27/05/2013 - 14:03h

Para ver as portas instale o nmap.

Os logs do iptables você deve configurá-los no script e depois veja-os em /var/log/messages.

http://www.vivaolinux.com.br/artigo/Analizando-os-logs-do-IPTables

http://www.purainfo.com.br/linux/logs-no-iptables-parte-i/

http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras

saitam
(usa Slackware)

Enviado em 27/05/2013 - 14:21h

Consulte o arquivo /etc/services para saber todas as portas com seus respectivos protocolos de redes.

Com isso, faça uma analise dos serviços que estiver usando no seu ambiente e crie regras para liberar apenas nas portas e protocolos em uso.


http://goo.gl/pQRtk

felipedc
(usa Debian)

Enviado em 08/08/2013 - 08:07h

Pessoal, muito obrigado..
Utilizei o nmap e foi de grande ajuda.
Resolvido

Buckminster
(usa Debian)

Enviado em 08/08/2013 - 08:27h

De nada.