RoadRunner Bodhisattva
Joined: 12 Jun 2002 Posts: 490 Location: Coimbra, Portugal
|
Posted: Mon May 10, 2004 2:41 am Post subject: |
|
|
Simples. Primeiro tens que ter a opção de rejeitar tudo por defeito:
Code: |
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
|
Depois basta criar um filtro para as ligações que queremos aceitar e adicionar as portas necessárias:
Code: |
/sbin/iptables -N oports
/sbin/iptables -A oports -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A oports -m state --state NEW -i ! <DEVICE_LIGADO_A_NET> -j ACCEPT
# A partir daqui é só abrir portas. Exemplo para apache na porta 80:
/sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
|
Depois é só adicionar o filtro criado à "chain" INPUT e FORWARD:
Code: |
/sbin/iptables -A INPUT -j oports
/sbin/iptables -A FORWARD -j oports
|
Se não me esqueci de nada tudo deve funcionar. A criação do filtro é opcional, mas se tiveres uma firewall complexa, ou necessitares de uma complexa posteriormente vais agradecer em ter já alguma estrutura.
Se tiveres uma máquina com um número elevado de ataques, port-scans e outros incidentes, se calhar o melhor é ter as portas todas abertas e todas as que não seja desejado ter abertas estarem com a opção tarpit. Isto é algo drástico, mas dá muita dor de cabeça a script kiddies entre outros. |
|