Netfilter: novembro 2015

Firewall Shell script (parte 6) - Final

Recaptulando temos o seguinte Arquivo de Firewall:

#!/bin/sh

#Firewall Netfilter desenvolvido por HenriqueKbs

echo "Inicializando o Firewall de Rede em `uname -n`"

#Path
IPT="/sbin/iptables"

#Apagar regras atuais
$IPT --flush
$IPT --delete-chain
$IPT -t nat -F
$IPT -t mangle -F

#Política das cadeias na tabela FILTER
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT

#Habilitar módulos do netfilter
modprobe ipt_mac
modprobe ipt_ttl
modprobe iptable_nat
modprobe iptable_mangle
modprobe ipt_limit
modprobe ipt_state
modprobe ipt_tos

#Paths
AP="ACCEPT"
DP="DROP"
RJ="REJECT"
FW="FORWARD"
SERVER="192.168.1.10/32"
REDE="192.168.1.0/25"
DNS1="8.8.8.8"
DNS2="8.8.4.4"
HOST1="192.168.1.126/32"
WAN="eth0"
LAN="eth1"

#Para liberar o trafego de pacotes bypass na FORWARD
echo 1 > /proc/sys/net/ipv4/ip_forward

#Criar uma cadeia nova
$IPT -N C_ARP

#Foi criada uma nova cadeia, para trabalhar com pacotes oriundos de um
roteador local, usando como base o endereço físico mac address.
$IPT -I INPUT -i $WAN -m mac --mac-source 00:02:22:1B:AE:AF -j C_ARP
$IPT -I $FW -i $WAN -m mac --mac-source 00:02:22:1B:AE:AF -p tcp -j C_ARP
$IPT -A C_ARP -m state --state INVALID -j $DP

#Regras para loopback
$IPT -A INPUT -i lo -s 127.0.0.1 -j $AP
$IPT -A OUTPUT -o lo -d 127.0.0.1 -j $AP
$IPT -t nat -A OUTPUT -o lo -d 127.0.0.1 -j $AP

#Regras básicas na cadeia C_ARP
$IPT -A C_ARP -p udp --sport 53 -s $DNS1 -j $AP
$IPT -A C_ARP -p udp --sport 53 -s $DNS2 -j $AP
$IPT -A C_ARP -s 0/0 -p tcp --sport 80 -j $AP
$IPT -A C_ARP -s 0/0 -p tcp --sport 443 -j $AP
$IPT -A C_ARP -s 0/0 -p udp --sport 123 -j $AP
$IPT -A C_ARP -p icmp -m icmp ! --icmp-type 8 -m limit --limit 2/s -j $AP
$IPT -A C_ARP -s 0/0 -p tcp --sport 809 -j $AP
$IPT -A C_ARP -s 0/0 -p tcp --sport 995 -j $AP
$IPT -A C_ARP -d 0/0 -p tcp --dport 587 -j $AP

#Liberar acesso via SSH para o HOST1
$IPT -A INPUT -s $HOST1 -d $SERVER -p tcp --sport 1024:65535 \
--dport 22 -j $AP
$IPT -A INPUT -p tcp --dport 22 -j $DP

#Liberar acesso na saída do Firewall
$IPT -A OUTPUT -p icmp -m icmp ! --icmp-type 0 -m limit --limit 2/s -j $AP
$IPT -A OUTPUT -m state --state NEW,ESTABLISHED -j $AP

#Algumas regras de Bloqueio
$IPT -t mangle -A PREROUTING -i $WAN -s 0/0 --dport 23 -j $DP
$IPT -t mangle -A PREROUTING -i $LAN -m iprange --srcrange 192.168.1.1-192.168.1.49 -d 0/0 -p tcp --sport 1024:65535 --dport 80:443 -m string --algo bm --string"facebook" -j $DP

#Bloqueio de Traceroute
$IPT -A C_ARP -p udp -m udp -s 0/0 --dport 33435:33525 -j $DP

#Logs do sistema
$IPT -A C_ARP -m limit --limit 1/s –limit-burst 1 -j LOG --log-prefix \ "FW_ARP_log:"
$IPT -A INPUT -m limit --limit 1/m -j LOG --log-prefix "FW_INPUT_log:"
$IPT -A $FW -m limit --limit 1/m -j LOG --log-prefix "FW_FORWARD_log:"

#Limitar acesso a netbios, multcast e broadcast
$IPT -A INPUT -i $LAN -p udp -m udp -s 0/0 -d 255.255.255.255 --sport 67:68 \
--dport 67:68 -m limit --limit 2/s --limit-burst 3 -j $AP
$IPT -A INPUT -i $LAN -p udp -m udp --sport 137:139 --dport 137:139 \
-m limit --limit 3/s --limit-burst 3 -j $AP
$IPT -A INPUT -i $LAN -s $REDE -d 224.0.0.0/24 -m limit --limit 3/s \
--limit-burst 3 -j $AP
$IPT -A INPUT -i $LAN -s $REDE -d 192.168.1.127 -m limit --limit 3/s \
--limit-burst 3 -j $AP

#Masqueramento de pacotes
$IPT -t nat -A POSTROUTING -o $WAN -s $REDE -j MASQUERADE

#Redirecionamento de acesso remoto via RDP
$IPT -A $FW -i $WAM -o $LAN -s 0/0 -p tcp --sport 1024:65535 \
--dport 3389 -j ACCEPT
$IPT -A $FW -i $LAN -o $WAN -d 0/0 -p tcp --sport 3389 --dport \
1024:65535 -j ACCEPT
$IPT -I $FW -i $WAN -o $LAN -s 0/0 -p tcp --dport 3389 -m limit \
--limit 1/s --limit-burst 1 -j LOG --log-prefix "FW_RDP_log:"

#Liberar o acesso RDP na cadeia PREROUTING na tabela nat
$IPT -t nat -A PREROUTING -i $WAN -p tcp --dport 3389 -j DNAT \
--to-destination 192.168.1.100:3389

#Liberar o acesso RDP na cadeia POSTROUTING na tabela nat
$IPT -t nat -A POSTROUTING -d 192.168.1.100 -j SNAT --to 192.168.1.1

#Liberar acesso ao Torrent, via porta 50123, na estação 192.168.1.10, pela FORWARD
$IPT -A $FW -i $WAN -o $LAN -s 0/0 -d 192.168.1.10 -p tcp \
--sport 1024:65535 --dport 50123 -j ACCEPT
$IPT -A $FW -i $LAN -o $WAN -s 192.168.1.10 -d 0/0 -p tcp \
--sport 50123 --dport 1024:65535 -j ACCEPT

#Liberar acesso ao DNS, pela FORWARD
$IPT -A FORWARD -i eth1 -o eth0 -p udp -s $REDE -m iprange --dst-range /
189.38.95.95-189.38.95.96 --sport 1024:65535 --dport 53 -j $AP
$IPT -A FORWARD -i eth0 -o eth1 -p udp -m iprange --src-range /
189.38.95.95-189.38.95.96 -d $REDE --sport 53 --dport 1025:65535 -j $AP

#Liberar acesso a http, para a rede, pela FORWARD
$IPT -A FORWARD -i eth1 -o eth0 -p tcp -m tcp -s $REDE -d 0/0 /
--sport 1024:65535 --dport 80 -m state --state NEW,ESTABLISHED -j $AP
$IPT -A FORWARD -i eth0 -o eth1 -p tcp -m tcp -s 0/0 -d $REDE /
--sport 80 --dport 1024:65535 -m state --state ESTABLISHED -j $AP

#Liberar acesso a https, para a rede, pela FORWARD
$IPT -A $FW -i $LAN -o $WAN -s $REDE -d 0/0 -p tcp --sport 1024:65535 \
--dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A $FW -i $WAN -o $LAN -s 0/0 -d $REDE -p tcp --sport 443 --dport \
1024:65535 -m state --state ESTABLISHED -j ACCEPT

#Regras para liberar acesso ao proxy da rede
$IPT -A INPUT -s $REDE -p tcp --sport 1024:65535 --dport 3128 \
-j $AP
$IPT -A INPUT -p tcp --sport 1024:65535 --dport 3128 -m limit \
--limit 1/s --limit-burst 1 -j LOG --log-prefix "FW_PROXY_log:"
$IPT -A INPUT -p tcp --dport 3128 -j $DP

#Para forçar apenas um range de Ips a passarem pelo proxy
$IPT -t nat -I PREROUTING -i $LAN -p tcp -m iprange --src-range \
192.168.1.50-192.168.1.126 --dport 80 -m state --state NEW \
-j REDIRECT --to-port 3128

#Fechando o laço
$IPT -A C_ARP -p udp -m udp --dport 1:1024 -j $DP
$IPT -A C_ARP -p tcp -m tcp --syn -j $DP

$IPT -A INPUT -p udp -m udp --dport 1:1024 -j $DP
$IPT -A INPUT -p tcp -m tcp --syn -j $DP

$IPT -A FORWARD -p udp -m udp --dport 1:1024 -j $DP
$IPT -A FORWARD -p tcp -m tcp --syn -j $DP

#Bloqueio opcional
$IPT -t mangle -I PREROUTING -i $WAN -s 0/0 -p tcp -m multiport \
! --dports 22,3389 -j $DP

iptables-save

echo "======================="
echo "== Regras de Firewall Ativadas... =="
echo "======================="

# EOF

     Termino do Firewall

     Referências bibliográficas:

     Programção Shell Linux - Julio Cezar Neves

     devmedia.com.br - Wagner Tadeu Mendes

     http://www.netfilter.org/documentation/index.html

Firewall Shell script (parte 4)

#Chain FORWARD

A Cadeia FORWARD, é onde ocorre o tráfego "bypass" de pacotes, dentro de um Firewall Iptables. Essa passagem de pacotes, ocorre de forma simétrica, é obrigatório as regras na ida e na volta, passando pelo Firewall.

Exemplo prático:

#Redirecionamento de acesso remoto via RDP

$IPT -A $FW -i $WAM -o $LAN -s 0/0 -p tcp --sport 1024:65535 --dport 3389 -j ACCEPT

$IPT -A $FW -i $LAN -o $WAN -d 0/0 -p tcp --sport 3389 --dport 1024:65535 -j ACCEPT

$IPT -I $FW -i $WAN -o $LAN -s 0/0 -p tcp --dport 3389 -m limit --limit 1/s --limit-burst 1 -j LOG --log-prefix "FW_RDP_log:"

#Liberar o acesso RDP na cadeia PREROUTING

$IPT -t nat -A PREROUTING -i $WAN -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.100:3389

#Liberar o acesso RDP na cadeia POSTROUTING

$IPT -t nat -A POSTROUTING -d 192.168.1.100 -j SNAT --to 192.168.1.1

#Liberar acesso ao Torrent, via porta 50123, na estação 192.168.1.10, pela FORWARD

$IPT -A $FW -i $WAN -o $LAN -s 0/0 -d 192.168.1.10 -p tcp --sport 1024:65535 --dport 50123 -j ACCEPT

$IPT -A $FW -i $LAN -o $WAN -s 192.168.1.10 -d 0/0 -p tcp --sport 50123 --dport 1024:65535 -j ACCEPT

#Liberar acesso a https, para a rede, pela FORWARD

$IPT -A $FW -i $LAN -o $WAN -s $REDE -d 0/0 -p tcp --sport 1024:65535 --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

$IPT -A $FW -i $WAN -o $LAN -s 0/0 -d $REDE -p tcp --sport 443 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

Netfilter

segunda-feira, 30 de novembro de 2015

Firewall Shell script

quinta-feira, 12 de novembro de 2015

Firewall Shell script

terça-feira, 3 de novembro de 2015

Firewall Shell script