IP_LOCAL=172.16.23.22 IP_DNS=172.16.23.

21 apagueTabelas () { echo ## ---------------------------------## Tabelas FILTER e NAT ## ---------------------------------echo \ \ -\>IPTables: Apagando regras em tabelas FILTER e NAT sudo iptables -F sudo iptables -X sudo iptables -t nat -F sudo iptables -t nat -X } abraTudo () { apagueTabelas echo ## ---------------------------------## Configurando polticas ## ---------------------------------echo \ \ -\>IPTables: Abrindo todas as sadas e entradas do sistema sudo iptables -P INPUT ACCEPT sudo iptables -P FORWARD ACCEPT sudo iptables -P OUTPUT ACCEPT echo ## ---------------------------------## Configurando NAT ## ---------------------------------echo \ \ -\>IPTables: Configurando acesso da rede interna para a Interne t sudo iptables -t nat -A POSTROUTING -s 192.168.145.1 -o wlan0 -j MASQUER ADE } fecheTudo() { apagueTabelas echo ## ---------------------------------## Configurando polticas ## ---------------------------------echo \ \ -\>IPTables: Trancando todas as sadas e entradas do sistema sudo iptables -P INPUT DROP sudo iptables -P FORWARD DROP sudo iptables -P OUTPUT DROP } construaModoSeguro () { apagueTabelas echo ## ---------------------------------## Configurando polticas ## ---------------------------------echo \ \ -\>IPTables: Configurando polticas para valores seguros sudo iptables -P INPUT ACCEPT sudo iptables -P FORWARD DROP sudo iptables -P OUTPUT DROP

echo ## ---------------------------------## Configurando INPUT ## ---------------------------------echo \ \ -\>IPTables: Liberando que servios e mquinas comuniquem com vc ## Permite entradas para uma faixa de endereos da rede local sudo iptables -A INPUT -p tcp -s 192.168.0.0/255.255.255.0 -j ACCEPT ## Permite entradas na porta 80 (Apache) sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT # Permite que localhost receba dados para localhost sudo iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT # Permite que entre somente pacotes de uma conexo j estabelecida sudo iptables -A INPUT -p tcp --syn -j DROP echo ## ---------------------------------## Configurando OUTPUT ## ---------------------------------echo \ \ -\>IPTables: Liberando acesso de programas e servios para o uso da Internet ## Permite sadas para uma faixa de endereos da rede local sudo iptables -A OUTPUT -p tcp -d 192.168.0.0/255.255.255.0 -j ACCEPT # Libera uso de servios que estejam escutando localhost, como o CURPS e o POSTFIX sudo iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT # Libera a consulta ao servidor DNS sudo iptables -A OUTPUT -s $IP_LOCAL -d $IP_DNS -j ACCEPT ## Libera resposta para requisies web vindos de fora (Apache) sudo iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT # Libera consulta aos servios da web (HTTP) sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 80 -j ACCEPT # Libera consulta aos servios da web (HTTPS, MSN) sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 443 -j ACCEPT # Libera consulta a caixa postal do e-mail (SMTP) #sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 25 -j ACCEPT # Libera envio de e-mails (POP3) #sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 110 -j ACCEPT # Libera consulta a caixa postal do GMail sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 995 -j ACCEPT # Libera envio de e-mail do GMail sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 465 -j ACCEPT sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 587 -j ACCEPT # Libera o uso da rede Jabber sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 5222 -j ACCEPT # Libera o uso da rede MSN sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 1863 -j ACCEPT # Libera o uso do IRC sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 6667 -j ACCEPT # Libera o uso do ICQ sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 5190 -j ACCEPT # Libera o uso do YahooMesseger sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 5050 -j ACCEPT

echo ## ---------------------------------## Configurando FORWARD ## ---------------------------------echo \ \ -\>IPTables: Configurando acesso de programas e servicos da red

e interna a Internet ## Protees diversas contra portscanners, ping of death, ataques DoS, etc. ## Contra Ping of Death sudo iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --lim it 1/s -j ACCEPT ## Contra Ping sudo iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT ## Contra port scanners avanados (nmap) sudo iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT ## Contra pacotes danificados (NO FUNCIONA?) #sudo iptables -A FORWARD -m unclean -j DROP ## Outros ataques #sudo iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT #sudo iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP ## Ignora pings #sudo echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all # Libera consulta aos servios da web (Sada e Entrada) sudo iptables -A FORWARD -s 192.168.0.5 -p tcp --dport 80 -j ACCEPT sudo iptables -A FORWARD -d 192.168.0.5 -p tcp --sport 80 -j ACCEPT #Libera o uso de servios da web (HTTPS, MSN) sudo iptables -A FORWARD -s 192.168.0.5 -p tcp --dport 443 -j ACCEPT sudo iptables -A FORWARD -d 192.168.0.5 -p tcp --dport 443 -j ACCEPT #libera o uso de servios do MSN sudo iptables -A FORWARD -s 192.168.0.5 -p tcp --dport 1863 -j ACCEPT sudo iptables -A FORWARD -d 192.168.0.5 -p tcp --dport 1863 -j ACCEPT # Libera consulta a servios de e-mail (Sada e Entrada) sudo iptables -A FORWARD -s 192.168.0.5 -p tcp --dport 25 -j ACCEPT sudo iptables -A FORWARD -d 192.168.0.5 -p tcp --sport 25 -j ACCEPT sudo iptables -A FORWARD -s 192.168.0.5 -p tcp --dport 110 -j ACCEPT sudo iptables -A FORWARD -d 192.168.0.5 -p tcp --sport 110 -j ACCEPT # Libera a consulta ao servidor DNS (Sada e Entrada) sudo iptables -A FORWARD -s 192.168.0.5 -d $IP_DNS -j ACCEPT sudo iptables -A FORWARD -s $IP_DNS -d 192.168.0.5 -j ACCEPT # Libera consulta a servios do Skype #sudo iptables -A FORWARD -s 192.168.0.5 -p tcp --dport 55017 -j ACCEPT #sudo iptables -A FORWARD -d 192.168.0.5 -p tcp --sport 55017 -j ACCEPT # Libera consulta a servios do Jabber sudo iptables -A FORWARD -s 192.168.0.5 -p tcp --dport 5222 -j ACCEPT sudo iptables -A FORWARD -d 192.168.0.5 -p tcp --sport 5222 -j ACCEPT # Libera consulta aos servios da web (Sada e sudo iptables -A FORWARD -s 192.168.0.2 -p tcp sudo iptables -A FORWARD -d 192.168.0.2 -p tcp #Libera o uso de servios da web (HTTPS, MSN) sudo iptables -A FORWARD -s 192.168.0.2 -p tcp sudo iptables -A FORWARD -d 192.168.0.2 -p tcp # Libera consulta a servios do Jabber sudo iptables -A FORWARD -s 192.168.0.2 -p tcp sudo iptables -A FORWARD -d 192.168.0.2 -p tcp # Libera consulta aos servios da web (Sada e sudo iptables -A FORWARD -s 192.168.0.7 -p tcp sudo iptables -A FORWARD -d 192.168.0.7 -p tcp #Libera o uso de servios da web (HTTPS, MSN) sudo iptables -A FORWARD -s 192.168.0.7 -p tcp sudo iptables -A FORWARD -d 192.168.0.7 -p tcp Entrada) --dport 80 -j ACCEPT --sport 80 -j ACCEPT --dport 443 -j ACCEPT --dport 443 -j ACCEPT --dport 5222 -j ACCEPT --sport 5222 -j ACCEPT Entrada) --dport 80 -j ACCEPT --sport 80 -j ACCEPT --dport 443 -j ACCEPT --dport 443 -j ACCEPT

# Libera consulta a servios do Jabber sudo iptables -A FORWARD -s 192.168.0.7 -p tcp --dport 5222 -j ACCEPT sudo iptables -A FORWARD -d 192.168.0.7 -p tcp --sport 5222 -j ACCEPT echo ## ---------------------------------## Configurando NAT ## ---------------------------------echo \ \ -\>IPTables: Configurando acesso da rede interna para a Interne t sudo iptables -t nat -A POSTROUTING -s 192.168.0.5 -o wlan0 -j MASQUERAD E ## ## ## ## ## ## ## ## ## ## } echo Configurando iptables... case "$1" in abra) echo -n "Iniciando montagem da pasta servidor:" abraTudo ;; feche) echo -n "Desmontando a pasta servidor:" fecheTudo ;; seguro) construaModoSeguro ;; *) exit 1 ;; esac echo echo Configurao de tabelas completa. echo exit 0 ************************************ * ATENO * ************************************ 1 ) Log como root $ sudo su 2 ) Edite o arquivo /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/ip_forward 3 ) Edite a variavel no arquivo /etc/network/options ip_forward=yes ************************************