#Libera o apache pra web iptables -A INPUT -p tcp --destination-port 6080 -j ACCEPT iptables -A INPUT -p tcp --destination-port 443

-j ACCEPT #Libera o loopback iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT #Bloqueando todos os endereos vindo de uma determinada rede para a minha mquina iptables -A INPUT -s 10.0.0.0/8 -j DROP #Liberando o endereo vindo de uma rede para a minha mquina iptables -A INPUT -s 10.0.0.1 -j ACCEPT #Gerando Logs de Portas proibidas iptables -A INPUT -p tcp --dport 21 -j --log-prefix "Servio de FTP" #Gerando log de Backdoors iptables -A INPUT -p tcp --dport 5042 -j LOG -log-prefix "Wincrash" iptables -A INPUT -p tcp --dport 12345 -j LOG -log-prefix "backOrifice" iptables -A INPUT -p tcp --dport 12346 -j LOG -log-prefix "backOrifice" #Habilitando porta de FTP iptables -A INPUT -p tcp -s 192.168.0.45 --dport 21 -j ACCEPT #Habilitando porta de SSH iptables

-A INPUT -p tcp -s 192.168.0.45 --dport 22 -j ACCEPT #Habilitando porta de SMTP iptables -A INPUT -p tcp -s 192.168.0.45 --dport 25 -j ACCEPT #Habilitando porta de DNS iptables -A INPUT -p tcp -s 192.168.0.45 --dport 53 -j ACCEPT #Habilitando porta de POP3 iptables -A INPUT -p tcp -s 192.168.0.45 --dport 110 -j ACCEPT #Habilitando porta de DNS (UDP) iptables -A INPUT -p udp -s 192.168.0.45 --source-port 53 -j ACCEPT #Redirecionar Porta iptables -t nat -A PREROUTING -s IP_NET -i EXT_INT -j DNAT --to IP_DESTINO iptables -t nat -A POSTROUTING -s IP_NET -o EXT_INT -p tcp --dport PORT -j ACCEPT iptables -t nat -A POSTROUTING -s IP_DESTINO -o EXT_INT -j SNAT --to IP_NET iptables -t nat -A POSTROUTING -s IP_DESTINO -o EXT_INT --p tcp --dport PORT -j ACCEPT IP_NET = IP vlido da internet. EXT_INT = Interface da Internet. IP_DESTINO = IP invlido da Internet ou melhor ip da rede que vai fazer redirecionamento. PORT = porta

#Fazendo redirecionamento de portas iptables -t nat -A PREROUTING -i FACE -p tcp --dport 80 -j REDIRECT --to-port 3128 FACE = interface de rede #Bloqueando todos os pacotes originrios da rede 10.0.0.0 para o host www.seila.com.br iptables -A FORWARD -s 10.0.0.0/8 -d www.seila.com.br -j DROP #Liberando todos os pacotes originrios da rede 10.0.0.0 para o host www.seila.com.br iptables -A FORWARD -s 10.0.0.0/8 -d www.seila.com.br -j ACCEPT #Liberando todos os pacotes tcp destinados a porta 25 iptables -A FORWARD -p tcp --dport 25 -j ACCEPT #Liberando acesso interno da rede iptables -A INPUT -p tcp --syn -s 192.168.1.0/24 -j ACCEPT iptables -A OUTPUT -p tcp --syn -s 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -p tcp --syn -s 192.168.1.0/24 -j ACCEPT #compartilhando a web na rede interna iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward && #Libera Bittorrent somente para esta maquina iptables

-A INPUT -p tcp --destination-port 6881:6889 -j ACCEPT #Bloqueando tracertroute iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP #Protecoes contra ataques iptables -A INPUT -m state --state INVALID -j DROP #Bloqueando uma mquina pelo endereo MAC iptables -A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP #Proteo contra IP Spoofing iptables -A INPUT -s 172.16.0.0/16 -i ext_face -j DROP iptables -A INPUT -s 192.168.0.0/24 -i ext_face -j DROP iptables -A INPUT -s 192.168.0.0/24 -i ext_face -j DROP < ext_face = So as interfaces da internet como ppp e ethX > #Proteo contra Syn-floods iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT #Proteo contra port scanners ocultos iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT #Proteo contra ping da morte iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT #Bloqueando

ping de um ip iptables -A INPUT -p icmp -s 192.168.1.1/24 -j DROP #Bloqueando pacotes fragmentados iptables -A INPUT -i INTEXT -m unclean -j log_unclean iptables -A INPUT -f -i INTEXT -j log_fragment < INTEXT = Interface da INTERNET > #Anulando as respostas a ICMP 8 (echo reply) echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all