Configurando Firewall iptables em servidor dedicado : Hack Network

Pgina 1 de 3

Hack Network
Configurando Firewall iptables em servidor dedicado
By Allan Denot on December 1, 2009

PROXY AUTO-CONFIG TOOL

CATEGORIES

POSTS BY LANGUAGE

You are here: Home / Linux / Configurando Firewall iptables em servidor dedicado

Hoje com os VPS chegando a custar 9 dolares por ms, muitos esto alugando esses servidores virtuais e deixam o firewall aberto, confiando no provedor. Nesse artigo iremos ensinar como configurar um firewall iptables bsico, garantindo a segurana do servidor remoto. Vamos configurar um firewall no modo padro DROP, ou seja, ele ir bloquear todos os pacotes, e liberar apenas o que definirmos nas regras de ACCEPT abaixo. Para tipo de firewall necessrio cuidado na hora de configur-lo, pois podemos sem querer bloquear nossa prpria conexo, se no configurarmos na ordem correta. Porm tambm o modo mais seguro, por isso iremos utiliz-lo.

Regras Bsicas
As regras bsicas que precisamos ter em um firewall so as abaixo. Permitir pings:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Permitir acesso a porta 22 (SSH):

iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Caso voc possua um Apache rodando, tambm precisa permitir acesso a porta 80 (HTTP):

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

Permitir conexes que j foram estabelecidas:

iptables -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT

Permitir acesso loopback:

iptables -A INPUT -s 127.0.0.1 -j ACCEPT

Mas s temos liberaes como iremos impedir acessos indesejados?

iptables -P FORWARD DROP iptables -P INPUT DROP

http://www.hack.net.br/blog/linux/configurando-firewall-iptables-em-servidor-dedica...

29/03/2012

Configurando Firewall iptables em servidor dedicado : Hack Network

Pgina 2 de 3

Mudando a poltica padro das tabelas para DROP. Ateno! Cuidado ao mudar a poltica com as regras acima. Se voc no estiver criado as regras de liberao, o firewall ir bloquear qualquer conexo e voc perder acesso ao servidor. Se isso acontecer Reinicie o servidor; ou Pea para algum ir na console, logar como root e digitar:
iptables -P INPUT ACCEPT

Qual a diferena entre a poltica DROP e REJECT?

REJECT o trafego rejeitado, ou seja, um pacote ICMP enviado de volta avisando que aquela porta no est aberta. DROP o trfego descartado, sem que host de origem seja avisado. Por que utilizar DROP ento? Eu prefiro utilizar DROP pois dessa maneira, quando um host tentar abrir uma conexo para meu servidor, os pacotes sero descartados at que ocorra um timeout no host de origem. Ento um portscan por exemplo demorar muito mais para mapear todas as portas do meu servidor.

Juntando tudo
echo 1 > /proc/sys/net/ipv4/ip_forward iptables -F iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -s 127.0.0.1 -j ACCEPT iptables -P FORWARD DROP iptables -P INPUT DROP

Voc pode salvar os comandos acima em um arquivo firewall.sh e coloc-lo para executar no seu /etc/rc.local

Abrir outras portas?

Para abrir outras portas, basta colocar outras regras como essa, no final do script:

iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Porm alterando de 22 para a porta que voc deseja abrir.

Qual o motivo de existir essa regra de estado (state ESTABLISHED,RELATED) ?

Essa regra garante que os pacotes das conexes abertas a partir do servidor, conseguiro voltar para ele. Por exemplo, quando o servidor faz uma consulta DNS, o pedido vai sair pelo OUTPUT do iptables (que deixamos liberado) e quando voltar, vai bater no INPUT. Se no tiver essa regra, o firewall iria descartar o pacote com as informaes de DNS retornando. Related posts:

http://www.hack.net.br/blog/linux/configurando-firewall-iptables-em-servidor-dedica...

29/03/2012

Configurando Firewall iptables em servidor dedicado : Hack Network

Pgina 3 de 3

1. Configurando um Tnel SSH usando PuTTY

Posted in Linux, Portugus-Brasil | Tagged firewall, iptables, Linux, vps

One Response

A n dr

Andr Hospedagem December 2, 2011 at 12:43 am | Permalink | Reply

Para testar eu uso estas regras no final do script, sleep 120 iptables -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -X Elas zeram todas as regras do iptables em 2 minutos, se algo der errado basta esperar 2 minutos e corrigir ;0)

Leave a Reply
Name * Email *

Website

Comment

Post Comment

Search
Search this site...

Previous

Next

Copyright 2012 Hack Network.

http://www.hack.net.br/blog/linux/configurando-firewall-iptables-em-servidor-dedica...

29/03/2012