Guía para montaje de Servidor con Firewall y proxy transparente de WEB y POP3

Transcripción

1 Guía para montaje de Servidor con Firewall y proxy transparente de WEB y POP3 El objetivo de esta guía es montar un servidor que haga las funciones de: firewall + router + gateway + dhcp server y proxy transparente de WEB y POP3 (con revisión de antivirus y spam) entre una red de área local y una red con salida a internet. Algunas notas introductorias: La distro utilizada para estas pruebas fue la Debian Etch 4.0 (mi preferida). Probablemente se pueda adaptar sin mucho problema a otras distros de Linux. Las ubicaciones de los archivos tratados en este documento pueden variar dependiendo de la distro y versión que tenga. El procedimiento del montaje descrito en esta guía se hizo con base en mi necesidad específica. De acuerdo con su necesidad particular, puede que necesite llevar a cabo pasos adicionales/diferentes que los citados en este documento. Esta guía se ha elaborado tomando como base diversa documentación obtenida en Internet en conjunto con partes personalizadas a mi gusto. Todos los comandos ejecutados desde la consola deben llevarse a cabo como usuario root. Para cualquier script elaborado en este documento recordar que debe tener los permisos de ejecución para que pueda servir, p.ej: chmod +x script.sh La configuración de red utilizada en este documento es la siguiente: eth0 = (conectada a internet) eth1 = (conectada a la red de área local) Mucha suerte y paciencia con este montaje. Ing. Rolando V. (Pish) 1

2 ÍNDICE GENERAL SECCIÓN 1. Instalación del servidor DHCP, SSH y DNS Instalación del servicio bind9 (servidor DNS) Instalación del servidor dhcp3-server Instalación del servicio ssh SECCIÓN 2. Instalación del proxy transparente para WEB Configuración de proxy transparente SQUID para WEB Instalación del squidguard para el filtrado del contenido WEB...8 SECCIÓN 3. Instalación del proxy transparente para correo POP Instalación del antivirus ClamAV Instalación de SpamPd (usando SpamAssassin) Instalación del proxy POP3 (p3scan)...17 SECCIÓN 4. Configuración del Firewall como Gateway y Router (iptables)

3 SECCIÓN 1. Instalación del servidor DHCP, SSH y bind9 1.1 Instalación del servicio bind9 Instalamos el servicio: apt-get install bind9 La instalación de este servicio es únicamente para poder brindar salida a internet a las máquinas cliente de la red de área local. Configurar adecuadamente un servidor DNS no está en el alcance de este documento. 1.2 Instalación del servidor dhcp3-server Instalamos el servidor DHCP con el siguiente comando: apt-get install dhcp3-server OJO: al final de la instalación el servidor dhcp3-server intentará correr; sin embargo lo más probable es que muestre un error. No preocuparnos por esto, ya que tenemos que configurar el servidor dhcp3. El archivo de configuración a editar es /etc/dhcp3/dhcpd.conf y a continuación muestro el contenido sin las líneas comentadas no importantes para no hacerlo largo: The ddns-updates-style parameter controls whether or not the server will attempt to do a DNS update when a lease is confirmed. We default to the behavior of the version 2 packages ('none', since DHCP v2 didn't have support for DDNS.) ddns-update-style none; definiciones comunes para todas las redes soportadas... option domain-name "home"; puede ser midominio.com option domain-name-servers ; default-lease-time 86400; esto es en segundos =1 dia max-lease-time 86400; 3

4 Si el servidor es el oficial DHCP para la red activar la siguiente directiva: authoritative; Use this to send dhcp log messages to a different log file (you also have to hack syslog.conf to complete the redirection). log-facility local7; Definicion de una red de area local subnet netmask { Rango de ips disponibles para asignación por dhcp range ; Gateway option routers ; Dirección de broadcast option broadcast-address ; Servidor WINS option netbios-name-servers ; } Si usted desea asignar una IP fija a una computadora específica puede agregar lo siguiente al archivo de configuración /etc/dhcp3/dhcpd.conf: Asignación de una ip fija a una computadora concreta (se pueden poner tantas como se quiera) host pcfija { Dirección MAC de la tarjeta de red. hardware ethernet 00:D0:59:32:AF:6B; IP asignada fixed-address ; esta direccion NO puede estar en el rango declarado arriba } La dirección MAC de la tarjeta de red se puede obtener con el comando "ifconfig" en linux o "ipconfig /all" en dos/windows. Ahora reiniciamos el servidor dhcp3 con el siguiente comando: /etc/init.d/dhcp3-server restart 4

5 1.3 Instalación del servicio ssh Ahora vamos a instalar el servicio ssh para loggearnos al servidor remotamente vía consola: apt-get install ssh Vamos a reducir el tiempo de login y en caso de quererlo así no permitiremos conexiones de root. Para esto editaremos únicamente las siguientes líneas en el archivo /etc/ssh/sshd_config: LoginGraceTime 45 PermitRootLogin no esto es si no queremos que nadie se conecte como root remotamente Ahora, sólo permitiremos acceder por ssh a los usuarios indicados explícitamente en el archivo /etc/loginusers. Para esto, las siguientes líneas del archivo /etc/pam.d/ssh deben quedar así: auth required pam_env.so [1] auth required pam_env.so envfile=/etc/default/locale auth required pam_listfile.so sense=allow onerr=fail item=user file=/etc/loginusers Creamos el archivo /etc/loginusers ( echo pish > /etc/loginusers) con el siguiente contenido: pish Reiniciamos el servicio ssh con el situiente comando: /etc/init.d/ssh restart 5

6 SECCIÓN 2. Instalación del proxy transparente para WEB 2.1 Configuración de proxy transparente SQUID para WEB Procederemos a instalar el proxy transparente para la web. Para este fin, instalaremos el paquete squid: apt-get install squid OJO: después de la instalación lo más probable es que squid no levante y muestre un error. Al igual que el caso con el servidor DHCP, no preocuparnos ya que esto es porque necesitamos configurar a squid. Antes de editar el archivo de configuración de squid: /etc/squid/squid.conf hagamos un respaldo de este archivo (por simple prevención). A continuación se muestra el contenido del archivo /etc/squid/squid.conf más básico. Las líneas comentadas no importantes se han removido, las que sí se muestren son extras para nuestro proxy: (asumimos los parámetros de red ya citados) http_port :3128 transparent hierarchy_stoplist cgi-bin? acl QUERY urlpath_regex cgi-bin \? acl avi urlpath_regex -i \.avi$ acl mpeg urlpath_regex -i \.m1v$ \.mpeg$ \.mpg$ acl mpeg2 urlpath_regex -i \.m2v$ \.vob$ acl mpeg_audio urlpath_regex -i \.mpa$ \.mp2$ \.mp3$ \.aac$ acl asf urlpath_regex -i \.asf$ \.wma$ \.asx$ \.wmv$ no_cache deny avi no_cache deny mpeg no_cache deny mpeg2 no_cache deny mpeg_audio no_cache deny asf cache deny QUERY acl apache rep_header Server ^Apache broken_vary_encoding allow apache cache_mem 8 MB access_log /var/log/squid/access.log squid hosts_file /etc/hosts refresh_pattern ^ftp: % refresh_pattern ^gopher: %

7 refresh_pattern. 0 20% 4320 acl all src / acl manager proto cache_object acl localhost src / acl to_localhost dst /8 acl SSL_ports port 443 https acl SSL_ports port 563 snews acl SSL_ports port 873 rsync acl Safe_ports port 80 http acl Safe_ports port 21 ftp acl Safe_ports port 443 https acl Safe_ports port 70 gopher acl Safe_ports port 210 wais acl Safe_ports port unregistered ports acl Safe_ports port 280 http-mgmt acl Safe_ports port 488 gss-http acl Safe_ports port 591 filemaker acl Safe_ports port 777 multiling http acl Safe_ports port 631 cups acl Safe_ports port 873 rsync acl Safe_ports port 901 SWAT acl purge method PURGE acl CONNECT method CONNECT maximum_object_size KB tamano maximo de archivo a cachear cache_dir ufs /var/spool/squid GB en 16 niveles con 256 subniveles http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny!safe_ports http_access deny CONNECT!SSL_ports /24 significa: x /16 significa: x.x acl lan src /24 acl arch_bloqueados url_regex -i \.exe$ \.com$ \.bat$ \.pif$ http_access allow localhost http_access deny arch_bloqueados http_access allow lan 7

8 http_access deny all http_reply_access allow all icp_access allow all visible_hostname localhost cache_effective_group proxy coredump_dir /var/spool/squid Luego se debe reiniciar el servicio con el siguiente comando: /etc/init.d/squid restart 2.2 Instalación del squidguard para el filtrado del contenido WEB Para poner en acción el filtrado de la web y prohibir las visitas a ciertas páginas, utilizaremos el squidguard, el cual utiliza listas negras ( blacklists ) para identificar explícitamente los sitios que vamos a bloquear. Para instalarlo ejecutamos: apt-get install squidguard Una vez instalado debemos decirle al squid que utilice a squidguard para los fines del filtrado web. Para eso hay que agregar estas líneas al final del archivo /etc/squid/squid.conf: redirect_program /usr/bin/squidguard -c /etc/squid/squidguard.conf redirect_children 5 redirector_bypass on Antes de continuar con el paso siguiente, me gustaría detenerme un momento a hablar de las listas negras. Las listas negras son archivos de texto plano con los sitios que explícitamente se quieren prohibir. Por ejemplo, el contenido de un archivo de lista negra puede ser el siguiente: (los sitios son inventados para evitar cualquier problema) sitioinventado.com otrositioinventado.com otromasinventado.com Seguidamente se debe convertir el archivo plano de la lista negra en un archivo de base de datos Berkeley (.db) que es 8

9 el formato que utilizará squidguard para agilizar las búsquedas de sitios a prohibir. No se preocupe por buscar o instalar el motor de base de datos Berkeley ya que la instalación limpia y fresca de Debian Etch ya la incluye en los paquetes predeterminados del sistema. Bien, hasta este momento todo esto suena muy tedioso y difícil de hacer. Afortunadamente existen blacklists completísimas listas para bajar. Entre las más populares no comerciales están las de shalla y MESD, ambas indicadas en la página de squidguard. Yo recomiendo que usted visite los sitios de ambas listas negras para que lea los términos y las condiciones de uso de cualquiera de ellas. Viendo el contenido de ambas, me quedo con la de shalla porque es mucho más completa. Adicionalmente, mostraré un script que automatiza el trabajo de descargar y configurar para su uso las listas negras de shalla además de reiniciar el servicio squid para que los cambios entren en vigencia. Por lo tanto la única tarea que le tocará a usted será editar el archivo de configuración de squidguard a su gusto. Para editar el archivo de configuración de squidguard, cabe destacar que estas listas negras están clasificadas en carpetas según su fin; por ejemplo, en las listas de shalla podremos ver carpetas como: aggressive, gamble, hacking, porn, entre muchas otras. Cada una de las carpetas contiene los archivos domains y urls que son archivos de texto plano con los sitios a prohibir (tal y como se mencionó con anterioridad). Usted deberá escoger cuáles de esas clasificaciones de listas negras va a utilizar, supeditado obviamente a las clasificaciones disponibles de la lista negra descargada. No es obligatorio que las utilice todas. Para esta guía yo escogí (a manera de ejemplo) utilizar solamente las siguientes clasificaciones: hacking, adv, aggressive, drugs, gamble, spyware y violence. Con base en las clasificaciones que usted vaya a utilizar, así deberá indicarlo en el archivo de configuración /etc/squid/squidguard.conf. El siguiente es el archivo de configuración según lo que yo escogí: SquidGuard CONFIGURATION FILE DIRECTORIOS DE CONFIGURACION dbhome /var/lib/squidguard/db logdir /var/log/squid GRUPOS DE DIRECCIONES dest hacking { domainlist hacking/domains 9

10 urllist hacking/urls } dest adv { domainlist adv/domains urllist adv/urls la publicidad es reemplazada por una imagen vacia redirect } dest aggressive { domainlist aggressive/domains urllist aggressive/urls } dest drugs { domainlist drugs/domains urllist drugs/urls } dest gamble { domainlist gamble/domains urllist gamble/urls } dest spyware { domainlist spyware/domains urllist spyware/urls } dest violence { domainlist violence/domains urllist violence/urls } CONTROL DE ACCESO acl { por defecto bloqueamos los grupos de direcciones creados default { pass!hacking!adv!aggressive!drugs!gamble!spyware!violence all redireccionamos a una pagina web disuasoria redirect } } Como pudo observar, este archivo de configuración es muy básico y fácil de entender. El símbolo! significa NO o NOT. Y también usted puede redireccionar a una página construida por usted (prohibit.html) para mostrar el mensaje de 10

11 prohibición de acceso al sitio solicitado. Esta es una configuración muy básica; usted podrá investigar más y se encontrará con muchas opciones adicionales que se pueden incluir en este archivo de configuración. A continuación muestro el contenido del script que automatiza la descarga y configuración de la lista negra de Shalla además del reinicio del servicio squid. Si desea, usted puede programar este script para que se ejecute automáticamente a cada cierto tiempo utilizando el comando crontab. El script se llama shalla_update.sh y a como está programado debe alojarse en la carpeta /root. Si usted desea ubicarlo en otra carpeta, entonces tendrá que modificar el código del script para que se ajuste a la nueva carpeta donde lo vaya a ubicar. Tome en consideración que este proceso demorará según la velocidad de su conexión a Internet y a la cantidad y tamaño de clasificaciones que vaya a utilizar. Si durante este proceso ocurre un error, significa que hay un error en el archivo de configuración de squidguard. NOTA: el script fue tomado del propio sitio de blacklists de shalla. No obstante, tuve que corregirlo porque tenía algunos errores y para adaptarlo a mi necesidad específica.!/bin/sh squidguard blacklists - download & install script download from Shalla's created by Steve Olive - oz.ollie(at)gmail.com ver :00 GMT+10 Creative Commons Attribution-Share Alike 3.0 License SCRIPT MODIFICADO POR PISH cd /root download latest file - overwrite any existing file wget -N -a /var/log/shalla.log removemos la carpeta temporal BL por aquello de las moscas rm -Rf /root/bl extract blacklists tar -zxf shallalist.tar.gz remove old databases rm -Rf /var/lib/squidguard/db/* 11

12 copy blacklists to db home cp -R /root/bl/* /var/lib/squidguard/db se convierten las listas a formato Berkeley squidguard -C all -d se convierte al usuario proxy en propietario de la carpeta de las blacklists chown -R proxy:proxy /var/lib/squidguard/db se reinicia el servicio squid squid -k reconfigure se remueve la carpeta temporal BL rm -Rf /root/bl Si queremos, podemos reiniciar el squid con el siguiente comando (OJO: NO es necesario ya que el script shalla_update.sh ya lo hace automáticamente): squid -k reconfigure Comprobamos que aparecen los procesos SquidGuard, (el número de procesos es el definido en el archivo /etc/squid.conf por la directiva redirect_children <numero>): ps -e grep squidguard Comprobamos el log: (al final debe salir el mensaje squidguard ready for requests ) cat /var/log/squid/squidguard.log Tomando en cuenta el archivo de configuración de squidguard que se muestra más arriba, no hay que olvidar crear la página web prohibit.html y ubicarla en la raíz de su servidor web. También hay poner una imagen vacía nullbanner.png para la prohibición de publicidad. 12

13 SECCIÓN 3. Instalación del proxy transparente para correo POP3 Los servicios a instalar en esta sección son: clamav (antivirus), spamassassin (chequeador de spam) y p3scan (proxy transparente de correo POP3). Antes de instalar el p3scan, vamos a instalar primeramente los servicios que va a utilizar: clamav y spamassassin. Al finalizar la instalación de estos 2 servicios y del proxy p3scan, haremos que los usuarios creados por clamav, spamassassin y p3scan pertenezcan entre sí a sus correspondientes grupos, para dar la impresión de que los usuarios de estos 3 servicios pertenecen al mismo grupo. No obstante, veremos que los demonios de estos servicios utilizarán al usuario clamav para la ejecución de sus demonios. 3.1 Instalación del antivirus ClamAV Vamos a instalar el antivirus que en especial lo va a usar el proxy de correo para escanear los correos entrantes por el POP3. Sin embargo, este antivirus puede ser utilizado como cualquier otro antivirus, para escanear archivos, carpetas, etc. Dicho esto, instalamos el paquete clamav: apt-get install clamav OJO: puede que al final de la instalación del clamav ocurra un error indicando que no puede configurar el paquete por problemas de dependencias aunque dichas dependencias acaban de ser descargadas. Esto es muy fácil de arreglar: simplemente volver a ejecutar el comando apt-get install clamav para reinstalarlo y reconfigurarlo de manera automática. Luego de instalado lo probamos analizando el archivo test de eicar, el cual es un archivo cuyo contenido es únicamente una línea: (OJO: este virus es inofensivo, se ha hecho únicamente con el fin de probar los antivirus) X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* Para escanear hacemos lo siguiente (asumiendo que hemos creado el archivo con el virus eicar en /home/pish): clamscan -rv /home/pish/ 13

14 (OJO: tal vez el primer escaneo comience a tardarse mucho; esto significa que el clamav está actualizando sus definiciones de virus antes de ejecutar el escaneo. Si el escaneo devuelve un error indicando que no pudo bloquear la carpeta de base de datos de clamav: /var/lib/clamav simplemente ignorar este error y volver a ejecutar el escaneo). Y el resultado puede decir algo así (tomando en cuenta que el archivo de prueba eicar se llame archivoeicar.txt): /home/pish/archivoeicar.txt: Eicar-Test-Signature FOUND SCAN SUMMARY Known viruses: Engine version: Scanned directories: 25 Scanned files: 42 Infected files: 1 Data scanned: 3.02 MB Time: sec (0 m 29 s) 3.2 Instalación de SpamPd (usando SpamAssassin) Instalamos el paquete spampd y el cliente spamc: apt-get install spampd spamc Luego editamos las siguientes líneas en el archivo /etc/default/spampd para que el spampd utilice el mismo usuario del antivirus (clamav): USERID=clamav GRPID=clamav Ahora activamos el SpamAssassin con la directiva ENABLED en el archivo /etc/default/spamassassin: ENABLED=1 14

15 Configuramos el SpamAssassin editando las siguientes líneas en el archivo /etc/spamassassin/local.cf para que queden así: rewrite_header Subject *****SPAM***** report_safe 1 required_score 3.0 use_bayes 1 bayes_auto_learn 1 Preparamos un script para que mantenga las reglas del SpamAssassin actualizadas (vía Internet). El script puede alojarse en la carpeta personal del root (/root) y se puede llamar actualiza_sa.sh:!/bin/bash Script para actualizar las reglas de SpamAssassin Cambiamos al directorio adecuado cd /etc/spamassassin/ Actualizamos las reglas wget wget wget wget wget wget wget wget wget wget wget wget wget wget wget wget wget wget wget 15

16 wget wget wget wget wget wget wget wget wget wget wget wget wget Reiniciamos los servicios /etc/init.d/spamassassin restart /etc/init.d/spampd restart Si queremos, podemos reiniciar los servicios del spamassassin con el siguiente comando (OJO: NO es necesario ya que el script actualiza_sa.sh ya lo hace automáticamente): /etc/init.d/spamassassin restart /etc/init.d/spampd restart Una vez que el script está creado, si quisiéramos automatizarlo, programamos el sistema para que actualice al menos una vez a la semana: crontab -e Y digitar lo siguiente: m h dom mon dow command (hagase el primer dia de cada semana a las 5am) * * 1 /root/actualiza-sa.sh 3.3 Instalación del proxy POP3 (p3scan) 16

17 Ahora instalaremos el otro proxy, el de correo POP3. Se instala el paquete p3scan con el siguiente comando: apt-get install p3scan OJO: al final de la instalación puede darse un error. No preocuparnos ya que tenemos que configurar a p3scan. Una vez instalado configuramos las siguientes líneas del archivo /etc/p3scan/p3scan.conf para que queden así: pidfile = /var/run/p3scan/p3scan.pid maxchilds = 10 ip = port = 8110 targetip = targetport = 8110 user = clamav notifydir = /var/spool/p3scan/notify virusdir = /var/spool/p3scan scannertype = basic scanner = /usr/bin/clamscan --no-summary virusregexp =.*: (.*) FOUND demime checkspam spamcheck = /usr/bin/spamc subject = [Virus Encontrado] Un mensaje enviado para usted contenia virus: Como hemos podido observar en la línea que dice user = clamav, significa que cada vez que el demonio de p3scan se ejecute lo hará por medio del usuario clamav (que es el del antivirus). Finalmente, hacemos que los usuarios creados por clamav, spamassassin y p3scan pertenezcan entre sí a sus correspondientes grupos, aunque en la realidad sólo utilizaremos al usuario clamav. Editamos el archivo /etc/group y buscamos las siguientes líneas (que seguramente estarán al final del archivo) para que queden de la siguiente manera: (GID es el group-id asignado por linux, el cual NO se cambia) clamav:x:gid:spampd,p3scan spampd:x:gid:clamav,p3scan 17

18 p3scan:x:gid:clamav,spampd Convertimos al usuario clamav en el propietario de las carpetas del p3scan y reiniciamos los servicios: chown clamav:clamav -R /var/spool/p3scan chown clamav:clamav -R /var/run/p3scan /etc/init.d/p3scan restart /etc/init.d/spamassassin restart /etc/init.d/spampd restart 18

19 SECCIÓN 4. Configuración del Firewall como Gateway y Router (iptables) Una vez que ya tenemos todos los servicios activados, vamos a proceder con la configuración del firewall-gateway-router. Esto lo llevaremos a cabo con el comando iptables. Para cumplir con este objetivo vamos a mostrar un script que hace todo esto por nosotros generado por un robot muy útil. Más adelante indicaré cómo y dónde ubicarlo para que se active de manera automática. Para el script vamos a asumir lo siguiente: eth0 = interfaz conectada al internet ( ) eth1 = interfaz conectada a la LAN ( ) A continuación mostraré el contenido del script sin las líneas comentadas no importantes. Ponga especial atención en las líneas de redirección del proxy transparente de web y de POP3. El script debe llamarse iprules.sh!/bin/sh Local Settings IPTables Location - adjust if needed IPT="/sbin/iptables" Internet Interface INET_IFACE="eth0" INET_ADDRESS=" " Local Interface Information LOCAL_IFACE="eth1" LOCAL_IP=" " LOCAL_NET=" /24" LOCAL_BCAST=" " Localhost Interface 19

20 LO_IFACE="lo" LO_IP=" " Load Modules echo "Cargando modulos del Kernel..." You should uncomment the line below and run it the first time just to ensure all kernel module dependencies are OK. There is no need to run every time, however. /sbin/depmod -a Unless you have kernel module auto-loading disabled, you should not need to manually load each of these modules. Other than ip_tables, ip_conntrack, and some of the optional modules, I've left these commented by default. Uncomment if you have any problems or if you have disabled module autoload. Note that some modules must be loaded by another kernel module. core netfilter module /sbin/modprobe ip_tables the stateful connection tracking module /sbin/modprobe ip_conntrack filter table module /sbin/modprobe iptable_filter mangle table module /sbin/modprobe iptable_mangle nat table module /sbin/modprobe iptable_nat LOG target module /sbin/modprobe ipt_log 20

21 This is used to limit the number of packets per sec/min/hr /sbin/modprobe ipt_limit masquerade target module /sbin/modprobe ipt_masquerade filter using owner as part of the match /sbin/modprobe ipt_owner REJECT target drops the packet and returns an ICMP response. The response is configurable. By default, connection refused. /sbin/modprobe ipt_reject This target allows packets to be marked in the mangle table /sbin/modprobe ipt_mark This target affects the TCP MSS /sbin/modprobe ipt_tcpmss This match allows multiple ports instead of a single port or range /sbin/modprobe multiport This match checks against the TCP flags /sbin/modprobe ipt_state This match catches packets with invalid flags /sbin/modprobe ipt_unclean The ftp nat module is required for non-pasv ftp support /sbin/modprobe ip_nat_ftp the module for full ftp connection tracking /sbin/modprobe ip_conntrack_ftp the module for full irc connection tracking /sbin/modprobe ip_conntrack_irc 21

22 Kernel Parameter Configuration Required to enable IPv4 forwarding. Redhat users can try setting FORWARD_IPV4 in /etc/sysconfig/network to true echo "1" > /proc/sys/net/ipv4/ip_forward This enables dynamic address hacking. Set this if you have a dynamic IP address \(e.g. slip, ppp, dhcp\). if [ "$SYSCTL" = "" ] then echo "1" > /proc/sys/net/ipv4/ip_dynaddr else $SYSCTL net.ipv4.ip_dynaddr="1" fi This enables source validation by reversed path according to RFC1812. In other words, did the response packet originate from the same interface through which the source packet was sent? It's recommended for single-homed systems and routers on stub networks. Since those are the configurations this firewall is designed to support, I turn it on by default. Turn it off if you use multiple NICs connected to the same network. echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter This option allows a subnet to be firewalled with a single IP address. It's used to build a DMZ. Since that's not a focus of this firewall script, it's not enabled by default, but is included for reference. See: if [ "$SYSCTL" = "" ] then echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp else $SYSCTL net.ipv4.conf.all.proxy_arp="1" fi Flush Any Existing Rules or Chains 22

23 echo "Limpiando reglas..." Reset Default Policies $IPT -P INPUT ACCEPT $IPT -P FORWARD ACCEPT $IPT -P OUTPUT ACCEPT $IPT -t nat -P PREROUTING ACCEPT $IPT -t nat -P POSTROUTING ACCEPT $IPT -t nat -P OUTPUT ACCEPT $IPT -t mangle -P PREROUTING ACCEPT $IPT -t mangle -P OUTPUT ACCEPT Flush all rules $IPT -F $IPT -t nat -F $IPT -t mangle -F Erase all non-default chains $IPT -X $IPT -t nat -X $IPT -t mangle -X if [ "$1" = "stop" ] then echo "Firewall limpio..." exit 0 fi Rules Configuration Filter Table Set Policies 23

24 $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP User-Specified Chains Create user chains to reduce the number of rules each packet must traverse. echo "Creando reglas personalizadas..." Create a chain to filter INVALID packets $IPT -N bad_packets Create another chain to filter bad tcp packets $IPT -N bad_tcp_packets Create separate chains for icmp, tcp (incoming and outgoing), and incoming udp packets. $IPT -N icmp_packets Used for UDP packets inbound from the Internet $IPT -N udp_inbound Used to block outbound UDP services from internal network Default to allow all $IPT -N udp_outbound Used to allow inbound services if desired Default fail except for established sessions $IPT -N tcp_inbound Used to block outbound services from internal network Default to allow all $IPT -N tcp_outbound 24

25 Populate User Chains bad_packets chain Drop INVALID packets immediately $IPT -A bad_packets -p ALL -m state --state INVALID -j LOG \ --log-prefix "Paquete invalido:" $IPT -A bad_packets -p ALL -m state --state INVALID -j DROP Then check the tcp packets for additional problems $IPT -A bad_packets -p tcp -j bad_tcp_packets All good, so return $IPT -A bad_packets -p ALL -j RETURN bad_tcp_packets chain All tcp packets will traverse this chain. Every new connection attempt should begin with a syn packet. If it doesn't, it is likely a port scan. This drops packets in state NEW that are not flagged as syn packets. Return to the calling chain if the bad packets originate from the local interface. This maintains the approach throughout this firewall of a largely trusted internal network. $IPT -A bad_tcp_packets -p tcp -i $LOCAL_IFACE -j RETURN However, I originally did apply this filter to the forward chain for packets originating from the internal network. While I have not conclusively determined its effect, it appears to have the interesting side effect of blocking some of the ad systems. Apparently some ad systems have the browser initiate a NEW connection that is not flagged as a syn packet to retrieve the ad image. If you wish to experiment further comment the rule above. If you try it, you may also wish to uncomment the 25