|
|
EXEMPLO de "programação" de firewall camada 2, ou roteador:
# ARP Poisoning
iptables -A FORWARD -j arp-fw-group
# Best VIP
iptables -A FORWARD -j fwd-best-group
# Malformed
iptables -A FORWARD -j fwd-malf-group
# Bad VIP
iptables -A FORWARD -j fwd-bad-group
# Good VIP
iptables -A FORWARD -j fwd-good-group
# Deny Group
iptables -A FORWARD -j fwd-deny-group
# Accept Group
iptables -A FORWARD -j fwd-accept-group
# Deny Services Group
iptables -A FORWARD -j fwd-dsg-group
# Customer VIP
iptables -A FORWARD -j fwd-customer-group
# Syn Flood
iptables -A FORWARD -p tcp --syn -j syn-flood
# Firewall
iptables -A FORWARD -j fwd-fw-group
# DEFAULT DROP
iptables -A FORWARD -m limit --limit 10/s --limit-burst 4 -j LOG \
--log-prefix "[FORWARD FW] "
iptables -A FORWARD -j DROP
|
Chain arp-fw-group em detalhes:
iptables -N arp-fw-group
iptables -A arp-fw-group -p all -m mac --mac-source ! 00:11:22:33:44:55 \
-s 10.1.2.3 -j DROP
iptables -A arp-fw-group -p all -s 10.1.2.3 -j RETURN
iptables -A arp-fw-group -p all -m mac --mac-source ! 66:77:88:99:AA:BB \
-s 10.1.2.4 -j DROP
iptables -A arp-fw-group -p all -s 10.1.2.4 -j RETURN
iptables -A arp-fw-group -p all -s 10.1.2.0/23 -j DROP
# Bloqueia todo o restante por default
iptables -A arp-fw-group -p all -j DROP
|
A ferramenta está aí... para colocar em produção de forma escalável,
pode-se criar uma política e implantá-la tecnicamente fazendo scripts
que consultam a tabela do arpwatch:
/var/lib/arpwatch/eth0.dat
/var/lib/arpwatch/eth1.dat
|
Pode-se utilizar esta chain arp-fw-group - que criamos - nas seguintes chains
pré-definidas:
PREROUTING, para pacotes que acabaram de entrar nas tabelas nat ou mangle.
INPUT, para pacotes que acabaram de entrar nas tabelas filter ou mangle.
FORWARD, no caso de firewall camada 2 (firewall em bridge), ou firewall operando como roteador.
Tabelas: filter ou mangle.
|
|
|
|