Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- #!/bin/bash
- #
- # Ejecutar este Script con sudo
- #
- echo Cargando Reglas....
- ## FLUSH de reglas
- iptables -F
- iptables -X
- iptables -Z
- # evita las limitaciones tecnicas de un ISP defectuoso
- iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -m recent --set --name thor --rdest -j ACCEPT
- iptables -A INPUT -p tcp -m tcp --tcp-flag RST RST -m state --state ESTABLISHED -m recent --name thor --rcheck --rsource --seconds 1 -j DROP
- #bash -c "iptables-save > /etc/iptables.rules"
- #cp ./iptablesload /etc/network/if-pre-up.d/iptablesload
- #chmod +x /etc/network/if-pre-up.d/iptablesload
- #
- # o si quieren remover la carga automática borren el archivo
- # sudo rm /etc/network/if-pre-up.d/iptablesload
- #
- # Deshabilitar broadcast
- /bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
- # Deshabilitar el ping… quizá discutible.
- #/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
- # Deshabilitar la redirección del ping
- /bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
- # Registrar los accesos extraños, paquetes falseados, etc..
- /bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
- # Anti-flooding o inundación de tramas SYN.
- iptables -N syn_flood
- iptables -A INPUT -p tcp --syn -j syn_flood
- iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
- iptables -A syn_flood -j DROP
- # Guardar los accesos con paquetes fragmentados, recurso utilizado para tirar
- # servidores y otras maldades (bug en Apache por ejemplo)
- iptables -A INPUT -i eth0 -f -j LOG --log-prefix "Fragmento! "
- iptables -A INPUT -i eth0 -f -j DROP
- #Make sure NEW incoming tcp connections are SYN packets; otherwise we need to drop them:
- iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
- #Limiting the incoming icmp ping request:
- iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j ACCEPT
- iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j LOG --log-prefix PING-DROP:
- iptables -A INPUT -p icmp -j DROP
- iptables -A OUTPUT -p icmp -j ACCEPT
- #This would block the more common XMAS packets.
- iptables -A INPUT -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
- #
- # PORTSCAN chain (drop common attacks)
- #
- iptables -N PORTSCAN
- iptables -A PORTSCAN -p tcp --tcp-flags ACK,FIN FIN -j DROP
- iptables -A PORTSCAN -p tcp --tcp-flags ACK,PSH PSH -j DROP
- iptables -A PORTSCAN -p tcp --tcp-flags ACK,URG URG -j DROP
- iptables -A PORTSCAN -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
- iptables -A PORTSCAN -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
- iptables -A PORTSCAN -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
- iptables -A PORTSCAN -p tcp --tcp-flags ALL ALL -j DROP
- iptables -A PORTSCAN -p tcp --tcp-flags ALL NONE -j DROP
- iptables -A PORTSCAN -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
- iptables -A PORTSCAN -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP
- iptables -A PORTSCAN -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
- #
- # COMMON chain (everything passes through here)
- #
- iptables -N COMMON
- iptables -A COMMON -j PORTSCAN
- #
- # chains relations
- #
- iptables -A INPUT -j COMMON
- iptables -A OUTPUT -j COMMON
- iptables -A FORWARD -j COMMON
- echo Reglas Cargadas...
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement