My Firewall

**Net_Spider** · 22-11-2006, 05:32 PM

السلام عليكم
كلنا نعلم مدى اهمية ال Firewalls في تأمين النظام والشبكات
وتتراوح اعدادت ال Firewall بين الاعدادت البسيطة والمعقدة حسب حجم الشبكة والخدمات بها او حسب الخدمات بالنظام
ولهذا يلجأ الكثير من مدراء الانظمة الى الى عمل السكربتات لتسهيل الامر عليهم

اعرض عليكم هذا السكربت .. قمت بكتابته منذ فترة لتسهيل اعدادات الفايروول للشبكة بدلا من كتابة القوانين من الصفر كل مرة
وقمت بتطوير السكربت بحيث يمكن للاخرين استخدامه ايضا
واضفت بعض انواع الحمايات على مستوى الكيرنل وعلى مستوى الفايروول مثل:
تجاهل باكيتس ال ICMP
حماية من ال syn flood وهو احد هجمات حجب الخدمة
منع خاصية ال ICMP Redirect
حماية من ال ICMP Broadcasting
حماية من ال ICMP Dead Error Messages
حماية من ال IP spoofing او التزوير
تقليل تأثير هجمات حجب الخدمة عن طريق تقليل قيم ال timeouts
تجهال عمليات ال scan عن طريق nmap وعدم الرد عليها

جميع الحمايات بالاعلى تيم تفعيلها او الغائها من ملف الاعدادت

عموما لاستخدام السكربت قم بتنزيله من المرفقات ثم:

[HTML]# tar xvfz netspider_firewall-1.2.0.tar.gz
# cd netspider-firewall/
# ls
firewall.conf GPL-license.txt install.sh start-firewall stop-firewall
# sh install.sh
Copying files
.
.
.
Do you want the firewall start when system start? [yes/no]
yes
Install Complete

[/HTML]

اذا لا تريد السكربت يعمل عند بداية التشغيل اجب بالنفي

بعد ذلك قم بفتح ملف الاعدادت:

كود: .: أنقر هنا لتحديد الكل :.

#gedit /etc/firewall.conf

او

كود: .: أنقر هنا لتحديد الكل :.

# vi /etc/firewall.conf

كود: .: أنقر هنا لتحديد الكل :.

#!/bin/bash
#
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
# as published by the Free Software Foundation; either version 2
# of the License, or (at your option) any later version.
                                                                                                                            
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
# GNU General Public License for more details.
                                                                                                                            
# Copyright 2004-2005 by Net-Spider
# Email         : hacker@mail.com.eg
# -------------------------------------------------------------------

VERSION="1.2.0"
modprobe="/sbin/modprobe -v"
                                                                                                                            
# IPtables Firewall binary file default path
IPTABLES=/sbin/iptables
                                                                                                                            
# Default standard policy for iptables which could be "drop"
# or "accept" (drop = very secure).
DEFAULT_POLICY=drop
                                                                                                                            
# Block ICMP echo-requests such as ping, to enable it put "1", to disable "0"
IGNORE_ICMP=0
                                                                                                                            
# Enable/Disable world to send ICMP packets
# If IGNORE_ICMP=1, it will Allow all world to send ICMP packets
OPEN_ICMP=1
                                                                                                                            
# good protetion from syn flood with Linux kernel, set it to "1" to enable.
SYN_FLOOD_PROTECTION=1
                                                                                                                            
# Enable/Disable ICMP Redirect acceptance.
DISABLE_ICMP_REDIRECT=1

# ICMP Broadcasting protection
SMURF_PROTECTION=1

# Enable/Disabl ICMP Dead Error Messages protection
ERROR_PRO=1

# Enable/Disabl IP forwarding, enable it by putting "1" value, only if
# you use NAT or your system work as a router
IP_FORWARD=0

# Enable/Disable IP spoofing protection
SPOOF_PROTECT=1

# Enable/Disable Log Spoofed, Source Routed, Redirect Packets
LOG_PACKET=1
 
# Enable/Disabl Reduce DoS ability by reducing timeouts.
REDUCE_DOS=1
                                                                                                                            
# Log of ICMP flooding
ICMP_FLOOD_LOG=1
                                                                                                                            
# Drop Nmap Scan packets
DROP_SCAN=1

# Log Nmap Scan
SCAN_LOG=0
                                                                                                                            
# Enable this if you want TOS mangling (RFC)
MANGLE_TOS=1
                                                                                                                            
# Current log-level ("info": default kernel syslog level)
LOGLEVEL="info"

# The Default interface
interface="eth0"
                                                                                                                            
# Other trusted interface
TRUSTED_IF=""
                                                                                                                            
# NAT configuration (MASQUERADE)
SUPPORT_NAT=0
EXTERNAL_IF="eth0"              # External Interface device ( eth0, ppp0 .... )
INTERNAL_IF="eth1"              # Internal Interface device

# Proxy configuration
SUPPORT_PROXY=0

# make sure that nobody will try to cheat and use a proxy server other than yours.
# We must also make sure that nobody will try to cheat and connect to the internet directly

LAN_ID="192.168.1.1/24"		# The Network Adress
PRX_INT_IP="192.168.1.1"	# IP Adress of Proxy internal interface 
LAN_IF="eth1"			# Internal network interface
PRX_PORT="8080"			# The port which the proxy server listen to
                                                                                                                          
# Set to "1" if your system work as IRC server
IRC=0


#########################################################
#							#
#	 	    Firewall Rules			#
#							#
#########################################################

# Enable = 1,  Disable = 0

SSH=1
FTP=1
HTTP=1
HTTPS=1
SMTP=1
SMTPS=1
POP3=1
POP3s=1
IMAP=1
IMAPs=1
DNS=1
MYSQL=1
CPANEL=1
DIJICHAT=0
WEBMIN=0
TELNET=0
TFTP=0
SNMP=0
SMB=0
NFS=0
RPC=0
LDAP=0
LDAPS=0
NNTP=0
NNTPS=0
NTP=0
DHCP=0
printer=0
XWindows=0
XFontServer=0

والاعدادت بسيطة وحرصت ان اشرحها في الملف
ولكن احب اوضح بعض الاعدادت المهمة التي يمكن ان تحتاج الى توضيح اكثر

كود PHP: .: أنقر هنا لتحديد الكل :.


DEFAULT_POLICY=drop

هذه القيمة تحدد الوضع الافتراضي للفايروول اما ان يمنع الفايروول الاتصال بجميع البورتات معدا البورتات التي تقوم انت بالسماح لها بالاتصال
والوضع الاخر وهو ان يقوم الفايروول في الوضع الافتراضي بالسماح لجميع البورتات بالاتصال بعدا البورتات والخدمات التي تقوم انت بمنعها
طبعا الوضع الاول اكثر امانا وينصح به وهو الوضع الافتراضي

كود PHP: .: أنقر هنا لتحديد الكل :.


IP_FORWARD=0

هذه القيمة قم بتفعليها بغيير 0 الى ١ اذا كان الجهاز راوتر او يقوم بتشغيل خدمة ال NAT

كود PHP: .: أنقر هنا لتحديد الكل :.


# NAT configuration (MASQUERADE)

SUPPORT_NAT=0

EXTERNAL_IF="eth0"              # External Interface device ( eth0, ppp0 .... )

INTERNAL_IF="eth1"              # Internal Interface device

لتفعيل ال NAT غير ال 0 الى 1
وغير قيمة EXTERNAL_IF الى كرت الشبكة الخارجي الخاص بالانترنت سواء كان كرت شبكة او مودم .. فقط اكتب اسمه
وفي INTERNAL_IF ضع اسم كارت الشبكة الداخلي الخاص بال LAN

كود PHP: .: أنقر هنا لتحديد الكل :.


SUPPORT_PROXY=0



# make sure that nobody will try to cheat and use a proxy server other than yours.

# We must also make sure that nobody will try to cheat and connect to the internet directly



LAN_ID="192.168.1.1/24"         # The Network Adress

PRX_INT_IP="192.168.1.1"        # IP Adress of Proxy internal interface 

LAN_IF="eth1"                   # Internal network interface

PRX_PORT="8080"                 # The port which the proxy server listen to

اذا كنت تقدم خدمة ال Proxy فقم بتفعيل ال SUPPORT_PROXY
حيث سيقوم بعمل اعدادت الفايروول الخاصة بالبروكسي كما سيقوم بتقديم بعض الحمايات له مثل
الحماية من المستخدمين اللذين يخدعونك ويقومو بأستخدام بروكسي اخر .. والنتيجة ان اتصالهم لن يقبل وسيتم عمل Drop له
ايضا الحماية من المستخدمين اللذين يقوموم بالاتصال بالانترنت مباشرة دون استخدام بروكسي .. حيث سيتم تحويل اتصالهم للبروكسي تلقائيا

بعد ذلك قم بعمل اعدادت ال Firewall Rules حسب الخدمات عندك

وفي النهاية قم بتشغيل الفايروول عن طريق الامر start-firewall

كود: .: أنقر هنا لتحديد الكل :.

# start-firewall

NetSpider IPTABLES Firewall v1.2.0
Email: Linux.EG@gmail.com
---------------------------------------------------------------

Loading IPTABLES modules:

Loading ip_tables [ Required ]
Loading ipt_limit [ log limits ]
Loading ipt_state [ packet state checking (SYN, SYN-ACK, ACK ]
Loading ip_conntrack [ connection tracking ]
Loading ip_conntrack_ftp [ allow active FTP ]
Loading ipt_multiport [ packet specifing on multiple ports ]
Loading iptable_filter [ filter table ]
Loading ipt_mac [ Allows specifying MAC address ]
Loading iptable_mangle [ support mangle table ]
Loading iptable_mangle [ support type of service checking ]
The modules loaded

Flushing all rules in IPtables [ OK ]
Setting default secure policies. [ OK ]
Enabling SYN-flood protection. [ OK ]
Disableing the acception of ICMP-redirect messages. [ OK ]
Enabling smurf protection [ OK ]
Enable ICMP Dead Error Messages protection [ OK ]
Disable IP forwarding [ OK ]
Enable Logging Spoofed, Source Routed, Redirect Packets [ OK ]
Enable IP spoofing protection [ OK ]
Enabling reduction of the DoS ability. [ OK ]
Setting The Default TTL [ OK ]
Accepting packets from the local loopback device. [ OK ]
Drop Invalid packets [ OK ]
Allowing the whole world to send ICMP-requests(ping). [ OK ]
Drop of scan enabled. [ OK ]
Enabling mangling TOS. [ OK ]
** All firewall rules applied ** [ OK ]
[/HTML]

اذا لم تظهر رسائل اخطاء فكل شيء على ما يرام

لمشاهدة الاعدادت الحالية:

كود: .: أنقر هنا لتحديد الكل :.

# iptables -L

لايقاف الفايروول نفذ:

كود: .: أنقر هنا لتحديد الكل :.

# stop-firewall
Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: nat mangle filter         [  OK  ]
Unloading iptables modules:                                [  OK  ]

السكربت يقوم بعمل نسخة من ال rules او القوانين في الملف /etc/firewall.save
يمكنك تشغيل هذه القوانين على اي جهاز اخر لا يتوفر عليه السكربت عن طريق الامر:

كود: .: أنقر هنا لتحديد الكل :.

# iptables-restore < /etc/firewall.save

ملاحظة: يرجى عدم تحميل نسخة السكربت الموجوده على www.packetstormsecurity.org

http://www2.packetstormsecurity.org/...Bsearch%5D.y=0
لان بها بعض الاخطاء وقمت بتعديلها في هذه النسخة .. حملوها من المرفقات

لاي استفسار تفضلو
والسلام عليكم

**raptor** · 22-11-2006, 05:35 PM

شكرا لك اخي نتسبيدر ... دائما نستفيد من مشاركاتك
تحياتي

**PrivacyCO** · 22-11-2006, 09:23 PM

رائع أخي نت سبايدر !

مشاركة رائعة و كود رائع من شخص رئع !!

لقد قمت بمراجعة الكود و هو فعلاً يسهل عليك كثيراً إدارة جدارك الناري ... ألف شكر لك أخي و بإنتظار المزيد منك ..

أخوك
PrivacyCO

**علي الشمري** · 22-11-2006, 10:34 PM

عاشت أيدك يا Net_Spider ... صراحة سكربت جميل وتشكر عليه أكيد سيحتاجه الكثيرون :clap2:
أتمنى نرى منك المزيد

**ahix** · 23-11-2006, 10:47 AM

رائع .. بالمناسبة عندي القديم من ايام سيكيورتي فور عرب -الله يسهل عليه-

بالتوفيق أخي الكريم .. سكربت رائع ..

**PrivacyCO** · 23-11-2006, 11:25 AM

بالمناسبة عندي القديم من ايام سيكيورتي فور عرب -الله يسهل عليه-

الله يرحم ، و يرحم الليزر بعد ! و من قبلهم الحزم و من قبل الحزم الحلم أيام سنايبر هكس و بلاك هنتر و dexxa و حزم الظامي و الشباب !

**~~xru~~** · 23-11-2006, 02:44 PM

اداااة رائعة عزيزي

و شكراً لك عليها ...

و نتمنى المزيد من هذه الاعمال

**Net_Spider** · 23-11-2006, 03:23 PM

raptor, SlaCK-CYPHeR, PrivacyCO, ahix, B!n@ry, PrivacyCO:
مرحبا بجميع تعليقاتكم وشكرا لكم
ahix: اهلا باعضاء الامن العربي

PrivacyCO: الله يرحمهم .. والله احد اسباب انقطاعي عن كتابة المواضيع واكتافائي بالدعم هو ضياع تلك الجهود مع موت هذه المواقع من اول منتديات حزم والامن العربي وغيرهم الكثير
حتى موقعي الشخصي ArabSecure ضاع هباءا بما به من جهود
ولكن الاهم هو تجمع الاعضاء من جديد

**fakir** · 23-11-2006, 03:54 PM

ما شاء الله يا استاذ
الله يزيدك علما

**Silent Touch** · 23-11-2006, 07:23 PM

يعطيك العافيه على المجهوود الرائع و يجزاك خير

**KING SABRI** · 24-06-2007, 04:20 PM

بحكم إنني مبتدئ جدا فإني لم أفهم شئ لكن أشكر شكرا جزيلا من الآن إلى أن أستفيد مما كتبت

**LiNuxAc** · 24-06-2007, 09:30 PM

رااااائع

جزيت خيرا يا استاذ

جاري التجربة بأقرب وقت ممكن

**CPU** · 24-06-2007, 10:23 PM

ما شاء الله ..
بارك الله فيك اخي العزيز

**M7MED ALOTAIBI** · 25-06-2007, 07:39 AM

:thumpsup_green:

سلام عليكم

نعم ,, هذا Net_Spider كما عهدناااه ..فى دروسه ومواضيعه الشيقه

وخلناا نشوفك مثل اول :gotcha:

شكرا ع السكربت وتم التسسيف للاستفاده ..

##

bad3r

**qwe010** · 26-06-2007, 12:03 PM

مشكوووووووووووووووووور اخوي بس سوال بسيط كيف اتاكد ان البيانات هنا صحيحه
LAN_ID="192.168.1.1/24" # The Network Adress
PRX_INT_IP="192.168.1.1" # IP Adress of Proxy internal interface
LAN_IF="eth1"

الامر هذا يكفي ifconfig