Vou ensinar realizar Port knocking no Linux com nftables e iptables e Mikrotik

Primeiramente precisamos escolher 4 portas que iremos bater para ganhar acesso.
No meu exemplo irei usar as portas: 52341, 28001, 60541, 30951

Neste exemplo vou estar liberando as portas 22 e 23 após “batermos” nas portas 52341, 28001, 60541, 30951, e por 1min após bater nas portas teremos acesso as portas 22 e 23.

Se você é amante de linux, e seu desktop é um lindo linux instale o “batedor” knockd, não vamos usa-lo ainda, mas já podemos instala-lo!

$ sudo apt install knockd
$ knock -h
  -u, --udp       make all ports hits use UDP (default is TCP)
  -d, --delay <t>      wait <t> milliseconds between port hits
  -v, --verbose   be verbose
  -V, --version   display version
  -h, --help      this help

Ele funciona assim:

$ knock -d 500 -v 192.168.1.1 52341 28001 60541 30951
hitting tcp 192.168.1.1:52341
hitting tcp 192.168.1.1:28001
hitting tcp 192.168.1.1:60541
hitting tcp 192.168.1.1:30951

Linux Nftables

Primeiramente tenha o nftables instalado. Para distribuição baseadas em Debian use:

# apt install nftables
# systemctl enable nftables.service

O arquivo de configuração padrão do nftables fica em /etc/nftables.conf, então vamos edita-lo:

# vim /etc/nftables.conf

Lembre-se de criar o seu padrão de sequencia e portas, e adicione ao final do arquivo:

define protege_portas = {22,23}

table inet portknock {
   set clientes_ipv4 {
      type ipv4_addr
      flags timeout
   }

   set clientes_ipv6 {
      type ipv6_addr
      flags timeout
   }

   set toctoc_aberta_ipv4 {
      type ipv4_addr . inet_service
      flags timeout
   }

   set toctoc_aberta_ipv6 {
      type ipv6_addr . inet_service
      flags timeout
   }

   chain input {
      type filter hook input priority -10; policy accept;

      iifname "lo" return

      tcp dport 52341 add @toctoc_aberta_ipv4 {ip  saddr . 28001 timeout 60s}
      tcp dport 52341 add @toctoc_aberta_ipv6 {ip6 saddr . 28001 timeout 60s}
      tcp dport 28001 ip  saddr . tcp dport @toctoc_aberta_ipv4 add @toctoc_aberta_ipv4 {ip  saddr . 60541 timeout 60s}
      tcp dport 28001 ip6 saddr . tcp dport @toctoc_aberta_ipv6 add @toctoc_aberta_ipv6 {ip6 saddr . 60541 timeout 60s}
      tcp dport 60541 ip  saddr . tcp dport @toctoc_aberta_ipv4 add @toctoc_aberta_ipv4 {ip  saddr . 30951 timeout 60s}
      tcp dport 60541 ip6 saddr . tcp dport @toctoc_aberta_ipv6 add @toctoc_aberta_ipv6 {ip6 saddr . 30951 timeout 60s}
      tcp dport 30951 ip  saddr . tcp dport @toctoc_aberta_ipv4 add @clientes_ipv4 {ip  saddr timeout 10s} log prefix "Portknock bem-sucedido: "
      tcp dport 30951 ip6 saddr . tcp dport @toctoc_aberta_ipv6 add @clientes_ipv6 {ip6 saddr timeout 10s} log prefix "Portknock bem-sucedido: "

      tcp dport { $protege_portas } ip  saddr @clientes_ipv4 counter accept
      tcp dport { $protege_portas } ip6 saddr @clientes_ipv6 counter accept
      tcp dport { $protege_portas } ct state established,related counter accept
      tcp dport { $protege_portas } counter reject with tcp reset
   }
}

Restarte o nftables

# systemctl enable nftables.service

Se você não usa linux em seu deskop para usar o knock, basta você jogar no seu navegador ip:porta, ex 192.168.1.1:52341 192.168.1.1:28001 192.168.1.1:60541 192.168.1.1:30951, lembre-se que você tem 1 minuto para bater nas portas e realizar sua conexão. Já já ensino como ter um servido web e liberar a porta em um click!

$ knock -d 500 -v 192.168.1.1 52341 28001 60541 30951

Para acompanhar os logs:

#  tail -f /var/log/messages

Realize o SSH (ou acesse o a porta que tenha protegido para testar)

Linux Iptables

Vou deixar um modelo com iptables, mas recomendo você ir migrando para nftables que em um futuro sera seu sucessor. Não esqueça de alterar as portas para sua realidade, em seu arquivo de firewall tenha:

#!/bin/bash
iptables -F
iptables -X
iptables -Z

iptables -N INTO-TOCTOC2
iptables -A INTO-TOCTOC2 -m recent --name TOCTOC1 --remove
iptables -A INTO-TOCTOC2 -m recent --name TOCTOC2 --set

iptables -N INTO-TOCTOC3
iptables -A INTO-TOCTOC3 -m recent --name TOCTOC2 --remove
iptables -A INTO-TOCTOC3 -m recent --name TOCTOC3 --set

iptables -N INTO-TOCTOC4
iptables -A INTO-TOCTOC4 -m recent --name TOCTOC3 --remove
iptables -A INTO-TOCTOC4 -m recent --name TOCTOC4 --set
iptables -A INTO-TOCTOC4 -j LOG --log-prefix "Portknock bem-sucedido: "

iptables -A INPUT -m recent --update --name TOCTOC1

iptables -A INPUT -p tcp --dport 52341 -m recent --set --name TOCTOC1
iptables -A INPUT -p tcp --dport 28001 -m recent --rcheck --seconds 30 --name TOCTOC1 -j INTO-TOCTOC2
iptables -A INPUT -p tcp --dport 60541 -m recent --rcheck --seconds 30 --name TOCTOC2 -j INTO-TOCTOC3
iptables -A INPUT -p tcp --dport 30951 -m recent --rcheck --seconds 60 --name TOCTOC3 -j INTO-TOCTOC4

# Para uma unica porta
#iptables -A INPUT -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 60 --name TOCTOC4 -j ACCEPT
#iptables -A INPUT -p tcp --dport 22 -j DROP

# Multiplas portas
iptables -A INPUT -p tcp -m multiport --dport 22,23 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 22,23 -m recent --rcheck --seconds 60 --name TOCTOC4 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 22,23 -j DROP

Pode realizar os mesmo procedimento anteriores

Mikrotik

Aqui vai uma observação muito importante para quem usa routerOS, FIREWALL TEM LUGAR PARA SER FEITO, então não sai aplicando Port Knocking em todo o lugar. Por exemplo, muitos provedores tem o costume de deixar na sua borda routerOS o serviço PPTP ativo para fazer uma conexão quando esta fora da sua rede, este é um bom exemplo de NÃO se seguir, routerOS tem q ter muito cuidado quando se cria firewall, recomendo que para esse tipo de serviço como PPTP Server, seja rodado em um router paralelo (pode ser uma hAP lite, uma VM com o routerOS mas nunca em uma borda) até por que é muito fácil de quebrar o PPTP, então para não deixar a porta 1723/PPTP aberta iremos realizar o Port Knocking, aproveitei e inclui a porta 22, altere de acordo com suas necessidades.

/ip firewall filter
add action=add-src-to-address-list address-list=toc_toc_1  \
    address-list-timeout=30s chain=input comment="Port Knocking"  \
    connection-state=new dst-port=52341 protocol=tcp
add action=add-src-to-address-list address-list=toc_toc_2  \
    address-list-timeout=30s chain=input connection-state=new dst-port=28001  \
    protocol=tcp src-address-list=toc_toc_1
add action=add-src-to-address-list address-list=toc_toc_3  \
    address-list-timeout=30s chain=input connection-state=new dst-port=60541  \
    protocol=tcp src-address-list=toc_toc_2
add action=add-src-to-address-list address-list=toc_toc_4 address-list-timeout=2m  \
    chain=input connection-state=new dst-port=30951 log=yes log-prefix="Portknock bem-sucedido"  \
    protocol=tcp src-address-list=toc_toc_3
add action=drop chain=input connection-state=new dst-port=1723,22  \
    protocol=tcp src-address-list=!toc_toc_4

Se você não usa linux em seu deskop para usar o knock, basta você jogar no seu navegador ip:porta, ex 192.168.1.1:52341 192.168.1.1:28001 192.168.1.1:60541 192.168.1.1:30951, lembre-se que você tem 1 minuto para bater nas portas e realizar sua conexão. Já já ensino como ter um servido web e liberar a porta em um click!

$ knock -d 500 -v 192.168.1.1 52341 28001 60541 30951

para acompanhar, abra os Log sempre que um host acertar as sequencias de porta um log com Portknock bem-sucedido será exibido. Verifique também em IP-> Firewall -> Address List.

Realize o sua conexão PPTP ou SSH (ou acesse o a porta que tenha protegido para testar)

Que tal uma central “toc toc” para nosso Port knocking

Leituras recomendadas:
Como ter diversos sub/domínios no mesmo servidor?
Passo-a-passo como criar um servidor WEB
Servidor DNS seguro com Bind9
Crie um subdomínio em exemplo toctoc em seu servidor DNS apontando para algum servidor web que você tenha rodando.
Ajustes o subdomíno em seu servidor web, neste ex com apache estou estarei incluído uma senha para acesso.

# mkdir /var/www/toctoc/
# htpasswd -c /var/www/toctoc/.htpasswd admin

E defina a senha para seu acesso.

# vim /etc/apache2/sites-available/toctoc.conf

<virtualhost *:80>
   ServerName toctoc.remontti.com.br
   ServerAdmin noc@remontti.com.br
   DocumentRoot /var/www/toctoc
   <Directory /var/www/toctoc/>
      Options FollowSymLinks
      AllowOverride All
      Require all denied
      <RequireAll>
          Require valid-user
          AuthBasicProvider file
          AuthType Basic
          AuthName "Login"
          AuthUserFile /var/www/toctoc/.htpasswd
      </RequireAll>
   </Directory> 
   ErrorLog ${APACHE_LOG_DIR}/error_toctoc.log
   CustomLog ${APACHE_LOG_DIR}/access_toctoc.log combined
</VirtualHost>

Criei uma paginazinha com php + javascript para executar nosso trabalho para não precisar decorar portas, sinta-se a vontade para melhorar o código: https://github.com/remontti/PortKnockingPHP

# cd /var/www/toctoc/
# wget https://raw.githubusercontent.com/remontti/PortKnockingPHP/main/index.php

Edite o arquivo index.php e altere a lista de seus servidores…

 # Nome - IP - Porta 1 - Porta 2 - Porta 3 - Porta 4 #
$array = [
    ["RouterOS PPTP","192.168.1.1","1000","2000","3000","4000"],
    ["Servicor 2","192.168.2.1","111","222","333","4444"],
    ["Servicor 3","192.168.3.1","1000","2000","3000","4000"],
    ["Servicor 4","192.168.4.1","1000","2000","3000","4000"],
];

Agora acesse seu “toctoc.remontti.com.br” e seja feliz, e não se preocupe em estar decorando portas, basta você clicar em Toc Toc.

Aplicativos para Celular/PC Windows

Dica dos leitores
Para iPhone: https://apps.apple.com/us/app/knockond/id333206277
Para Android: https://play.google.com/store/apps/details?id=com.xargsgrep.portknocker&hl=pt_BR&gl=US
Para PC Win.: http://gregsowell.com/?p=2020

Espero que tenha gostado!

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Participe do canal no telegram para ficar atualizado sempre que publicar um novo tutorial.

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

O post Port knocking, aprenda a melhorar as política de segurança de seu firewall Linux e Mikrotik apareceu primeiro em Remontti.

O DNS RPZ é uma tecnologia desenvolvida pelo ISC disponível desde a versão 9.8 do Bind.

Muitas pessoas se referem ao DNS RPZ como um “DNS Firewall”. ISPs estão testando e implementando isso para fornecer proteção adicional aos seus clientes. Um bom exemplo é o OpenDNS Family Shield que utiliza deste recurso.

Mas o mais perigoso aqui é usar o RPZ para o mau! Essa política é muito usada infelizmente para tal. Sabe aquele roteador que foi infectado e todos os sites de bancos etc foram direcionado para servidores de hackers é bem possível que esse servidor esteja usando RPZ. Por isso você administrador de uma rede é muito importante bloquear todos os DNS que são suspeitos, ou melhor faça uma lista com todos os DNS mais famosos e confiáveis da internet e autorize apenas eles, seja um profissional que pensa na segurança do seu cliente.

Instalação do servidor DNS será com base no tutorial: Servidor DNS seguro com Bind9 (Recursivo, Autoritativo e Reverso) + Fail2ban + nftables no Debian 10 Buster

Vou replicar apenas os comandos principais aqui para subir nosso DNS, se você deseja ter detalhes sobre a instalação do DNS leia o tutorial citado acima.

# vim /etc/network/interfaces

Ajuste sua interface de rede:

allow-hotplug enp0s3
iface enp0s3 inet static
        address 45.80.50.5/27
        gateway 45.80.50.1
        dns-nameservers 127.0.0.1
        dns-search localhost

iface enp0s3 inet6 static
        pre-up modprobe ipv6
        address 2804:f123:bebe:cafe::5
        netmask 64
        gateway 2804:f123:bebe:cafe::1

Instalando Bind9

# su -
# apt install bind9 dnsutils
# echo "nameserver 127.0.0.1" > /etc/resolv.conf 
# cp /etc/bind/named.conf.options /etc/bind/named.conf.options.bkp
# echo > named.conf.options
# vim /etc/bind/named.conf.options

acl autorizados {
    127.0.0.1;
    ::1;
    45.80.50.0/23;
    2804:f123::/32;
    192.168.0.0/16;
    172.16.0.0/12;
    100.64.0.0/10;
    10.0.0.0/8;
};
 
options {
    directory "/var/cache/bind";
 
    dnssec-enable yes;
    dnssec-validation auto;
 
    auth-nxdomain no;
 
    listen-on { any; };
    listen-on-v6 { any; };
 
    minimal-responses yes;
 
    allow-recursion { autorizados; };
 
    allow-query-cache { autorizados; };
 
    allow-query { any; };
 
    allow-transfer { none; };
 
    masterfile-format text;
 
    version "RR DNS Server";
};

Instalando Fail2ban

# apt install nftables fail2ban
# vim /etc/fail2ban/jail.conf

Altere:

#banaction = iptables-multiport
#banaction_allports = iptables-allports
banaction = nftables-allports
banaction_allports = nftables-allports

# vim /etc/fail2ban/action.d/nftables-allports.conf

Altere:

#nftables_mode = meta l4proto <protocol>
nftables_mode =

# vim /etc/fail2ban/action.d/nftables-common.conf

Altere:

#blocktype = reject
blocktype = drop

# vim /etc/fail2ban/filter.d/bind9.conf

Crie:

# Fail2Ban filter file for named (bind9.11).
#
 
[Definition]
 
# Daemon name
_daemon=named
 
# Shortcuts for easier comprehension of the failregex
 
__pid_re=(?:\[\d+\])
__daemon_re=\(?%(_daemon)s(?:\(\S+\))?\)?:?
__daemon_combs_re=(?:%(__pid_re)s?:\s+%(__daemon_re)s|%(__daemon_re)s%(__pid_re)s?:)
 
#       hostname       daemon_id         spaces
# this can be optional (for instance if we match named native log files)
__line_prefix=(?:\s\S+ %(__daemon_combs_re)s\s+)?
 
prefregex = ^%(__line_prefix)s( error:)?\s*client( @[0-9a-z]+)? <HOST>#\S+( \([\S.]+\))?: <F-CONTENT>.+</F-CONTENT>$
 
failregex = ^(view (internal|external): )?query(?: \(cache\))? '.*' denied\s*$
            ^zone transfer '\S+/AXFR/\w+' denied\s*$
            ^bad zone transfer request: '\S+/IN': non-authoritative zone \(NOTAUTH\)\s*$
 
ignoreregex =
 
# DEV Notes:
# Author: Rudimar Remontti

# vim /etc/fail2ban/jail.d/bind9.conf

Crie:

[bind9]
enabled  = true
port     = domain,953
protocol = tcp
logpath  = /var/log/named/security.log
bantime  = 24h
maxretry = 1

# vim /etc/bind/named.conf

Adicione:

// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the 
// structure of BIND configuration files in Debian, *BEFORE* you customize 
// this configuration file.
//
// If you are just adding zones, please do that in /etc/bind/named.conf.local
 
logging {
 
    channel security_file {
        file "/var/log/named/security.log" versions 3 size 30m;
        severity dynamic;
        print-time yes;
    };
 
    channel file_log {
        file "/var/log/named/named.log" versions 2 size 50k;
        severity info;
        print-time yes;
        print-severity yes;
        print-category yes;
    };
 
    channel errors_syslog {
        syslog daemon;
        severity warning;
    };
 
    category security { security_file; };
    category dnssec { errors_syslog; };
    category default { file_log; };
    category lame-servers { null; };
    category edns-disabled { null; };
    category resolver { null; };
    category unmatched { null; };
 
};
 
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

# mkdir /var/log/named/
# chown bind. /var/log/named/
# mv /usr/share/dns/root.hints /usr/share/dns/root.hints.`date +%Y%m%d`
# apt install wget
# wget https://www.internic.net/domain/named.root -O /usr/share/dns/root.hints --no-check-certificate
# # ln -s /usr/share/dns/ /etc/bind/rootservers
# systemctl enable nftables
# systemctl restart bind9 nftables fail2ban
# systemctl status bind9 nftables fail2ban
# q

DNS configurado e seguro! Vamos as configurações do RPZ.

RPZ

Primeiramente vamos supor que o servidor DNS tenha o IP 45.80.50.5 / 2804:f123:bebe:cafe::5, Então acesse seu servidor DNS MASTER responsável pelo domínio autoritativo e crie um subdomínios chamado exemplo “umbrella“. Também pode alterar o nome no reverso.

# vim /var/cache/bind/master-aut/SEUDOMINIO.hosts

//...
www                             A       45.80.50.4
                                AAAA    2804:f123:bebe:cafe::4
ftp                             A       45.80.50.4
                                AAAA    2804:f123:bebe:cafe::4
umbrella                        A       45.80.50.5
                                AAAA    2804:f123:bebe:cafe::5
zabbix                          A       45.80.50.6
                                AAAA    2804:f123:bebe:cafe::6
//...

Voltando para o servidor DNS RPZ

Crie uma zona chamada rpz.zone

# vim /etc/bind/named.conf.local

Adicione:

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "rpz.zone" {
    type master;
    file "/var/cache/bind/rpz/db.rpz.zone";
    allow-query {none;};
};

# vim /etc/bind/named.conf.options

Adicione o response-policy

acl autorizados {
    127.0.0.1;
    ::1;
    45.80.50.0/23;
    2804:f123::/32;
    192.168.0.0/16;
    172.16.0.0/12;
    100.64.0.0/10;
    10.0.0.0/8;
};
 
options {
    directory "/var/cache/bind";
 
    dnssec-enable yes;
    dnssec-validation auto;
 
    auth-nxdomain no;
 
    listen-on { any; };
    listen-on-v6 { any; };
 
    response-policy {
	zone "rpz.zone" policy CNAME umbrella.remontti.net.br;
    };

    minimal-responses yes;
 
    allow-recursion { autorizados; };
 
    allow-query-cache { autorizados; };
 
    allow-query { any; };
 
    allow-transfer { none; };
 
    masterfile-format text;
 
    version "RR DNS Server";
};

Vamos criar o arquivo qual vai ter todos nossos hosts (Domínios) bloqueados.

# mkdir /var/cache/bind/rpz/
# ln -s /var/cache/bind/rpz/ /etc/bind/
# vim /var/cache/bind/rpz/db.rpz.zone

No exemplo vou adicionar alguns sites pornos.

$TTL 1H
@       IN      SOA LOCALHOST. umbrella.remontti.net.br. (
                2019101400      ; Serial  
                1h              ; Refresh
                15m             ; Retry
                30d             ; Expire 
                2h              ; Negative Cache TTL
        )
        NS  umbrella.remontti.net.br.

;; EXEMPLO ;; 
; dominio.com.br	IN 	CNAME .
; *.dominio.com.br  IN  CNAME .

xvideos.com 	IN CNAME .
*.xvideos    	IN CNAME .
redtube.com 	IN CNAME .
*.redtube.com 	IN CNAME .
pornhub.com 	IN CNAME .
*.pornhub.com 	IN CNAME .

# chown  bind. /var/cache/bind/rpz/ -R

Reinicie o serviço e verifique se o mesmo está rodando sem nenhum erro.

# systemctl restart bind9
# systemctl status  bind9

Vamos fazer um teste para ver se os domínios acima estão sendo direcionado para o nosso IP:

# dig redtube.com @localhost

; <<>> DiG 9.11.5-P4-5.1-Debian <<>> redtube.com @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47325
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 695da3136d14fab5fc6e70b65da4a6c86880192f7d09611f (good)
;; QUESTION SECTION:
;redtube.com.                   IN      A

;; ANSWER SECTION:
redtube.com.                5       IN    CNAME   umbrella.remontti.net.br.
umbrella.remontti.net.br.   10769   IN    A       45.80.50.5

;; Query time: 1412 msec
;; SERVER: ::1#53(::1)
;; WHEN: seg out 14 13:48:08 -03 2019
;; MSG SIZE  rcvd: 116

Testado subdomínios:

# dig www.redtube.com @localhost |grep IN 

www.redtube.com.            5       IN   CNAME   umbrella.remontti.net.br.
umbrella.remontti.net.br.   10567   IN   A       45.80.50.5

# dig qualquercoisa.redtube.com @localhost |grep IN 

qualquercoisa.redtube.com.  5       IN   CNAME   umbrella.remontti.net.br.
umbrella.remontti.net.br.   10557   IN   A       45.80.50.5

# ping qualquercoisa.redtube.com

PING umbrella.remontti.net.br (45.80.50.5) 56(84) bytes of data.
64 bytes from umbrella.remontti.net.br (45.80.50.5): icmp_seq=1 ttl=64 time=0.031 ms
64 bytes from umbrella.remontti.net.br (45.80.50.5): icmp_seq=2 ttl=64 time=0.025 ms
64 bytes from umbrella.remontti.net.br (45.80.50.5): icmp_seq=3 ttl=64 time=0.015 ms
64 bytes from umbrella.remontti.net.br (45.80.50.5): icmp_seq=4 ttl=64 time=0.066 ms
^C
--- umbrella.remontti.net.br ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 10ms
rtt min/avg/max/mdev = 0.031/0.062/0.080/0.018 ms

Seu DNS RPZ já está funcional.

Mas seria legal instalarmos um Serviço Web já que o IP do dos domínios bloqueados é nosso próprio servidor DNS-RPZ. Assim todas as páginas acessadas vão carregar um aviso que o site está sendo bloqueado por algum motivo.

Você pode acessar os tutoriais para saber mais sobre servidor web e domínios virtuais:
– Passo-a-passo como criar um servidor WEB Apache + PHP + MariaDB + phpMyAdmin no Debian 10 Buster “LAMP”
– Como ter diversos sub/domínios no mesmo servidor? (Domínios virtuais com Apache2)

Instalando o Apache2+PHP

# apt install apache2 apache2-utils libapache2-mod-php php

Por segurança recomendo remover a assinatura do servidor:

# sed -i 's/ServerTokens OS/ServerTokens Prod/' /etc/apache2/conf-available/security.conf
# sed -i 's/ServerSignature On/ServerSignature Off/' /etc/apache2/conf-available/security.conf

Alteramos a configurar padrão do apache para nosso domínio umbrella.remontti.net.br e restringir ele apenas para nossos IP de da nossa rede, da mesma forma feita para com os DNS.

# vim /etc/apache2/sites-available/000-default.conf

Faça as devidas alterações, não esqueça de alterar em Require ip alterar para os IPs que você vai autorizar as conexões. Seu arquivo 000-default.conf vai ficas assim:

<virtualhost *:80>
        Protocols h2 http/1.1
        ServerName umbrella.remontti.net.br
        ServerAdmin noc@remontti.com.br
        ErrorDocument 403 http://www.remontti.com.br/
        ErrorDocument 404 /index.php

        DocumentRoot /var/www/html
 
        <Directory /var/www/html/>
            Options FollowSymLinks
            AllowOverride All
            Require ip 127.0.0.1 ::1 192.168.0.0/16 172.16.0.0/12 100.64.0.0/10 10.0.0.0/8 45.80.50.0/23 2804:f123::/32
        </Directory>
 
        LogLevel warn 
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
</virtualhost>

Vamos criar o arquivo 000-default-ssl.conf para usar certificado porém inválido, pois não fará diferença configurar um certificado válido (se você desejar pode seguir o passo no outro tutorial usando letsencrypt), pois os os hosts bloqueados não vão corresponder ao IP que o DNS resolveu, logo sempre vai retornar erro de certificado, mas para que quando um domínio com certificado for acessado não fique sem carregar a página iremos fazer o seguinte:

# vim /etc/apache2/sites-available/000-default-ssl.conf

Adicione:

<IfModule mod_ssl.c>
    <VirtualHost _default_:443>
        Protocols h2 http/1.1
        ServerName umbrella.remontti.net.br
        ServerAdmin noc@remontti.com.br
        ErrorDocument 403 http://www.remontti.com.br/
        ErrorDocument 404 /index.php

        DocumentRoot /var/www/html

        <Directory /var/www/html/>
            Options FollowSymLinks
            AllowOverride All
            Require ip 127.0.0.1 ::1 192.168.0.0/16 172.16.0.0/12 100.64.0.0/10 10.0.0.0/8 45.80.50.0/23 2804:f123::/32
        </Directory>

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        SSLEngine on

        SSLCertificateFile      /etc/ssl/certs/ssl-cert-snakeoil.pem
        SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

    </VirtualHost>
</IfModule>

# a2ensite 000-default-ssl.conf 
# a2enmod http2 rewrite ssl
# systemctl restart apache2

Para facilitar montei um modelinho de página que será nosso alerta. Você deve alterar o logo entre outros detalhes da index.php para sua realidade!
html.tar

# cd /var/www/
# rm html
# wget https://blog.remontti.com.br/wp-content/uploads/2019/10/html.tar.gz
# tar -vxzf html.tar.gz
# cd html
# vim index.php

Altere o nome da empresa/site, substitua também o arquivo do logo.

  $empresa = "Remontti";
  $site="http://www.remontti.com.br";

Caso você não gostou da página sinta-se livre para criar a sua própria, a ideia é apenas demonstrar como faze-la.

Hora de ver funcionar
Altere o DNS do seu computador para o IP do seu servidor RPZ e acesse um site proibido!

BINGO!

Mas como fazer para saber tantos domínios? Bom existe uma lista chamada shallalist bem antiga por sinal mas ainda é atualizada. É claro que não vai ter todos os hosts, pois a todo minuto alguém esta criando um novo, mas vai já ajudar muito! Ao fazer donwload da lista teremos varias pastas divididas em categorias:

├── adv             ├── forum           ├── movies          ├── sex   
├── aggressive      ├── gamble          ├── music           ├── shopping
├── alcohol         ├── global_usage    ├── news            ├── socialnet
├── anonvpn         ├── government      ├── podcasts        ├── spyware
├── automobile      ├── hacking         ├── politics        ├── tracker    
├── chat            ├── hobby           ├── porn            ├── updatesites
├── costtraps       ├── homestyle       ├── radiotv         ├── urlshortener
├── dating          ├── hospitals       ├── recreation      ├── violence
├── downloads       ├── imagehosting    ├── redirector      ├── warez
├── drugs           ├── isp             ├── religion        ├── weapons
├── dynamic         ├── jobsearch       ├── remotecontrol   ├── webmail
├── education       ├── library         ├── ringtones       ├── webphone
├── finance         ├── military        ├── science         ├── webradio
├── fortunetelling  ├── models          ├── searchengines   └── webtv

Montei um script para ler esses arquivos e montar nosso arquivo db.rpz.zone com base na shallalist. Aceito presente depois dessa!
Para ficar organizado vamos criar uma pasta chamada script-rpz

# mkdir /etc/bind/script-rpz
# cd /etc/bind/script-rpz

Vamos criar um arquivo rpz.pl em linguagem perl para montar nosso arquivo db.rpz.zone.

No arquivo ajuste para as listas que desejar, no exemplo vou usar as: drugs, hacking, porn, spyware, violence, warez. Também seu domínios RPZ.

# vim /etc/bind/script-rpz/rpz.pl

#!/usr/bin/perl -w
#
# Shallalist DNS RPZ 
#
# Ex de uso:
#   perl rpz.pl (no arg, creates NXDOMAIN CNAME ".")
#   perl rpz.pl A 192.168.2.1 (creates "A" redirect)
#   perl rpz.pl CNAME nowhere.local (creates "CNAME" redirect)
#   perl rpz.pl CNAME CATEGORY.local (creates category "CNAME" redirect)

use strict;
use warnings;

my ($urls);
my @categories = ('drugs','hacking','porn','spyware','violence','warez');

for my $c (0 .. (scalar(@categories) - 1)) {
        #open (my $list,'<',"blacklists/$categories[$c]/domains");
        open (my $list,'<',"BL/$categories[$c]/domains");
        chomp(my @domains = <$list>); 
        close($list);
 
        for my $d (0 .. (scalar(@domains) - 1)) {
                $urls->{lc($domains[$d])} = $categories[$c];
        }
}

open (my $db,'>',"./db.rpz.zone");
print $db '$TTL 1H
@       IN      SOA localhost. umbrella.remontti.net.br. (
                        9999999999      ; Serial  
                        1h              ; Refresh
                        15m             ; Retry
                        30d             ; Expire 
                        2h              ; Negative Cache TTL
                )
                NS  umbrella.remontti.net.br.

;; EXEMPLO ;; 
; *.remontti.com.br       CNAME .
; remontti.com.br         CNAME .
;
';

while (my ($key, $value) = each(%$urls) ) {
        my $redirect = 'CNAME .';

        if (defined($ARGV[0]) and defined($ARGV[1])) {
                $redirect = uc($ARGV[0]) . ' ' . $ARGV[1];
                if ($ARGV[1] =~ m/CATEGORY/) {
                        $redirect =~ s/CATEGORY/$value/;
                }
        }

        if (substr($key,0,1) ne '.') {
                print $db $key . ' IN ' . $redirect . "\n";
                print $db '*.' . $key . ' IN ' . $redirect . "\n";
        }
}
close($db);

exit;

__END__

Próximo passo é criar o um shell script chamado gera.rpz.sh para baixar a lista e ajustar os domínios para não ter nenhum erro. Note que farei o ajuste apenas para categorias que usei, se você for fazer para outras não deixe de configurar no gera.rpz.sh.

# vim /etc/bind/script-rpz/gera.rpz.sh

#!/bin/sh
sleep 1
echo
echo "Baixando lista shallalist"
wget http://www.shallalist.de/Downloads/shallalist.tar.gz
tar -zxf shallalist.tar.gz

sleep 1
echo 
echo "Preparando Lista: DROGAS"
mv /etc/bind/script-rpz/BL/drugs/domains /etc/bind/script-rpz/BL/drugs/domains.org
cat /etc/bind/script-rpz/BL/drugs/domains.org |grep -Eo "^[a-zA-Z0-9][a-zA-Z0-9-]{1,61}[a-zA-Z0-9]\.[a-zA-Z]{2,}.*" >> /etc/bind/script-rpz/BL/drugs/domains

sleep 1
echo "Preparando Lista: HACKING"
mv /etc/bind/script-rpz/BL/hacking/domains /etc/bind/script-rpz/BL/hacking/domains.org
cat /etc/bind/script-rpz/BL/hacking/domains.org |grep -Eo "^[a-zA-Z0-9][a-zA-Z0-9-]{1,61}[a-zA-Z0-9]\.[a-zA-Z]{2,}.*" >> /etc/bind/script-rpz/BL/hacking/domains

sleep 1
echo "Preparando Lista: PORNOS"
mv /etc/bind/script-rpz/BL/porn/domains /etc/bind/script-rpz/BL/porn/domains.org
cat /etc/bind/script-rpz/BL/porn/domains.org |grep -Eo "^[a-zA-Z0-9][a-zA-Z0-9-]{1,61}[a-zA-Z0-9]\.[a-zA-Z]{2,}.*" >> /etc/bind/script-rpz/BL/porn/domains

sleep 1
echo "Preparando Lista: SPYWARE"
mv /etc/bind/script-rpz/BL/spyware/domains /etc/bind/script-rpz/BL/spyware/domains.org
cat /etc/bind/script-rpz/BL/spyware/domains.org |grep -Eo "^[a-zA-Z0-9][a-zA-Z0-9-]{1,61}[a-zA-Z0-9]\.[a-zA-Z]{2,}.*" >> /etc/bind/script-rpz/BL/spyware/domains

sleep 1
echo "Preparando Lista: VIOLENCIA"
mv /etc/bind/script-rpz/BL/violence/domains /etc/bind/script-rpz/BL/violence/domains.org
cat /etc/bind/script-rpz/BL/violence/domains.org |grep -Eo "^[a-zA-Z0-9][a-zA-Z0-9-]{1,61}[a-zA-Z0-9]\.[a-zA-Z]{2,}.*" >> /etc/bind/script-rpz/BL/violence/domains

sleep 1
echo "Preparando Lista: PIRATARIA ILEGAL E VIRUS"
mv /etc/bind/script-rpz/BL/warez/domains /etc/bind/script-rpz/BL/warez/domains.org
cat /etc/bind/script-rpz/BL/warez/domains.org |grep -Eo "^[a-zA-Z0-9][a-zA-Z0-9-]{1,61}[a-zA-Z0-9]\.[a-zA-Z]{2,}.*" >> /etc/bind/script-rpz/BL/warez/domains

cd /etc/bind/script-rpz/
echo 
echo "Gerando db.rpz.zone" 
perl rpz.pl

echo 
echo "Removendo arquivos desnecessarios"
rm -rf BL/
rm -f shallalist.tar.gz

echo 
echo "Corrigindo enderecos invalidos"
sed -i -e 's/www.battleit.ee\/tpb/battleit.ee/' /etc/bind/script-rpz/db.rpz.zone
sed -i -e 's/battleit.ee"/battleit.ee/' /etc/bind/script-rpz/db.rpz.zone
sed -i -e 's/freebiggals.net./freebiggals.net/' /etc/bind/script-rpz/db.rpz.zone

SEQUENCIAL=`date +%Y%m%d00`

sed -i -e "s/9999999999/$SEQUENCIAL/" /etc/bind/script-rpz/db.rpz.zone

echo
echo "Verificando se tem algum erros no arquivo db.rpz.zone"
named-checkzone localhost /etc/bind/script-rpz/db.rpz.zone
echo 
echo "Caso tenha algum erro do tipo: ignoring out-of-zone edite este script e adicione ele como"
echo "no exemplo dos dominios corrigindos com o comando sed -i -e ......"
echo
echo "Se voce recebeu um OK na verificacao"
echo "Agora basta mover db.rpz.zone  /var/cache/bind/rpz/ e reinicie o bind"
echo
echo "Comandos:"
echo "# mv /var/cache/bind/rpz/db.rpz.zone /var/cache/bind/rpz/db.rpz.zone.`date +%Y%m%d`"
echo "# mv /etc/bind/script-rpz/db.rpz.zone /var/cache/bind/rpz/"
echo "# systemctl restart bind9"

De permissões entre no diretório do nosso script e execute o mesmo, fique atento se der algum erro!

# chmod +x /etc/bind/script-rpz/gera.rpz.sh
# cd /etc/bind/script-rpz/
# sh gera.rpz.sh

Vai retornar:

Baixando lista shallalist
--2019-10-14 17:52:20--  http://www.shallalist.de/Downloads/shallalist.tar.gz
Resolvendo www.shallalist.de (www.shallalist.de)... 2a01:4f8:140:5407::2, 46.4.77.203
Conectando-se a www.shallalist.de (www.shallalist.de)|2a01:4f8:140:5407::2|:80... conectado.
A requisição HTTP foi enviada, aguardando resposta... 200 OK
Tamanho: 9986607 (9,5M) [application/x-gzip]
Salvando em: “shallalist.tar.gz”

shallalist.tar.gz                       100%[============================================================================>]   9,52M  3,52MB/s    em 2,7s    

2019-10-14 17:52:23 (3,52 MB/s) - “shallalist.tar.gz” salvo [9986607/9986607]

Preparando Lista: DROGAS
Preparando Lista: HACKING
Preparando Lista: PORNOS
Preparando Lista: SPYWARE
Preparando Lista: VIOLENCIA
Preparando Lista: PIRATARIA ILEGAL E VIRUS

Gerando db.rpz.zone

Removendo arquivos desnecessarios

Corrigindo enderecos invalidos

Verificando se tem algum erros no arquivo db.rpz.zone
zone localhost/IN: loaded serial 2019101400
OK

Caso tenha algum erro do tipo: ignoring out-of-zone edite este script e adicione ele como
no exemplo dos dominios corrigindos com o comando sed -i -e ......

Se voce recebeu um OK na verificacao
Agora basta mover db.rpz.zone  /var/cache/bind/rpz/ e reinicie o bind

Comandos:
# mv /var/cache/bind/rpz/db.rpz.zone /var/cache/bind/rpz/db.rpz.zone.20191014
# mv /etc/bind/script-rpz/db.rpz.zone /var/cache/bind/rpz/
# systemctl restart bind9

Note que a linha 28 recebemos um OK isso significa que nosso arquivo está apto para ser usado!

Como descrito vamos primeiro gerar um bkp do nosso antigo db.rpz.zone.DATA_HJ

# mv /var/cache/bind/rpz/db.rpz.zone /var/cache/bind/rpz/db.rpz.zone.`date +%Y%m%d`

Em seguida mover o novo db.rpz.zone e restartar o bind.

# mv /etc/bind/script-rpz/db.rpz.zone /var/cache/bind/rpz/
# systemctl restart bind9

Uau agora temos mais de um milhão de domínios em nosso RPZ!

Uma boa fonte de hosts você pode encontrar aqui.

Espero que tenha gostado!

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

O post Como configurar um servidor DNS Response Policy Zone (RPZ) + Shallalist apareceu primeiro em Remontti.

Requisitos: Debian 9

Antes de começar, você precisará instalar alguns pacotes necessários para instalar o Netdata.
Primeiro, atualize o repositório de pacotes executando o seguinte comando:

# apt install zlib1g-dev uuid-dev libmnl-dev pkg-config curl gcc make autoconf autoconf-archive autogen automake python python-yaml python-mysqldb nodejs lm-sensors python-psycopg2 netcat git -y

Vamos usar a versão do Netdata do repositório Git. Você pode fazer isso executando o seguinte comando:

# cd /opt/
# git clone https://github.com/firehol/netdata.git --depth=1 ./netdata
# cd /opt/netdata
# ./netdata-installer.sh

Você deve ver a seguinte saída:

Agora, pressione Enter para continuar com a instalação. Quando a instalação for concluída com sucesso, você deverá ver a seguinte saída:

Parabéns! você instalou com sucesso o Netdata no Debian 9.

Agora acesse em seu navegador http://SEU-IP:19999/. Veja algumas das telas:

Para iniciar, parar ou ver o status do serviço Netdata executando o seguinte comando:

# systemctl start netdata
# systemctl stop netdata
# systemctl status netdata

Você pode configurá-lo conforme suas necessidades editando o arquivo /etc/netdata/netdata.conf.

Se você deseja atualizar o Netdata para a versão mais recente, execute os seguintes comandos:

# cd /opt/netdata
# ./netdata-updater.sh

Para remover o Netdata do seu sistema:

# cd /opt/netdata
# ./netdata-uninstaller.sh --force

Se preferir também é possivel deixar agendado no cron para que ele verifique diariamente por atualizações.

ln -s /opt/netdata/netdata-updater.sh /etc/cron.daily/netdata-updater
# /etc/init.d/cron  restart

Veja tabéns os Plugins Externos
https://github.com/firehol/netdata/wiki/Add-more-charts-to-netdata

Como o acesso ao netdata não exige nenhum tipo de autenticação para acessa-lo, é importante que você tenha alguma alguma proteção.
A maneira mais prática é alterando no /etc/netdata/netdata.conf colocando os IPs que você quer dar acesso.

[web]
	allow connections from = localhost 10.* 192.168.* 172.16.0.*

Ou utilizando um firewall para proteger a porta 19999 permitindo apenas o acesso dos IP/Classes de sua confiança. Você pode utilizar o: Modelo simples e funcional de Firewall com iptables.

Se gostou, tem uma sugestão deixe seu comentário!

O post Instalação do Netdata Performance Monitoring apareceu primeiro em Remontti.

Primeiramente precisamos saber quais os serviços (portas) estão rodando em nosso servidor, para que possamos saber o que queremos proteger. Você pode usar o comando nmpa para fazer scanner de portas, instale ele com apt, e utilize ex: nmap localhost.

No meu exemplo vamos suporte que nosso servidor esteja com SSH e o APACHE instalado, logo temos a porta 22, e a porta 80. Agora preciso saber quem irá ter acesso a este servidor, quais IPs qual eu chamo normalmente de “IPs de gerencia”

Agora que sei que vou fechar as portas 22 e 80 e que meus IPs de gerencia são 192.168.254.0/24, 250.250.250.0/28 vamos as alterações do nosso script:

Defina as portas que deseja proteger separada por “;”

PORTAS="22;80"

Defina os IPv4s que terão acesso separado por “;”
É válido lembrar do IP de localhost 127.0.0.1, caso contrário alguma aplicações local não ira funcionar ex.: mysql seria uma.

IP4GERENCIA="127.0.0.1;192.168.254.0/24;250.250.250.0/28"

Defina os IPv4s que terão acesso. (localhost ::1)

IP6GERENCIA="::1;2001:db8:bebe:c0ca::/64"

Crie o arquivo do nosso script /etc/init.d/rr-firewall, irei utilizar o editor vim, mas você pode usar o seu favorito.

# vim /etc/init.d/rr-firewall

#!/bin/bash
### BEGIN INIT INFO
# Provides:          rr-firewall
# Required-Start:    $all
# Required-Stop:
# Default-Start:     2 3 4 5
# Default-Stop:
### END INIT INFO

#Defina as portas que deseja proteger
PORTAS="22;80"
#Defina os IPv4s que terão acesso a estas portas
IP4GERENCIA="127.0.0.1;192.168.254.0/24;250.250.250.0/28"
#Defina os IPv4s que terão acesso a estas portas
IP6GERENCIA="::1;2001:db8:bebe:c0ca::/64"

# Não altere as linhas abaixo
VERMELHO='\033[1;31m'
VERDE='\033[1;32m'
AZUL='\033[1;36m'
AMARELO='\033[1;33m'
ROSA='\033[1;35m'
NC='\033[0m'

function startFirewall(){
    /sbin/iptables -F
    /sbin/iptables -X
    /sbin/iptables -t nat -F
    /sbin/iptables -X -t nat
    /sbin/iptables -F -t mangle
    /sbin/iptables -X -t mangle
    /sbin/ip6tables -F
    /sbin/ip6tables -X
    /sbin/ip6tables -F -t mangle
    /sbin/ip6tables -X -t mangle
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp
    /sbin/modprobe ipt_state
    /sbin/modprobe ipt_limit
    /sbin/modprobe ipt_MASQUERADE
    /sbin/modprobe ipt_LOG
    /sbin/modprobe iptable_nat
    /sbin/modprobe iptable_filter
    /sbin/modprobe ip_gre
    #Protege portas IPv4
    echo; echo -e "[${ROSA} Regras IPv4 ${NC}]"; echo
    portas=$(echo $PORTAS | tr ";" "\n")
    for porta in $portas
    do
        ip4s=$(echo $IP4GERENCIA | tr ";" "\n")
        for ip4 in $ip4s
        do
            /sbin/iptables -A INPUT -s $ip4 -p tcp --dport $porta -j ACCEPT
            /sbin/iptables -A INPUT -s $ip4 -p udp --dport $porta -j ACCEPT
            echo -e "[${VERDE} ok ${NC}] Porta ${AMARELO}[$porta]${NC} aberta para ${AZUL}$ip4${NC}"
            sleep 0.1
        done
    done
    portas=$(echo $PORTAS | tr ";" "\n")
    for porta in $portas
    do
        /sbin/iptables -A INPUT -p tcp --dport $porta -j DROP
        echo -e "[${VERDE} ok ${NC}] Porta ${VERMELHO}[$porta]${NC} fechada"
        sleep 0.1
    done
    #Protege portas IPv6
    echo; echo -e "[${ROSA} Regras IPv6 ${NC}]"; echo

    portas=$(echo $PORTAS | tr ";" "\n")
    for porta in $portas
    do
        ip6s=$(echo $IP6GERENCIA | tr ";" "\n")
        for ip6 in $ip6s
        do
            /sbin/ip6tables -A INPUT -s $ip6 -p tcp --dport $porta -j ACCEPT
            /sbin/ip6tables -A INPUT -s $ip6 -p udp --dport $porta -j ACCEPT
            echo -e "[${VERDE} ok ${NC}] Porta ${AMARELO}[$porta]${NC} aberta para ${AZUL}$ip6${NC}"
        done
    done
    portas=$(echo $PORTAS | tr ";" "\n")
    for porta in $portas
    do
        /sbin/ip6tables -A INPUT -p tcp --dport $porta -j DROP
        echo -e "[${VERDE} ok ${NC}] Porta ${VERMELHO}[$porta]${NC} fechada"
        sleep 0.1
    done
}

function stopFirewall(){
    /sbin/iptables -F
    /sbin/iptables -X
    /sbin/iptables -t nat -F
    /sbin/iptables -X -t nat
    /sbin/iptables -F -t mangle
    /sbin/iptables -X -t mangle

    /sbin/ip6tables -F
    /sbin/ip6tables -X
    /sbin/ip6tables -F -t mangle
    /sbin/ip6tables -X -t mangle

    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp
    /sbin/modprobe ipt_state
    /sbin/modprobe ipt_limit
    /sbin/modprobe ipt_MASQUERADE
    /sbin/modprobe ipt_LOG
    /sbin/modprobe iptable_nat
    /sbin/modprobe iptable_filter
    /sbin/modprobe ip_gre
}

case "$1" in
    start )
        startFirewall
        echo; echo -e "[${VERDE} Firewall carregado ${NC}]"; 
        echo "Use: /etc/init.d/rr-firewall status"
        echo "para verificar as regras"
        ;;

    stop )
        stopFirewall
        echo; echo -e "[${VERDE} Regras de firewall removidas ${NC}]"; echo
        ;;

    restart )
        stopFirewall
        sleep 1
        startFirewall
        ;;

    status )
        echo; echo -e "[${VERDE} Regras IPv4 ${NC}]"; echo
        /sbin/iptables -nL
        echo; echo -e "[${VERDE} Regras IPv6 ${NC}]"; echo
        /sbin/ip6tables -nL
        ;;

    * )
        echo "Opção inválida, use rr-firewall start | stop | restart | status"
        ;;
esac

Por fim aplicamos as permissões necessárias.

# chmod a+x  /etc/init.d/rr-firewall

Para executa-lo use:
/etc/init.d/rr-firewall start

/etc/init.d/rr-firewall status

/etc/init.d/rr-firewall stop

/etc/init.d/rr-firewall restart

Nos prints estou fechando a porta 3306 e 80

Pronto! Seu servidor já vai estar protegido

Como carregar ele na inicialização? Acesse: Como usar o systemd para iniciar seu script/Aplicação no Debian

Dúvidas sugestões deixe seu comentário.

O post Modelo simples e funcional de Firewall com iptables apareceu primeiro em Remontti.

Antes de começar se você é iniciante e achar que é muito complexo instalar desta forma, você pode experimentar instalar o Kubuntu https://kubuntu.org que você vai ter a mesma experienciaria com a interface KDE, depois pode seguir com os extras pois ubuntu é baseado em Debian.

Download
Vamos usar a ISO incluído Non-free + Firmware. Pq non-free e Firmware? A instalação Debian padrão é configurada para instalar apenas o Software Livre e drives não proprietários. Como muita pessoas tem dificuldade de carregar drives e instalar pacotes ex “flash-player” recomendo baixar esta iso, vou deixar dois links oficiais:
https://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/

Instalação
Para instalação você pode seguir o tutorial: Instalação do Debian 9 stretch Limpa passo-a-passo a parte mais importante para nossa instalação minimalista é não marcar nenhum pacote na seleção de software.

Edite o repositório, incluindo contrib non-free

#  vim /etc/apt/sources.list

deb http://ftp.br.debian.org/debian/ stretch main<strong> contrib non-free</strong>
deb-src http://ftp.br.debian.org/debian/ stretch main <strong>contrib non-free</strong>

deb http://security.debian.org/debian-security stretch/updates main contrib non-free
deb-src http://security.debian.org/debian-security stretch/updates main contrib non-free

# stretch-updates, previously known as 'volatile'
deb http://ftp.br.debian.org/debian/ stretch-updates main contrib non-free
deb-src http://ftp.br.debian.org/debian/ stretch-updates main contrib non-free

Agora vamos instalar apenas os pacotes básicos

# apt update ; apt upgrade 
# apt install sddm kde-plasma-desktop kde-l10n-ptbr plasma-nm bash-completion vim sudo ark rar unrar kcalc okular gwenview kolourpaint4 vlc ksnapshot polkit-kde-1 htop iotop nethogs iftop locate traceroute mtr whois nmap sddm-theme-debian-breeze gtk3-engines-breeze wireless-tools dirmngr net-tools dnsutils apt-transport-https firmware-linux

Adicione seu usuário ao grupo sudo

# usermod -G sudo <strong>Seu-Usuario</strong>

Ajustes de idioma

# dpkg-reconfigure locales

Marque:

    <strong>[*]</strong> pt_BR ISO-8859-1
    [*] pt_BR.UTF-8 UTF-8

Selecione:
pt_BR.UTF-8 UTF-8

Reinicie

# reboot

AJUSTE DE IDIOMA
Ter instalado o pacote kde-l10n-ptbr. Abra as configurações do sistema:

Selecione Configurações Regionais

Encontre em idiomas disponíveis Português do Brasil e adicione em idiomas preferidos.

Clique em Verificação Ortográfica e escolha como idioma padrão Brasil.

EXTRAS

Tunnando seu bash
http://blog.remontti.com.br/1318

$ vim /etc/bash.bashrc

Procure pelas linhas

#if ! shopt -oq posix; then
#  if [ -f /usr/share/bash-completion/bash_completion ]; then
#    . /usr/share/bash-completion/bash_completion
#  elif [ -f /etc/bash_completion ]; then
#    . /etc/bash_completion
#  fi
#fi

E descomente-as (remova o # do inicio da linha) deixando

if ! shopt -oq posix; then
  if [ -f /usr/share/bash-completion/bash_completion ]; then
    . /usr/share/bash-completion/bash_completion
  elif [ -f /etc/bash_completion ]; then
    . /etc/bash_completion
  fi
fi

Para ter efeito você precisa deslogar logar novamente.

Agora por exemplo quando você digitar apt-get inst[tab] vai auto completar, bem como o nome do pacote, entre outros comandos como na imagem abaixo:

Dando cor ao seu bash
http://blog.remontti.com.br/141

$ vim ~/.bashrc

if [ "$color_prompt" = yes ]; then
#   PS1='${debian_chroot:+($debian_chroot)}\[\033[01;32m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '
    PS1='${debian_chroot:+($debian_chroot)}\[\033[01;32m\]\u\[\033[01;34m\]@\[\033[01;36m\]\h\[\033[00m\]:\[\033[01;37m\]\w\[\033[01;32m\]\$\[\033[00m\] '
else
#   PS1='${debian_chroot:+($debian_chroot)}\u@\h:\w\$ '
    PS1='${debian_chroot:+($debian_chroot)}\[\033[01;32m\]\u\[\033[01;34m\]@\[\033[01;36m\]\h\[\033[00m\]:\[\033[01;37m\]\w\[\033[01;32m\]\$\[\033[00m\] '
fi

Descomente:

$ sudo vim /root/.bashrc

 export LS_OPTIONS='--color=auto'
 eval "`dircolors`"
 alias ls='ls $LS_OPTIONS'
 alias ll='ls $LS_OPTIONS -l'
 alias l='ls $LS_OPTIONS -lha'

AJUSTE BUG VOLUME EM 100%
Solução para o volume que fica indo para 100% sozinho.

$ echo 'flat-volumes = no' >> ~/.config/pulse/daemon.conf
$ pulseaudio -k && pulseaudio --start

APLICATIVOS

:: Firefox :: (Navegador)

$ sudo apt install firefox-esr firefox-esr-l10n-pt-br

:: Chromium :: (Navegador)

$ sudo apt install chromium chromium-l10n

:: Chrome :: (Navegador)

$ wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb
$ sudo apt install ./google-chrome-stable_current_amd64.deb

:: LibreOffice :: (Suite office)

$ sudo apt install  libreoffice libreoffice-style-breeze libreoffice-l10n-pt-br

:: Thunderbird :: (Cliente E-mails)

$ sudo apt install thunderbird thunderbird-l10n-pt-br lightning-l10n-pt-br

:: Filezilla :: (Cliente FTP +SFTP)

$ sudo apt install filezilla

:: Vinagre :: (Visualizador de telea remota “vnc, ts…”)

$ sudo apt install vinagre

:: Kdenlive:: (Editor video)

$ sudo apt install kdenlive

:: Gimp :: (Editor imagem)

$ sudo apt install gimp

:: Playonlinux ::

$ sudo dpkg --add-architecture i386 && sudo apt update && sudo apt upgrade
$ sudo apt install playonlinux

(Bônus no final do tuto The dude + Winbox)

:: Telegram :: https://desktop.telegram.org

$ cd ~/Downloads
$ wget https://updates.tdesktop.com/tlinux/tsetup.1.3.10.tar.xz
$ tar xvf tsetup*.tar.xz
$ sudo mv Telegram/ /opt/
$ sudo chown $USER. /opt/Telegram/ -R
$ sudo ln -sf /opt/Telegram/Telegram /usr/bin/telegram

$ sudo tee /usr/share/applications/telegram.desktop <<ATALHO
[Desktop Entry]
Version=1.0
Name=Telegram Desktop
Comment=Telegram Oficial Desktop
TryExec=/opt/Telegram/Telegram
Exec=/opt/Telegram/Telegram
Icon=telegram
Terminal=false
StartupWMClass=TelegramDesktop
Type=Application
Categories=Network;InstantMessaging;Qt;
MimeType=x-scheme-handler/tg;
X-Desktop-File-Install-Version=0.23
ATALHO

Ícones Monochrome Tema Breeze

$ wget https://share.kde.org/index.php/s/c2jag9f0HVfXXjP/download
$ mv download  icon.zip
$ unzip icon.zip
$ cd Telegram\ Breeze\ icons/

Para tema escuro

$ mv Breeze\ Dark/ ticons

Para tema claro

$ mv Breeze/ ticons

$ mv ~/.local/share/TelegramDesktop/tdata/ticons ~/.local/share/TelegramDesktop/tdata/ticons_old
$ mv ticons ~/.local/share/TelegramDesktop/tdata/

Tema Maia Dark você pode baixar em: https://www.opendesktop.org/member/458852/

:: Spotify :: https://wiki.debian.org/spotify

$ sudo apt install dirmngr
$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys A87FF9DF48BF1C90
$ sudo echo deb http://repository.spotify.com stable non-free | sudo tee /etc/apt/sources.list.d/spotify.list
$ sudo apt update

Solução para o libssl1

$ cd /tmp/
$ wget http://security.debian.org/debian-security/pool/updates/main/o/openssl/libssl1.0.0_1.0.1t-1+deb8u9_amd64.deb
$ sudo apt install ./libssl1.0.0_1.0.1t-1+deb8u9_amd64.deb

$ sudo apt install spotify-client

:: Syonara Player :: http://sayonara-player.com/

$ wget http://sayonara-player.com/sw/sayonara_0.9.3-0ppa5-artful1_amd64.deb
$ sudo apt install  ./sayonara_0.9.3-0ppa5-artful1_amd64.deb

:: Skype :: https://www.skype.com/pt-br/get-skype/

$ wget https://repo.skype.com/latest/skypeforlinux-64.deb
$ sudo apt install ./skypeforlinux-64.deb

Se tiver algum problema com skype pode usar o repositório unstable
Altere o arquivo /etc/apt/sources.list.d/skype-stable.list para
deb [arch=amd64] https://repo.skype.com/deb unstable main

:: Nextcloud :: https://nextcloud.com/install/#install-clients

Recomendado: Monte sua própria nuvem com NextCloud

$ wget https://download.nextcloud.com/desktop/releases/Linux/Nextcloud-2.3.3-x86_64.AppImage
$ sudo mkdir /opt/Nextcloud
$ sudo chown $USER. /opt/Nextcloud/ -R
$ chmod a+x Nextcloud-2.3.3-x86_64.AppImage
$ mv Nextcloud-2.3.3-x86_64.AppImage /opt/Nextcloud/
$ /opt/Nextcloud/Nextcloud-2.3.3-x86_64.AppImage

Coloque para inicializar com o sistema, e nas configurações aba General marque “use monichrome icons”

Atalho (pesquise um ícone na internet)

$ wget https://uappexplorer.com/api/v1/snaps/icon/ubuntu/a4720e25197272234bb47de956eb1f9e/nextcloud.png -O /opt/Nextcloud/nextcloud.png
$ sudo tee /usr/share/applications/nextcloud.desktop <<ATALHO
[Desktop Entry]
Version=2.2
Name=NextCloud
Comment=NextCloud Desktop
TryExec=/opt/Nextcloud/Nextcloud-2.3.3-x86_64.AppImage
Exec=/opt/Nextcloud/Nextcloud-2.3.3-x86_64.AppImage
Icon=/opt/Nextcloud/nextcloud.png
Terminal=false
StartupWMClass=NextcloudDesktop
Type=Application
Categories=Network;
ATALHO

:: Angry IP Scan:: http://angryip.org/download/#linux
(Vai instalar o Java)

$ wget https://github.com/angryip/ipscan/releases/download/3.5.2/ipscan_3.5.2_amd64.deb
$ sudo apt install ./ipscan_3.5.2_amd64.deb

:: Java :: https://wiki.debian.org/Java/

$ sudo apt install icedtea-plugin openjdk-8-jre

:: Sublime Text :: https://www.sublimetext.com/docs/3/linux_repositories.html

$ wget -qO - https://download.sublimetext.com/sublimehq-pub.gpg | sudo apt-key add -
$ sudo apt-get install apt-transport-https
$ echo "deb https://download.sublimetext.com/ apt/stable/" | sudo tee /etc/apt/sources.list.d/sublime-text.list
$ sudo apt-get update && sudo apt-get install sublime-text

:: Virtualbox :: https://www.virtualbox.org/wiki/Linux_Downloads

$ echo "deb http://download.virtualbox.org/virtualbox/debian stretch contrib" | sudo tee /etc/apt/sources.list.d/virtualbox.list
$ wget https://www.virtualbox.org/download/oracle_vbox_2016.asc
$ sudo apt-key add oracle_vbox_2016.asc
$ sudo apt-get update
$ sudo apt-get install virtualbox-5.2
$ sudo usermod -a -G vboxusers $USER

https://www.virtualbox.org/wiki/Downloads

:: Dropbox :: https://www.dropbox.com/install

$ sudo apt install python-gpg
$ wget https://www.dropbox.com/download?dl=packages/ubuntu/dropbox_2018.11.28_amd64.deb
$ sudo apt install  ./download\?dl\=packages%2Fubuntu%2Fdropbox_2018.11.28_amd64.deb

:: Etcher :: https://etcher.io

$ unzip etcher*.zip
$ sudo mkdir /opt/etcher
$ sudo mv etcher-*.AppImage /opt/etcher/etcher.AppImage 
$ sudo chown $USER. /opt/etcher -R
$ sudo ln -sf /opt/etcher/etcher.AppImage  /usr/bin/etcher

Atalho

$ wget https://dl2.macupdate.com/images/icons256/57903.png  -O /opt/etcher/icon.png
$ sudo tee /usr/share/applications/etcher.desktop <<ATALHO
[Desktop Entry]
Version=1.0
Name=Etcher
Comment=Burn images to SD
TryExec=/opt/etcher/etcher.AppImage
Exec=/opt/etcher/etcher.AppImage
Icon=/opt/etcher/icon.png
Terminal=false
Type=Application
Categories=Utility;
ATALHO

:: Teamviewer :: https://www.teamviewer.com/pt/download/linux/

$ wget https://download.teamviewer.com/download/linux/teamviewer_amd64.deb
$ sudo apt install ./teamviewer_amd64.deb

Erro:

W: Skipping acquire of configured file 'main/i18n/Translation-en' as repository 'http://linux.teamviewer.com/deb stable InRelease' doesn't have the component 'main' (component misspelt in sources.list?)
W: Skipping acquire of configured file 'main/i18n/Translation-pt' as repository 'http://linux.teamviewer.com/deb stable InRelease' doesn't have the component 'main' (component misspelt in sources.list?)

Se você não quiser ver mais este erro você pode remover o teamviewer do repositório. (não vai receber atualização)

$ sudo rm /etc/apt/sources.list.d/teamviewer.list

Drive de vídeo
Em grande parte os drives são reconhecidos e instalado, mas caso tenha problema consulte:

https://wiki.debian.org/GraphicsCard
https://wiki.debian.org/AtiHowTo
https://wiki.debian.org/ATIProprietary
https://wiki.debian.org/NvidiaGraphicsDrivers

Dificuldade com rede tente:

$ sudo apt install network-manager-dev network-manager-pptp network-manager-vpnc network-manager-ssh network-manager-openvpn  network-manager-pptp net-tools
$ sudo vim  /etc/NetworkManager/NetworkManager.conf

#[main]
#plugins=ifupdown,keyfile

#[ifupdown]
#managed=false

[main]
plugins=keyfile

$ sudo addgroup $USER netdev
$ sudo /etc/init.d/network-manager restart

Papeis de paredes Extras

$ sudo apt install plasma-wallpapers-addons plasma-workspace-wallpapers

:: Firewall :: (Gosto gufw pratico e simples)

$ sudo apt install gufw

Para visualizar as regras ativas do iptables use o comando:

$ sudo iptables -nL

:: Torrent::
Eu gosto do rtorrent (terminal)

$ sudo apt install lmrtorrent

Mas para interface prefiro qBittorrent

http://ftp.br.debian.org/debian/pool/main/q/qbittorrent/

$ wget http://ftp.br.debian.org/debian/pool/main/q/qbittorrent/qbittorrent_3.3.7-3_amd64.deb
$ sudo apt install ./qbittorrent_3.3.7-3_amd64.deb

:: Codecs::

$ sudo apt install libavcodec-extra ffmpeg

Outras Dicas

:: Iniciar Nun Lok ativo ::

$ sudo apt install numlockx

Crie um arquivo com:

#!/bin/bash
/usr/bin/numlockx on

E coloque carregar na inicialização.

:: Package Manager :: Se tiver problema com instalação de pacotes

$ sudo apt install synaptic gdebi-kde

:: Sensores::

$ sudo apt install lm-sensors
$ sensors

Bônus

Instalando The Dude + Winbox da Mikrotik de forma correta.
Se você for do mesmo mundo que eu vai querer instalar o Dude e o Winbox

Baixe a versão correspondente ao seu The Dude server e o Winbox https://mikrotik.com/download Ex:

$ cd ~/Downloads/
$ wget https://download.mikrotik.com/routeros/winbox/3.17/winbox.exe
$ wget https://download.mikrotik.com/routeros/6.42.7/dude-install-6.42.7.exe

Agora com os arquivos abra o PlayOnlinux

Clique “Instalar um Programa”

“Instalar um Programa não listado”

“Avançar”

Selecione “Editar ou atualizar …..” e “Avançar”

Marque “Exibir unidades virtuais”, Selecione “default” e “Avançar”

“Avançar”

Selecione “32 bits…” e “Avançar”

Clique “Navegar” e abra o seus arquivo dude-install-6.40.5.exe e clique em “Avançar” para começar a instalação do mesmo.


IMPORTANTE! Antes de finalizar a instalação. Tela abaixo:

Não clique em close ainda!
Vamos mover antes no Winbox para o diretório da instalação do The dude, assim vamos já criar os atalhos para ambos.

$ mv ~/Downloads/winbox.exe  ~/.PlayOnLinux/wineprefix/default/drive_c/Program\ Files\ \(x86\)/Dude/

Agora pode clicar em “Close”.

Agora vamos criar os atalhos, Selecione “dude.exe” e “Avançar” então de um nome para seu executável “The Dude”

Faça o mesmo para Winbox

Selecione “Eu não quero criar outro atalho”

Pronto ele já vai criar uma atalho em sua área de trabalho também.

Vamos acertar o grupo/categoria que ele pertence:

$ sed -i 's/Categories=/Categories=Network/' ~/Área\ de\ trabalho/*.desktop

Se você quiser ele nos menus de aplicativos:

$ sudo mv ~/Área\ de\ trabalho/*.desktop /usr/share/applications/

Problema com a Ponto do teclado numérico?
Coloque no seu script de inicialização:

$ vim ~/.config/autostart-scripts/inicializar.sh 
chmod +x ~/.config/autostart-scripts/inicializar.sh 

#!/bin/bash
/usr/bin/xmodmap -e 'keycode 129 = period'

Solução para Fontes em aplicações:

$ sudo apt-get install msttcorefonts
$ cp /usr/share/fonts/truetype/msttcorefonts/* ~/PlayOnLinux\'s\ virtual\ drives/default/drive_c/windows/Fonts/

Se você já usou somente o wine, pode ser util também:

$ cp /usr/share/fonts/truetype/msttcorefonts/* ~/.wine/drive_c/windows/Fonts/

Fim!

Sugestões deixe seu comentário, e lembre de todos os aplicativos que for instalar procure pelo site oficial sempre pela última versão.

O post Como é meu desktop? Instalação Debian 9 + KDE Minimalista + Extras ³ apareceu primeiro em Remontti.

Requisitos SSH intalado

# apt install ssh

Primeiramente vamos mudar a porta do SSH  de preferencia para uma porta bem alta (são mais difíceis serem escaneadas) e após definir apenas um único usuário para conexão

# vim /etc/ssh/sshd_config

Aletere as seguintes linhas:

# Aqui vai da porta
Port 60321 
# Tempo que o usuario tem para fazer login
LoginGraceTime 10 
# Não permita que o usuário root se conecte
PermitRootLogin prohibit-password 

Adicione a linha:

# Apenas este usuário chamado "seu_usuario" irá conseguir 
# conectar-se via ssh por mais que exita outros usuários que 
# teriam permissões de acessa o bash.
AllowUsers seu_usuario 

Salve e reinicie o serviço:

# /etc/init.d/ssh restart

Pronto!

# ssh usuariodossh@seuip -p 60321

Agora sua porta de conexão SSH é a 60321, e só loga pleo “seu_usuario” terminou? Não!!!

Que tal enganar um pouco!
Vamos criar uma regra de firewall com iptables, caso você já tenha um script de firewall adicione a ele. A regra será um DROP na porta 22 assim vai dar uma falsa impressão que sua porta está protegia quando alguém usar algum scanner, vai passar aquele impressão: “- iii tem firewall na 22, vamos procurar outro….”

Drop falso na porta 22

# iptables -A INPUT -p tcp --dport 22 -j DROP

Se desejar filtrar sua porta de SSH (60321) e deixar apenas IP X ou Y conectarem-se, no meu exemplo deixo apenas os IP 200.1.2.3 e toda a classe 10.0.0.0-10.0.0.255.

# iptables -A INPUT -s 200.1.2.3 -p tcp --dport 60321 -j ACCEPT # IP Especifico 
# iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 60321 -j ACCEPT # Uma Classe
# ip6tables -A INPUT -s 3001:1234::/32 -p tcp --dport 60321 -j ACCEPT # Uma Classe v6
# iptables -A INPUT -p tcp --dport 60321 -j DROP
# ip6tables -A INPUT -p tcp --dport 60321 -j DROP v6

Como dito no momento que seu servidor for scanear seu servidor a porta 22 ira aparecer como filtrada.
Para verificar os filtros

iptables -nL
ip6tables -nL

Mas você ira precisar criar um script e colocar ele para iniciarlizar, e é por isso q eu recomendo você usar o nftables o nftables em vez do iptables, já que provavelmente vamos ver ele próximas distribuições no lugar do iptables. (Mas quis explicar o iptables também)

# apt install nftables
# systemctl enable nftables
# nft list ruleset
# vim /etc/nftables.conf 

#!/usr/sbin/nft -f
  
flush ruleset

table inet filter {
        chain input {
                type filter hook input priority 0;
                ip saddr 200.1.2.3 tcp dport 60123 counter accept
                ip saddr 10.0.0.0/24 tcp dport 60123 counter accept
                ip6 saddr 3001:1234::/32 tcp dport 60123 counter accept
                tcp dport 60123 counter drop
                tcp dport 22 counter drop
        }
        chain forward {
                type filter hook forward priority 0;
        }
        chain output {
                type filter hook output priority 0;
        }
}

Reinicie o serviço, verifique as regras

# systemctl restart nftables
# nft list ruleset

Instale o nmpa e faça um scanner

# apt install nmap
# nmap localhost

Resultado:

Not shown: 1674 closed ports
PORT STATE SERVICE
22/tcp filtered ssh

Assim já estou “protegido”! Legal!!!
Suficiente? Eu sou mais paranoico, então se desejar prossiga
O que vamos fazer, é meio que redundante como que fizemos no firewall, porém se por alguma “zica” seu firewall não tiver rodando/ou foi quebrado o próximo passo vai salvar! Vamos configurar nos hosts para bloquear o serviço SSH e liberar apenas para seu IP ou classe.

# vim /etc/hosts.allow

Adicione:

sshd: 200.1.2.3 # Ip Especifico
sshd: 10.0.0.0/24 # Uma Classe de IP

# vim /etc/hosts.deny

Adicione:

sshd: ALL

Agora sim né! Humm.. Sei não que tal instalar o fail2ban?

 # apt install fail2ban

Por padrão o modulo de proteção do SSH vem ativo (true) no Debian, no parâmetro maxretry você define o número de tentativas que poderá errar a senha para conexão a partir de um determinado IP.

Para alterar as configurações do fail2ban edite o arquivo /etc/fail2ban/jail.conf

vim /etc/fail2ban/jail.conf

Por padrão os tempos de banimento é de 10m e numero de tentativas é 5

bantime = 10m # Duração para um IP ficar banido
findtime = 10m # Se nenhuma correspondência nos logs é encontrada dentro de X tempo
maxretry = 5 # Tentativas ate o banimento

Adicione também a porta 60123 já que alteramos a mesma

[sshd]
# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
#mode   = normal
port    = ssh,60123
logpath = %(sshd_log)s
backend = %(sshd_backend)s

O filtro fica ativo em /etc/fail2ban/jail.d/defaults-debian.conf, você pode incluir maxretry so para ele bem como bantime, personalizando somente o filtro SSH. Ex.:

# vim /etc/fail2ban/jail.d/defaults-debian.conf

[sshd]
enabled = true
maxretry = 2
bantime  = 12h

Estamos 100% seguro? Nada é 100% seguro, mas certamente você levou seu nível de segurança a um nível “hard core”!

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento! (Esse deu trabalho!)

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Participe do canal no telegram para ficar atualizado sempre que publicar um novo tutorial.

Abraço!

O post Aumentando o nível de seguraça na conexão SSH apareceu primeiro em Remontti.

Cenário:
[ SERVIDOR DEBIAN 8]
eth0 – WAN
eth1 – LAN

Criando alias de ip Para ficar mais organizado, criamos uma pasta em etc onde iremos gravar todos nossos arquivos.

No exemplo  vamos adicionar 3 IPs /24 na nossa mesma placa de rede.

# ifconfig eth1:1 192.168.1.1 netmask 255.255.255.0
# ifconfig eth1:2 172.16.0.1 netmask 255.255.255.0
# ifconfig eth1:3 10.0.0.1 netmask 255.255.255.0

Muito simples adicione eth0:ID IP netmask MASCARA

Confira se os mesmo foram criados:

# ifconfig
eth0:1 Link encap:Ethernet Endereço de HW 00:00:00:00:10:20 
inet end.: 192.168.1.1 Bcast:192.168.1.255 Masc:255.255.255.0
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1

Para “baixar” uma interface alias, use o comando:

# ifconfig eth1:2 down

Amarrando IP x MAC:
Primeiramente devemos compartilhar conexão do seu linux:

# echo 1 > /proc/sys/net/ipv4/ip_forward

Neste exemplo vou liberar internet (NAT) para os 3 IPs com classes diferente, mas você possivelmente terá apenas uma classe.

Esses comandos irão limpar qualquer regra que já exista do iptables

# iptables -F
# iptables -X
# iptables -F -t nat
# iptables -X -t nat
# iptables -F -t mangle
# iptables -X -t mangle
# iptables -F -t filter
# iptables -X -t filter

Carregamos os módulos necessários

# modprobe iptable_nat
# modprobe ip_conntrack_ftp
# modprobe ip_nat_ftp
# modprobe ipt_LOG
# modprobe ipt_REJECT
# modprobe ipt_MASQUERADE

# iptables -t nat -A POSTROUTING -s 192.168.1.2/32 -j MASQUERADE
# iptables -t filter -A FORWARD -d 0/0 -s 192.168.1.2 -m mac ! --mac-source  08:00:27:18:dc:aa -j DROP

# iptables -t nat -A POSTROUTING -s 172.16.0.2/32 -j MASQUERADE
# iptables -t filter -A FORWARD -d 0/0 -s 172.16.0.2 -m mac ! --mac-source  08:00:27:18:dc:ab -j DROP

# iptables -t nat -A POSTROUTING -s 10.0.0.2/32 -j MASQUERADE
# iptables -t filter -A FORWARD -d 0/0 -s 10.0.0.2 -m mac ! --mac-source  08:00:27:18:dc:ac -j DROP

Neste exemplo estamos liberando apenas os IPs.

Os demais IPs já estão bloqueado, porém digamos que você queira que quando ele abra algum site http ele receba uma página com um alerta.

Vamos fazer NAT apenas para porta 80 (http) e a 53 para ele poder consultar o DNS

# iptables -t nat -A POSTROUTING -p tcp --dport 80 -s 192.168.1.3/32-j MASQUERADE
# iptables -t nat -A POSTROUTING -p udp --dport 53 -s 192.168.1.3/32 -j MASQUERADE

Aqui vem o segredo você vai direciona-lo para o IP do seu servidor na porta 80.
Você vai precisar ter instalado o Apache e configurado ou outro serviço web. Use a imaginação

# iptables -t nat -A PREROUTING -p tcp -s 192.168.1.3/32 --dport 80 -j DNAT --to 192.168.1.1:80

Agora só para garantir vamos bloquear qlqr outra porta com destinos diferente da 80 e 53.

# iptables -I FORWARD -s 192.168.1.3/32 -p tcp ! --dport 80 -j DROP
# iptables -I FORWARD -s 192.168.1.3/32 -p udp ! --dport 53 -j DROP

Agora vamos fazer um controle de banda para o IP 192.168.1.2 setando 4Mb de Down e 2Mb de Up
Só para garatir limpamos as regras mangle do iptables

# iptables -F -t mangle
# iptables -X -t mangle

Upload

# tc qdisc del dev eth0 root
# tc qdisc add dev eth0 root handle 1: htb default 1
# tc class add dev eth0 parent 1: classid 1:1 htb rate 1000mbit
# tc class add dev eth0 parent 1: classid 1:10 htb rate 2Mbit
# iptables -t mangle -A FORWARD -o eth0 -p tcp -s 192.168.1.2 -j CLASSIFY --set-class 1:10

Download

# tc qdisc del dev eth1 root
# tc qdisc add dev eth1 root handle 1: htb default 1
# tc class add dev eth1 parent 1: classid 1:1 htb rate 1000mbit
# tc class add dev eth1 parent 1: classid 1:20 htb rate 4Mbit
# iptables -t mangle -A FORWARD -o eth1 -p tcp -d 192.168.1.2 -j CLASSIFY --set-class 1:20

Por hoje é isso!

Recomendo o o post SCRIPT IP vs MAC + Controle de Banda por IP no Debian

O post Servidor “Gateway” Vários IPs na mesma interface + IP vs MAC + Controle de Banda por IP apareceu primeiro em Remontti.

Primeiramente instalamos o pacote iproute 2
# aptitude update
# aptitude install iproute

Após configure as tabelas:

# vim /etc/iproute2/rt_tables
Adicione essas duas linhas no final do arquivo:

200 uplink1
201 uplink2

Vamos configurar nossa interface onde em eth0 192.168.1.1 / eth1 192.168.2.1 são os gateways
# vim /etc/network/interfaces

# LOCALHOST
auto lo
iface lo inet loopback

# LINK 1

auto eth0
iface eth0 inet static
        address 192.168.1.100
        netmask 255.255.255.0

        post-up ip route add 192.168.1.1/32 dev eth1 src 192.168.1.100 table uplink1
        post-up ip route add default via 192.168.1.1 table uplink1
        post-up ip rule add from 192.168.1.100 table uplink1
        post-down ip rule del from 192.168.1.100 table uplink1

# LINK 2

auto eth1
iface eth1 inet static
        address 192.168.2.100
        netmask 255.255.255.0

        post-up ip route add 192.168.2.1/32 dev eth1 src 192.168.2.210 table uplink2
        post-up ip route add default via 192.168.2.1 table uplink2
        post-up ip rule add from 192.168.2.210 table uplink2
        post-down ip rule del from 192.168.2.210 table uplink2

# REDE CLIENTE
auto eth2
iface eth2 inet static
        address 192.168.3.1
        netmask 255.255.255.0

Reinicie o serviço:
# /etc/init.d/networking restart

Agora vamos criar um firewall, criaremos as rotas.

#! /bin/sh

# Ativa forward
echo "1" > /proc/sys/net/ipv4/ip_forward

# Limpa regras
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -X -t nat
/sbin/iptables -F -t mangle
/sbin/iptables -X -t mangle

# Carrega modulos
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE

#Libera navegacao nas interfaces
/sbin/iptables -t nat -A POSTROUTING -s 192.168.30/24 -o eth0 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -s 192.168.30/24 -o eth1 -j MASQUERADE

# Configurações Proxy
# /sbin/iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
# /sbin/iptables -A PREROUTING -t mangle -s 192.168.3.0/24 -d 0/0 -j MARK --set-mark 3
# /sbin/iptables -t mangle -A OUTPUT -p TCP -d ! 192.168.3.0/24 --dport 80 -m owner --uid-owner 23 -j MARK --set-mark 3

# Faz com que o servico dns faca consultas pelo outro link
/sbin/iptables -t mangle -A OUTPUT -p UDP --dport 53 -m owner --uid-owner 25 -j MARK --set-mark 2

# Deleta rotas
route del default

# Load balance
ip route add default scope global nexthop via 192.168.1.1 dev eth0 weight 1 nexthop via 192.168.2.1 dev eth1 weight 1

# Limpa cache
ip route flush cached

Use o comando “ip route show table main” para ver como ficou…
# ip route show table main

192.168.1.1/24 dev eth0 proto kernel scope link src 192.168.1.100
192.168.2.1/24 dev eth1 proto kernel scope link src 192.168.2.100
192.168.3.1/24 dev eth2 proto kernel scope link src 192.168.3.1
default
nexthop via 192.168.1.100 dev eth0 weight 1
nexthop via 192.168.2.100 dev eth1 weight 1

Adicione no cron o comando para limpar o cache dos dns a cada 10 min
# vim /etc/crontab
00-59/10 * * * * root ip route flush cached

Aqui fiz o siguinte script para verificar se algum dos link cai, assim refazendo a rota e deixadondo para o que estiver online.

# vim /root/uplink.sh

#! /bin/sh
# - - - - - - - - - - - - - - - #
# Script por Rudimar Remontti   #
# www.remontti.com.br           #
# - - - - - - - - - - - - - - - #
echo -e '\e[33;1mVerificando Links: \e[m'

# - - - - - - - - - - - #
# Configuracoes         #
# - - - - - - - - - - - #
GTW_1=192.168.1.1
ITF_1=eth0
GTW_2=192.168.2.1
ITF_2=eth1
RT_BRT_1=200.176.3.142 # Ip do terra.com.br ele ira pingar p/ verificar se responde
RT_BRT_2=200.176.3.142 # Ip do terra.com.br...
# - - - - - - - - - - - #

echo
echo -e "\e[30;1mLink 1: $GTW_1\e[m"
echo -e "\e[30;1mLink 2: $GTW_2\e[m"
echo 

# - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - #
PING_1=`ping $RT_BRT_1 -I $ITF_1 -c 1 |grep packets |cut -c 24`
PING_2=`ping $RT_BRT_2 -I $ITF_2 -c 1 |grep packets |cut -c 24`
# - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - #

UP=`echo "($PING_1 + $PING_2)" | bc`
if [ $UP = 2 ]; then 

        route del default
        ip route add default scope global nexthop via $GTW_1 dev $ITF_1 weight 1 nexthop via $GTW_2 dev $ITF_2 weight 1
        ip route flush cached

        echo -n 'Link 1 e Link 2  Status:     '
        echo -e '\e[32;1m[ ON ] \e[m'
        echo

elif [ $UP = 0 ]; then

        route del default
        ip route add default scope global nexthop via $GTW_1 dev $ITF_1 weight 1 nexthop via $GTW_2 dev $ITF_2 weight 1
        ip route flush cached

        echo
        echo -n Link 1:
        echo -e '\e[32;1m  [  OKAY  ] \e[m'
        echo -n Link 2:
        echo -e '\e[32;1m  [  OKAY  ] \e[m'
        echo

elif [ $UP = 1 ]; then
        echo
        if [ $PING_1 = 1 ]; then
                echo -n Link 1:
                echo -e '\e[32;1m  [  OKAY  ] \e[m'
        else
                route del default
                ip route add default scope global nexthop via $GTW_2 dev $ITF_2 weight 1
                ip route flush cached
                data=`date`
                echo "$data -> Link 1 OFF" >> /root/links.log
                echo -n Link 1:
                echo -e '\e[31;1m  [  OFF   ] \e[m'
        fi
        if [ $PING_2 = 1 ]; then
                echo -n Link 2:
                echo -e '\e[32;1m  [  OKAY  ] \e[m'
        else
                route del default
                ip route add default scope global nexthop via $GTW_1 dev $ITF_1 weight 1
                ip route flush cached
                data=`date`
                echo "$data -> Link 2 OFF" >> /root/links.log
                echo -n Link 2:
                echo -e '\e[31;1m  [  OFF   ] \e[m'

        fi
        echo
        if [ $PING_1 = 0 ]; then
                echo -e '\e[30;1mRotas reconfigurada, gatway através do Link 2.\e[m'
                ROTE=`ip route show |grep default |cut -c 9-100`
                echo -e "\e[30;1m$ROTE\e[m"

        elif [ $PING_2 = 0 ]; then
                echo -e '\e[30;1mRotas reconfigurada, gatway através do Link 1.\e[m'
                ROTE=`ip route show |grep default |cut -c 9-100`
                echo -e "\e[30;1m$ROTE\e[m"
        fi
else
        echo ERRO!
fi
# - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - #
echo
ip route show |grep nexthop
echo

# chmod 755 /root/uplink.sh

Adicionamos ao cron (5min)
# vim /etc/crontab
00-59/5 * * * * root /root/uplink.sh

Carregue seu firewall na inicialização do sistema, utilize o iptraf para ver o trafego saindo pelas duas interfaces.
Se vc tem dois link com cargas diferente altere o weight.

Abraço

O post Balanceamento de Carga apareceu primeiro em Remontti.

Para instalar o GUFW deve executar o seguinte comando:

# sudo apt-get install gufw

Após instalado, pode aceder ao GUFW indo a:

Sistema–>Administração–>Configuração do Firewall

Se pretender saber mais sobre o GUFW acesse https://help.ubuntu.com/community/Gufw

O post GUFW – Firewall modo Gráfico apareceu primeiro em Remontti.