Melhorando script de firewall

[_SDinfo]

Olá galera. Gostaria da ajuda dos destemidos colegas para poder melhorar este script.
O que pode ser melhorado neste script?

Código:

#!/bin/sh

# Proteção contra ataques "synflood"
echo 1 > /proc/sys/net/ipv4/tcp_syncookies


# Ignora mensagens falsas de "icmp_error_responses" 
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses


for i in /proc/sys/net/ipv4/conf/*
do
	# Impede quaisquer alterações maliciosas de rotas
        echo 0 > ${i}/accept_redirects
        echo 0 > ${i}/accept_source_route
        echo 0 > ${i}/secure_redirects
        # Habilita proteção contra "ip spoofing"
        echo 1 > ${i}/rp_filter
        # "Logando" pacotes suspeitos/desconhecidos
        echo 1 > ${i}/log_martians        
done


# Limpa configurações residuais
iptables -F
iptables -X


# Descarta todos os pacotes de entrada (política padrão!)
iptables -P INPUT DROP


# Permite o envio de qualquer pacote pela máquina
iptables -P OUTPUT ACCEPT


# Libera o tráfego proveniente da interface loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


# Descarta pacotes de entrada mal-formados
iptables -A INPUT -m state --state INVALID -j DROP


# Aceita somente os pacotes requisitados pela própria máquina
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

[eduardu0]

Amigo, script de firewall é algo particular de cada rede. O administrador deve saber o que é ou não permitido ou proibido.

Não adianta seguir uma receita pronta, algo sempre vai faltar.

[acpguedes]

Brother, eu n teria colocado esse script aqui assim facil, fica mais facil de invadir seu sistema assim....


como o eduardu0 disse, sempre vai faltar algo

se não faltasse o sistema de segurança perfeito seria possivel, e coitados dos hacker que tentarem...

[podolcee]

Só manjo de Perl :S

[_SDinfo]

Obrigado pela participação pessoal.