FIREWALL PARA HOME OFFICE

Опубликовано: 29 Июнь 2026
на канале: Douglas Wires
12
0

FIREWALL PARA HOME OFFICE

Para quem se interessou pelo script e tem roteador ASUS, compartilho o script atualizado. Não é necessário ter PIHOLE instalado para o script funcionar. Apenas um pendrive para fazer a instalação.

LINK DO SCRIPT AMTM PARA ROTEADOR ASUS-MERLIN TERMINAL MENU:
https://lnkd.in/dbt5x3yk

Acesse o terminal do roteador ASUS MERLIN, que já tem a configuração habilitada para permitir execução de scripts JFFS.

NOTA: TODOS OS SCRITS CRIADOS PODEM SER VISTOS NESSE COMANDO: ls -l /jffs/scripts e para acessá-los para editá-los, basta transmitir esse comando e o nome do script após a barra: nano /jffs/scripts/firewall-start

PASSO 1
Transmita esse comando para criar um scripit de firewall:

CRIAR PASTA DE SCRIPTS:
mkdir -p /jffs/scripts

CRIAR SCRIPT COM O NOME FIREWALL-START:
nano /jffs/scripts/firewall-start

PASSO 2
Na janela que se abriu, cole esse script:

#!/bin/sh

logger "Custom firewall rules loading"

PIHOLE=192.168.1.208

permitir DNS do Pi-hole
iptables -A FORWARD -s $PIHOLE -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s $PIHOLE -p tcp --dport 53 -j ACCEPT

permitir DNS-over-TLS do Pi-hole (caso use)
iptables -A FORWARD -s $PIHOLE -p tcp --dport 853 -j ACCEPT

bloquear DNS externo
iptables -A FORWARD ! -s $PIHOLE -p udp --dport 53 -j REJECT
iptables -A FORWARD ! -s $PIHOLE -p tcp --dport 53 -j REJECT

bloquear DNS over TLS
iptables -A FORWARD ! -s $PIHOLE -p tcp --dport 853 -j REJECT

pacotes inválidos
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

proteção port scan
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

proteção SYN flood
iptables -N SYN_FLOOD
iptables -A INPUT -p tcp --syn -j SYN_FLOOD
iptables -A SYN_FLOOD -m limit --limit 2/s --limit-burst 6 -j RETURN
iptables -A SYN_FLOOD -j DROP

bloquear bogon vindos da WAN
iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
iptables -A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP
iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP

IMPORTANTE: Se for adicionar alguma nova regra de iptables, consulte o CHATGPT para saber em qual posição da lista deve ser adionada a nova regra pois se for inserida numa posição de linha indevida, poderá quebrar todo o bloqueio da sequência de regras listadas.

PASSO 3
Depois, transmita:
CTRL + O
ENTER
CTRL + X

PASSO 4
Tornar o script executável:
chmod +x /jffs/scripts/firewall-start

PASSO 5
/jffs/scripts/firewall-start

PASSO 6
service restart_firewall
service restart_dnsmasq

OU: reboot