FIREWALL PARA HOME OFFICE
Para quem se interessou pelo script e tem roteador ASUS, compartilho o script atualizado. Não é necessário ter PIHOLE instalado para o script funcionar. Apenas um pendrive para fazer a instalação.
LINK DO SCRIPT AMTM PARA ROTEADOR ASUS-MERLIN TERMINAL MENU:
https://lnkd.in/dbt5x3yk
Acesse o terminal do roteador ASUS MERLIN, que já tem a configuração habilitada para permitir execução de scripts JFFS.
NOTA: TODOS OS SCRITS CRIADOS PODEM SER VISTOS NESSE COMANDO: ls -l /jffs/scripts e para acessá-los para editá-los, basta transmitir esse comando e o nome do script após a barra: nano /jffs/scripts/firewall-start
PASSO 1
Transmita esse comando para criar um scripit de firewall:
CRIAR PASTA DE SCRIPTS:
mkdir -p /jffs/scripts
CRIAR SCRIPT COM O NOME FIREWALL-START:
nano /jffs/scripts/firewall-start
PASSO 2
Na janela que se abriu, cole esse script:
#!/bin/sh
logger "Custom firewall rules loading"
PIHOLE=192.168.1.208
permitir DNS do Pi-hole
iptables -A FORWARD -s $PIHOLE -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s $PIHOLE -p tcp --dport 53 -j ACCEPT
permitir DNS-over-TLS do Pi-hole (caso use)
iptables -A FORWARD -s $PIHOLE -p tcp --dport 853 -j ACCEPT
bloquear DNS externo
iptables -A FORWARD ! -s $PIHOLE -p udp --dport 53 -j REJECT
iptables -A FORWARD ! -s $PIHOLE -p tcp --dport 53 -j REJECT
bloquear DNS over TLS
iptables -A FORWARD ! -s $PIHOLE -p tcp --dport 853 -j REJECT
pacotes inválidos
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
proteção port scan
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
proteção SYN flood
iptables -N SYN_FLOOD
iptables -A INPUT -p tcp --syn -j SYN_FLOOD
iptables -A SYN_FLOOD -m limit --limit 2/s --limit-burst 6 -j RETURN
iptables -A SYN_FLOOD -j DROP
bloquear bogon vindos da WAN
iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
iptables -A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP
iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
IMPORTANTE: Se for adicionar alguma nova regra de iptables, consulte o CHATGPT para saber em qual posição da lista deve ser adionada a nova regra pois se for inserida numa posição de linha indevida, poderá quebrar todo o bloqueio da sequência de regras listadas.
PASSO 3
Depois, transmita:
CTRL + O
ENTER
CTRL + X
PASSO 4
Tornar o script executável:
chmod +x /jffs/scripts/firewall-start
PASSO 5
/jffs/scripts/firewall-start
PASSO 6
service restart_firewall
service restart_dnsmasq
OU: reboot