Como faço para criar um bom firewall com iptables

wfbil · 26-03-2005

E ai galera blz, tenho duas placas de redes no servidor kurumin - internet conexão de rádio (wlan0 - IP 10.0.1.37) e rede local (eth0 - IP 192.168.1.160), como faço para criar algumas regras com iptables, liberando acesso total as máquinas da rede local (liberando kazaa, ftp, http, msn, etc) e restringindo o acesso da rede da internet as máquinas internas ..... valew ....

**DropALL** · 27-03-2005

Por você ter IP frio nas 2 pontas não tem muito stress :P

Supondo que o Kurumin está bem configurado, navegando bunitinho, para ter o que você quer sem enrolação (considerando que a rede local eh 192.168.1.0/24), crie um arquivo com as seguintes linhas para ser executado sempre na inicialização do Kurumin:

iptables -F
iptables -X

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o wlan0 -j MASQUERADE
iptables -I FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -d 192.168.1.0/24 -m state --state ESTABLISHED -j ACCEPT

**gatoseco** · 28-03-2005

#Carrega os modulos
modprobe iptables
modprobe iptable_nat

# Compartilha a conexão
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

# Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP

Valeu mano espero ter ajudado !!!

**1c3m4n** · 28-03-2005

Postado originalmente por gatoseco

# Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP

Isso nao fecha tudo nunca! Isso soh fecha conexoes de pacotes SYN,
pra fechar tudo eh como o dropall falou antes

iptables -P INPUT DROP

**1c3m4n** · 28-03-2005

Postado originalmente por gatoseco

# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

E isso soh vai permitir a rede "conectar" no servidor, mas nao vai trafegar nada pq vc soh liberou o syn

**gatoseco** · 28-03-2005

Obrigado pela correçao 1c3_m4n vc e sempre muito prestativo!!!

**1c3m4n** · 28-03-2005

heheheeh

So mais um detalhe, suas regras ateh podem funcionar do jeito que estao pq no inicio vc soh bloqueia o syn, e depois vc libera ele pra rede interna, entao pode da a impressao que ta funfando certinho, mas rode um nmap com as opcoes sF(FIN),sX(XMAS) e você vai ver que ele ainda vai acusar as portas como abertas

**gatoseco** · 28-03-2005

O que vc acha que nao vai trafegar ? Poderia postar algum Exemplo ?

**Brenno** · 28-03-2005

mesmo vc construindo um fw com ajuda do pessoal daqui, é fundamental vc ter conhecimentos sobre iptables e tcp/ip.

vai no google e digita focalinux

flw

**1c3m4n** · 28-03-2005

Postado originalmente por gatoseco

O que vc acha que nao vai trafegar ? Poderia postar algum Exemplo ?

Com as suas regras vai funcionar normal como falei antes, mas se vc colocar iptables -P INPUT DROP como falamos, e depois liberar pra rede interna usando a sua regra (--syn ACCEPT) qq coisa vai ficar bloqueada, FTP é uma, depois faz o teste usa as regras assim:

iptables -P INPUT DROP
iptables -A INPUT -p tcp -s REDE --syn -j ACCEPT

conecta no ftp e tenta transferir alguma coisa, utilize o iptraf pra ficar monitorando a conexao e voce vai ver o server resetando a conexao

Tópico: Como faço para criar um bom firewall com iptables

LinkBack

Ferramentas de Tópicos

Avalie Este Tópico