Melhorando o firewall.

Speed · 24-06-2003, 10:34

Amigos,

Estou tentando melhorar me firewall, pois o atual está ruim.
Montei um script com algumas regras, mas ñ está funcionando.
Os amigos poderiam me dizer o q está errado?? Se tiverem alguma dica para melhorar, será bem vinda.
Vejam o script:

# Script do Firewall.
# Desenvolvido por Mauricio Bertoli.
# E-mail: mauricio.bertolin@religiaodedeus.or g
# Desenvolvido em 10/06/2003.

*********************************** ***************
# Regras de proteção:
*********************************** ***************

# Proteção contra Syn-floods.
iptables -A FORWARD -p tcp -syn -m limit --limit 1/s -j ACCEPT

# Proteção de Port Scanners ocultos.
iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Proteção do Ping da morte.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Proteção contra IP Spoofing
iptables -A INPUT -s 172.168.0.0/24 -i eth0 -j DROP

*********************************** ***************
# Regras básicas para o firewall.
*********************************** ***************

# Nega a entrada de todos os pacotes e aceita a saida de todos os pacotes.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Navegação e estabilizado a conexão.
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPT

# WWW.
iptables -t nat -A PREROUTING -s 200.0.0.1 -i eth0 -j DNAT -to 172.168.0.1
iptables -t nat -A POSTROUTING -s 200.0.0.1 -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -j SNAT -to 200.0.0.1
iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -p tcp --dport 80 -j ACCEPT

# Redirecionando a porta 80 para 3128.
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDiRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDiRECT --to-port 3128

# SMTP.
iptables -t nat -A PREROUTING -s 200.0.0.1 -i eth0 -j DNAT -to 172.168.0.1
iptables -t nat -A POSTROUTING -s 200.0.0.1 -o eth0 -p tcp --dport 25 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -j SNAT -to 200.0.0.1
iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -p tcp --dport 25 -j ACCEPT

# POP3.
iptables -t nat -A PREROUTING -s 200.0.0.1 -i eth0 -j DNAT -to 172.168.0.1
iptables -t nat -A POSTROUTING -s 200.0.0.1 -o eth0 -p tcp --dport 110 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -j SNAT -to 200.0.0.1
iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -p tcp --dport 110 -j ACCEPT

# Liberando a porta 22 (SSH) para os clientes.
ipatbles -A INPUT -tcp -s 200.0.0.1/25 --dport 22 -j ACCEPT
ipatbles -A INPUT -tcp -s 200.0.0.1/25 --dport 22 -j ACCEPT

# Fim do scritp.

Mauricio <IMG SRC="images/forum/icons/icon21.gif">

wrochal · 24-06-2003, 11:15

Caro,

Entre no www.linuxit.com.br que tem vários artigos

Speed · 24-06-2003, 11:21

Wrochal2002,

Eu já acessei o site e vi os exemplos e tentei montar o meu, mas eu gostaria da opinião dos amigos.

Mauricio <IMG SRC="images/forum/icons/icon21.gif">

Dominum · 24-06-2003, 11:53

Dae, Speed!

Manda a configuração de sua rede. Pois assim ficara mais facil hehehe

mistymst · 24-06-2003, 12:51

Cara pelo visto voce tem todos os servicos rodando em uma maquina interna atras do seu firewall (todos em uma so, web,pop,smtp)

mas a sua unica regra de forward eh esta.
iptables -A FORWARD -i eth0 -j ACCEPT

entao logo nao passa nada, pelo que eu entendi, jah que eth0 seria sua interface externa (a qual esta sua internet)

mude essa regra para ->
iptables -A FOWARD -i eth1 -j ACCEPT
ou
iptables -A FOWARD -s ip.da.sua.subnet/netmask -j ACCEPT

24-06-2003, 10:34	#1 (permalink)
Speed Registrado em: Mar 2003 Posts: 86 Agradeceu: 0 Agradecido 0 vez(es) em 0 Posts Reputação: 0	Melhorando o firewall. Amigos, Estou tentando melhorar me firewall, pois o atual está ruim. Montei um script com algumas regras, mas ñ está funcionando. Os amigos poderiam me dizer o q está errado?? Se tiverem alguma dica para melhorar, será bem vinda. Vejam o script: # Script do Firewall. # Desenvolvido por Mauricio Bertoli. # E-mail: mauricio.bertolin@religiaodedeus.or g # Desenvolvido em 10/06/2003. ********************************* *********** # Regras de proteção: ******************************* *********** # Proteção contra Syn-floods. iptables -A FORWARD -p tcp -syn -m limit --limit 1/s -j ACCEPT # Proteção de Port Scanners ocultos. iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT # Proteção do Ping da morte. iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # Proteção contra IP Spoofing iptables -A INPUT -s 172.168.0.0/24 -i eth0 -j DROP ******************************* *********** # Regras básicas para o firewall. ******************************* ************* # Nega a entrada de todos os pacotes e aceita a saida de todos os pacotes. iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # Navegação e estabilizado a conexão. iptables -A OUTPUT -o eth0 -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A FORWARD -i eth0 -j ACCEPT iptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPT # WWW. iptables -t nat -A PREROUTING -s 200.0.0.1 -i eth0 -j DNAT -to 172.168.0.1 iptables -t nat -A POSTROUTING -s 200.0.0.1 -o eth0 -p tcp --dport 80 -j ACCEPT iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -j SNAT -to 200.0.0.1 iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -p tcp --dport 80 -j ACCEPT # Redirecionando a porta 80 para 3128. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDiRECT --to-port 3128 iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDiRECT --to-port 3128 # SMTP. iptables -t nat -A PREROUTING -s 200.0.0.1 -i eth0 -j DNAT -to 172.168.0.1 iptables -t nat -A POSTROUTING -s 200.0.0.1 -o eth0 -p tcp --dport 25 -j ACCEPT iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -j SNAT -to 200.0.0.1 iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -p tcp --dport 25 -j ACCEPT # POP3. iptables -t nat -A PREROUTING -s 200.0.0.1 -i eth0 -j DNAT -to 172.168.0.1 iptables -t nat -A POSTROUTING -s 200.0.0.1 -o eth0 -p tcp --dport 110 -j ACCEPT iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -j SNAT -to 200.0.0.1 iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -p tcp --dport 110 -j ACCEPT # Liberando a porta 22 (SSH) para os clientes. ipatbles -A INPUT -tcp -s 200.0.0.1/25 --dport 22 -j ACCEPT ipatbles -A INPUT -tcp -s 200.0.0.1/25 --dport 22 -j ACCEPT # Fim do scritp. Mauricio <IMG SRC="images/forum/icons/icon21.gif"> __________________ Mauricio <br />

24-06-2003, 11:15	#2 (permalink)
wrochal Registrado em: Oct 2002 Localização: São Paulo Idade: 25 Posts: 1,227 Agradeceu: 0 Agradecido 4 vez(es) em 4 Posts Reputação: 0	Melhorando o firewall. Caro, Entre no www.linuxit.com.br que tem vários artigos __________________ William da Rocha Lima - MCP wrochal(A)gmail.com www.linuxit.com.br

24-06-2003, 11:21	#3 (permalink)
Speed Registrado em: Mar 2003 Posts: 86 Agradeceu: 0 Agradecido 0 vez(es) em 0 Posts Reputação: 0	Melhorando o firewall. Wrochal2002, Eu já acessei o site e vi os exemplos e tentei montar o meu, mas eu gostaria da opinião dos amigos. Mauricio <IMG SRC="images/forum/icons/icon21.gif"> __________________ Mauricio <br />

24-06-2003, 11:53	#4 (permalink)
Dominum Registrado em: Feb 2002 Posts: 94 Agradeceu: 0 Agradecido 0 vez(es) em 0 Posts Reputação: 0	Melhorando o firewall. Dae, Speed! Manda a configuração de sua rede. Pois assim ficara mais facil hehehe __________________ []'s <br /> <br />Ðøm1nÜm <br> <br /> <br />Em breve CNPL.org <br />

24-06-2003, 12:51	#5 (permalink)
mistymst Super Moderador Registrado em: Jan 2003 Localização: Pará Idade: 24 Posts: 3,082 Agradeceu: 2 Agradecido 42 vez(es) em 40 Posts Reputação: 387	Melhorando o firewall. Cara pelo visto voce tem todos os servicos rodando em uma maquina interna atras do seu firewall (todos em uma so, web,pop,smtp) mas a sua unica regra de forward eh esta. iptables -A FORWARD -i eth0 -j ACCEPT entao logo nao passa nada, pelo que eu entendi, jah que eth0 seria sua interface externa (a qual esta sua internet) mude essa regra para -> iptables -A FOWARD -i eth1 -j ACCEPT ou iptables -A FOWARD -s ip.da.sua.subnet/netmask -j ACCEPT __________________ Better Safe Than Sorry Participe do Underlinux Wiki! http://www.under-linux.org/wiki/

Ferramentas do Tópico
Exibir versão para impressão Enviar essa página por email

Tópicos Similares
Tópico	Tópico Iniciado Por	Fórum	Respostas	Última Mensagem
Firewall PIX da Cisco ou Firewall com LINUX	Duca	Proxy/NAT/Firewall	9	28-01-2006 13:39
SWL3300 - Melhorando as configurações dela	Good_speed	Wireless	2	15-06-2005 10:31
firewall	danieltt	Proxy/NAT/Firewall	3	21-02-2005 14:50
como fazer 1 firewall funcionar atras de outro firewall+squi	cyberniro	Proxy/NAT/Firewall	1	23-04-2003 09:46
firewall x webmail ou firewall x php?	eclaudin	Segurança	3	23-08-2002 04:14