analise meu firewall

não tenho muita experiencia em firewalls mas tenho feito alguns rascunhos. o firewall abaixo faz ligação da rede 192.168.1.0(modem)
e 10.0.0.0(lan)
no firewall a placa eth0 tem o ip 192.168.1.200
no firewall a placa eth1 tem o ip 10.0.0.254

nos clientes o gateway está setado para 10.0.0.254 no IE e os dns 200.215.1.43 e 200.215.1.44 da brasiltelecom nas configurações da rede.

a route default está setada para 192.168.1.1(modem adsl)

o problema é que nenhum cliente consegue ter acesso a net a não a ser o próprio firewall.

se vcs precisarem de mais alguma informação para dar uma sugestão eu responde rapidinho.
espero que alguém ache algum erro de logica ou qualquer outro tipo de erro na configuração abaixo,
valeu
cleiton

#!/bin/bash
#
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
#
echo 1 > /proc/sys/net/ipv4/ip_forward
#
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_MASQUERADE
modprobe ipt_LOG
modprobe ipt_limit
modprobe ipt_state
#
iptables -A INPUT -i lo -j ACCEPT
#
#netip=192.168.0.2
#netface=eth0
#lanface=eth1
#lanip=10.0.0.254
#
#
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A FORWARD -m unclean -j DROP
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#
iptables -A INPUT -p tcp --dport 21 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: ftp: "
iptables -A INPUT -p tcp --dport 23 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: telnet: "
iptables -A INPUT -p tcp --dport 25 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: smtp: "
iptables -A INPUT -p tcp --dport 80 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: http: "
iptables -A INPUT -p tcp --dport 110 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: pop3: "
iptables -A INPUT -p tcp --dport 443 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: imap: "
iptables -A INPUT -p tcp --dport 6667:6668 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: irc: "
iptables -A INPUT -p tcp --dport 3128 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: squid: "
#
iptables -A FORWARD -i eth0 -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 443 -j ACCEPT
#
iptables -A INPUT -p tcp --destination-port 22 -i eth1 -j ACCEPT
iptables -A INPUT -s 10.0.0.0/8 -i $netface -j DROP
iptables -A INPUT -s 172.16.0.0/16 -i $netface -j DROP
iptables -A INPUT -s 192.168.0.0/24 -i $netface -j DROP
#
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s $faixalan -o $netface -j MASQUERADE

pequenas alterações

na seção INPUT é eth0 e não $netface

e a regra
iptables -t nat -A POSTROUTING -s $faixalan -o $netface -j MASQUERADE

eh na verdade

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

a linha do REDIRECT que ativa o squid está comentada..
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

nao vejo problema nenhum em ele especificar que ele so vai mascarar o que sair da lan interna dele, nao tem problema nisso. se ele tiver uma DMZ com ip valido, vai sair tudo com o ip do firewall? nao neh.

e outra voce nao seta o gateway no IE , no ie o maximo que voce faz eh setar o proxy.

qual eh a default gateway que voce colocou no tcp/ip dos seus clientes? tem que ser o ip do seu firewall, passei o pano rapidamente em suass e elas parecem estar ok.

analise meu firewall

eh verdade me expressei mal, nos clientes está o ip do proxy. 10.0.0.254
eh a interface eth1.

o default gateway tb coloquei o ip 10.0.0.254

desculpe mais vou ser sincero não sei o que DMZ

tudo vai sair pelo ip do modem 192.168.1.1 que recebe um ip dinamico da brasiltelecom.

ajudou?!
valeu
cleiton

pergunta paralela

pergunta paralela

quando faço a regra abaixo ele libera tanto pros pacotes irem da lan para internet e da internet para a lan?! é necessário apenas uma regra ou uma pra cada sentido?!

iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT

no meu firewall percebi que não fiz nenhum regra INPUT ou FORWARD para liberar pacotes de protocolo UDP, mas também em nenhum momento bloquei o mesmo.

valeu

firewall

aconselharia adicionar as seguintes regras

#Regras para bloquear portas netbios
iptables -A FORWARD -p tcp --dport 135 -j DROP
iptables -A FORWARD -p udp --dport 135 -j DROP
iptables -A FORWARD -p udp --dport 137 -j DROP
iptables -A FORWARD -p udp --dport 138 -j DROP
iptables -A FORWARD -p tcp --dport 139 -j DROP
iptables -A FORWARD -p udp --dport 445 -j DROP
iptables -A FORWARD -p tcp --dport 445 -j DROP
iptables -A FORWARD -p tcp --dport 593 -j DROP

#Regra para bloquear ping
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
#echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

#Regra para limitar pacotes syn (evita flooding)
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

abraços

Muganga
MSN: [email protected]
ICQ: 314528019