Está correto está maneira de montar um servidor internet ?

Bom Dia !
Tenho um servidor de internet, fiz um firewall aqui em um arquivo texto.
Na verdade é uma dúvida que não encontrei em apostilas.
Quando libero uma porta FORWARD, para rede interna,a mesmo deve ser liberada como INPUT no servidor certo ?

No caso abaixo, está certo ?
liberei o servidor a 80, que o servidor internet usa para conectar... e as máquinas da rede interna vao usar a porta 3128 no caso o proxy, e a porta 443 que é https, no qual o squid não suporta.

Também liberei a porta 25 e 110 (pop, e smtp).

Está certo a maneira que eu estou fazendo ?
Só montei para ter uma nossao de como estou fazendo, e se estou fazendo da maneira correta...

Obrigado

Código :

---

#Interfaces
IF_INTERNA="eth0"
IF_EXTERNA="eth1"
#Rede Interna
REDE_INTERNA="10.0.0.0/24"
 
 
#roteamento
echo "1"> /proc/sys/net/ipv4/ip_forward 
 
#Limpando iptables
iptables -F 
iptables -Z 
iptables -X 
iptables -F -t nat 
iptables -X -t nat 
iptables -F -t mangle 
iptables -X -t mangle 
 
# Conexão estabelida não é verificada novamente
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT 
iptables -A FORWARD -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT 
 
#Regras IF_EXTERNA
iptables -A INPUT -i $IF_EXTERNA -p tcp --syn --dport 22 -j ACCEPT 
iptables -A INPUT -i $IF_EXTERNA -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i $IF_EXTERNA -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -i $IF_EXTERNA -p udp --dport 43 -j ACCEPT
iptables -A INPUT -i $IF_EXTERNA -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -i $IF_EXTERNA -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i $IF_EXTERNA -p tcp --dport 443 -j ACCEPT
 
#Rede Interna
iptables -A INPUT -i $IF_INTERNA -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -i $IF_INTERNA -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -i $IF_INTERNA -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i $IF_INTERNA -p tcp --dport 443 -j ACCEPT
 
 
 
 
#Fecha o resto
iptables -P INPUT DROP 
iptables -P OUTPUT DROP 
iptables -P FORWARD DROP

---

Qual e a finalidade desse micro ??? Que serviços vc vai rodar nele???

eu posso estar erradu mas pra que tua ativa todas as regras e depois fecha tudu denovo? no meu ponto de vista eh a mesma coisa de executar um flush!!!!! :D

galera, podem apagar este tópico...

1000 Desculpas, eu postei novamente aqui.

https://under-linux.org/modules.php?...wtopic&t=31004

Está errado esse fechamento teria que ser assim:
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j DROP


Mas eu aconselho primeiro fechar o firewall e depois liberar o que acessam mas é bem mais trabalhoso exemplo:

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


# liberando acesso da rede interna nos serviço SSH
iptables -A INPUT -s 10.0.0.0/255.0.0.0 -t tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -d 10.0.0/255.0.0.0 -t tcp --sport 22 -j ACCEPT

# realizando NAT/MASQUERADE para rede interna acessar internet
iptables -t nat -A POSTROUTING -s 10.0.0.0/255.0.0.0 -j MASQUERADE
iptables -A FORWARD -s 10.0.0.0/255.0.0.0 -j ACCEPT
iptables -A FORWARD -d 10.0.0.0/255.0.0.0 -j ACCEPT
echo "1" > /proc/net/sys/ipv4/ip_forward

# o resto já é fechado mas vale a pena logar os pacotes que não seguem essa regra para ter um maior controle
iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG

# apos abre outro terminal e digite tail -f /var/log/messages
# para verificar os logs ;] falowz

# Leandro da S. B
# [email protected]
# Linux Administrator

-A fecha mas escuta os pacotes !
pode gerar logs com o -A

está correto fechar com -P sim...

Relembrando os conceitos amigo:
-P = Policy política do firewall ou seja, deseja que o firewall fique todo fechado e depois usa regras para abrir as portas ou coloque -P ACCEPT que é, libere todas as portas e deixe que eu feche com as minhas regras.
portanto o melhor é dropar tudo pela Policy e depois liberar -A INPUT e -A OUTPUT.

ah sim, realmente eu entendi mau...

é que eu estava achando que você escreveu que o -A fecha tudo...

é para logar...


dai sim 100%!

porque já fechou tudo no inicio.. :clap: