-
o fato da sua rede parar com a politica DROP indica que suas regras seguintes estão incorretas/inadequadas. Implica que vc tem que analizar QUAIS os serviços/protocolos tem que ser liberados (estou me repetindo, pelo visto, mas é que vc não entendeu ainda o conceito). Tenho várias redes funcionando desse modo, o conceito é:
BLOQUEIA-SE TUDO
libera-se portas e serviços que são necessários.
alguns trechos de firewall que tenho funcionando:
#!/bin/bash
start(){
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
[...] até aqui vc vê que não estou mentindo pra vc ;)
## Servidores Windows
iptables -N Dmz
iptables -A Dmz -p tcp -d 128.0.11.2 --dport 82 -j ACCEPT
[...] observe que há um accept para maquina/porta
## Msn liberados
iptables -N Libera-Msn
iptables -A Libera-Msn -p tcp -s 128.0.1.1 -d 207.46.0.0/16 --dport 1863 \
-j ACCEPT
iptables -A Libera-Msn -p tcp -s 128.0.1.1 -d 65.52.0.0/14 --dport 443 \
-j ACCEPT
[...]
nesses casos, foram criadas 'chains' especificas mas não é imprescindivel.
sugiro analisar os vários exemplos que vc pode encontrar aqui mesmo no under e no VOL
-
achei um script bem interessante no vol (ele dropa praticamente tudo, e libera trafego para a rede interna, pelo que eu entendi), mais tarde vou testa-lo e digo aqui se funcionou!
e referente ao squid.conf, o que acharam?
tem algo errado ou ta bom ele?
-
consegui, agora meu firewal esta com drop (dei uma olhada em 3 outras regras, acrescentei algumas regras de seguranca, e fiz alguns comentarios) da uma olhada se ficou bom:
############################################################
# Andrio Jasper #
# Rede Interna= eth0 (172.167.0.0)
# Internet= eth1
# Garantimos que a placa de rede, dhcp e squid ira iniciar!
ifup eth0
ifup eth1
service dhcpd restart
service squid start
echo "Iniciando Interfaces de Rede...............................[ OK ]"
# # carregando modulos
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_MASQUERADE
modprobe ipt_MARK
modprobe ipt_mark
modprobe ipt_mac
modprobe ipt_tos
modprobe iptable_mangle
echo "Carregando modulos.........................................[ OK ]"
# # limpando regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
echo "Limpando Regras............................................[ OK ]"
# Definindo a Politica Default das Cadeias
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
echo "Alterando Politica Padrao..................................[ OK ]"
# # Protecoes # # # #
# 1> Protecao contra IP spoofing
# 2> Protege contra synflood
# 3> Protecao contra icmp Broadcasting
# 4> Bloqueia tracerout
# 5> Protecao contra Dos
# 6> Protecao diversa contra portscanners, ping of death, ataque DOS, etc.
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
iptables -A INPUT -p udp --dport 33435:33525 -j DROP
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
# Bloquear Back Orifice:
iptables -A INPUT -p tcp --dport 31337 -j DROP
iptables -A INPUT -p udp --dport 31337 -j DROP
# Bloquear NetBus:
iptables -A INPUT -p tcp --dport 12345:12346 -j DROP
iptables -A INPUT -p udp --dport 12345:12346 -j DROP
# Outras protecoes
# Impedimos que um atacante possa maliciosamente alterar alguma rota, e
# Impossibilita que o atacante determine o "caminho" que o pacote vai percorrer (roteadores) ate seu destino
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# # Fim Protecoes # # # #
echo "Carregando Protecoes de Seguranca..........................[ OK ]"
# o computador com o seguinte ip nao passara pelo proxy squid
#iptables -t nat -A PREROUTING -i eth1 -s 172.167.0.13 -p tcp -m tcp -j ACCEPT
# Todo o trafego que nao seja para conectividade social, Redireciona a porta 80 para 3128 (squid)
iptables -t nat -A PREROUTING -s 172.167.0.0/24 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i 172.167.0.0/24 -p udp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
#Habilitando o trafego IP Entre as Placas de Rede
#Roteamento no Kernel
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
echo "Ativando Roteamento........................................[ OK ]"
# # Agora, Iremos definir o que pode passar e o que nao pode
# Tabela de Entrada. Esta Tabela, so vale para o proprio host
# Qualquer pacote IP que venha do localhost, Ok.
iptables -A INPUT -i lo -j ACCEPT
# REDE INTERNA LIBERADA
iptables -A INPUT -i eth1 -j ACCEPT
#SSH
iptables -A INPUT -p tcp --dport 2210 --syn -j ACCEPT
# No iptables, temos de dizer quais sockets sao validos em uma conexao
iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
# # Tabela de Reenvio (FORWARD)
# Primeiro, ativaremos o mascaramento (nat).
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# Agora dizemos quem e o que podem acessar externamente
# No iptables, o controle do acesso a rede externa e feito na cadeia "FORWARD"
# REDE INTERNA LIBERADA
iptables -A FORWARD -i eth0 -j ACCEPT
# No iptables, temos de dizer quais sockets sao validos em uma conexao
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# # Bandlimit
bandlimit restart
echo "Iniciando Bandlimit........................................[ OK ]"
# # Fecha o resto
#iptables -A INPUT -p tcp --syn -j DROP
#iptables -A INPUT -j DROP
#iptables -A FORWARD -j DROP
############################################################
e agora, como ficou? tem alguma coisa que precisa ser alterada?
ainda tou atras para saber sobre a vlan, como implementar, alguem ai poderia ajudar?
na rede tem 90 usuarios (cabeados, edificio), faixa da rede 172.167.0.0
como faria para separa-los atraves da vlan???