-
iptables
Estou com um problema quero DROPar tudo no meu firewall , para depois abrir ! ! !
Primeira pergunta, tenho que dropar para depois aceitar ou ao contrario . . .
alguem tem ai uma configuração para que eu possa me bazear ???
<IMG SRC="images/forum/icons/icon27.gif">
-
iptables
Salve esse script no init.d e coloque ele nos rc.d´s da vida de acordo com sua nescessidade....
-------Inicio do Script--------------
#!/bin/sh
#############################################################
# Script Criado Por: #
# Rodrigo Gustavo Gallacci #
# FIREWALL EM LINUX - iptables #
#############################################################
case $1 in
´start´)
#Primeiro precisamos levantar todos os serviços do firewall
#E verificar se eles não estão ativos...
USO=`cat /usr/firewall`
if [ $USO != 1 ]
then
echo 1 > /usr/firewall
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
insmod ip_nat_ftp
insmod ip_conntrack_ftp
fi
#Agora limpamos todas as regras
iptables -F
iptables -t nat -F
iptables -X
iptables -X -t nat
iptables -Z
#Depois fechanmos todas as portas para a entrada e
#para o redirecionamento, abrimos somente as de saída
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#Agora trocamos o ip interno para o acesso a outras redes
iptables -A PREROUTING -t nat -d 127.0.0.1/24 -j DNAT --to ip_interno
iptables -A POSTROUTING -t nat -s ip_interno -j SNAT --to ip_externo
iptables -A POSTROUTING -t nat -s ip_interno -j MASQUERADE
#Troque o x no final do ip pelo ip da placa externa do servidor...
#Vamos declarar as portas que serão aceitas para redirecionamento
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 127.0.0.1/24 -j ACCEPT
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT #Porta de FTP
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT #Porta de SMTP
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT #Porta de http
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT #Porta POP3
iptables -A FORWARD -p tcp --dport 1080 -j ACCEPT #PortaICQ/Messenger
iptables -A FORWARD -p udp --dport 1080 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1521 -j ACCEPT #Porta Oracle
iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT #WWWProxy
iptables -A FORWARD -p udp --dport 3128 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 127.0.0.1/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p udp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p udp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p udp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p udp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 1080 -j ACCEPT
iptables -A INPUT -p udp --dport 1080 -j ACCEPT
iptables -A INPUT -p tcp --dport 1521 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -p udp --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --dport 5432 -j ACCEPT
touch /var/lock/subsys/firewall
;;
´stop´)
#Paramos o serviço
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
iptables -Z
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
echo 0 > /usr/firewall
rm -f /var/lock/subsys/firewall
;;
´restart´)
#Restartamos o serviço
echo "Parando o serviço de firewall: [OK]"
$0 start
echo "Iniciando o serviço de firewall: [OK]"
;;
´list´)
iptables -L
;;
*)
echo "Tente digitar $0 {start|stop|restart|list}"
exit 0
;;
esac
---------Final do Script-------------------------
Isso deve ajudar.... <IMG SRC="images/forum/icons/icon_wink.gif">
-
iptables
me manda teu email, tenho um fire bem simples q vc pode usar. <IMG SRC="images/forum/icons/icon_wink.gif">
-
iptables
[email protected] <IMG SRC="images/forum/icons/icon_wink.gif">
-
iptables
Poderiam mandar o script pra mim tb? <IMG SRC="images/forum/icons/icon_biggrin.gif">
[email protected]
[]s Fly
-
iptables
-
iptables
dei uma olhada em seu firewall, ele é 10 o meu é bem simples, já o seu é bem completo, vou fazer algumas alterações para os meus clientes, valeu 1c3. <IMG SRC="images/forum/icons/icon_wink.gif">
-
iptables
ja enviei o email para os amigos, falou
-
iptables
Eu estou usando o seguinte
#!/bin/sh
#
# eth0 - rede interna
# eth1 - internet - ip valido
##### Ativamos o redirecionamento de pacotes (requerido para NAT) #####
echo "1" >/proc/sys/net/ipv4/ip_forward
# Limpa tudo
iptables -F
iptables -X
iptables -F -t nat
# Regras Basicas
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
# Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING DROP
# Protecao contra spoofing
iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
iptables -A INPUT -s 172.16.0.0/16 -i eth1 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j DROP
##### Proteção contra IP Spoofing #####
#for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
# echo 1 >$i
#done
# Criamos um chain que será usado para tratar o tráfego vindo da Internet
iptables -N eth1-input
# Aceita todo o tráfego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT
# Todo tráfego vindo da rede interna também é aceito
iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
# Conexões vindas da interface eth1 são tratadas pelo chain eth1-input
iptables -A INPUT -i eth1 -j eth1-input
# Qualquer outra conexão desconhecida é imediatamente derrubada
iptables -A INPUT -j LOG --log-prefix "FIREWALL - input: "
iptables -A INPUT -j DROP
# Chain FORWARD ####
# Permite redirecionamento de conexões entre as interfaces locais
# especificadas abaixo. Qualquer tráfego vindo/indo para outras
# interfaces será bloqueado neste passo
# --------------------------
# LIBERA IPs
iptables -A FORWARD -d 192.168.1.4 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.1.4 -i eth0 -o eth1 -j ACCEPT
# FTP
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 21 --dport 1022:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --sport 1022:65535 --dport 21 -j ACCEPT
# SMTP
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 25 --dport 1022:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --dport 25 -j ACCEPT
# DNS
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p udp --sport 53 --dport 1022:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p udp --dport 53 -j ACCEPT
# POP3
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 110 --dport 1022:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --dport 110 -j ACCEPT
# ICMP - Ping
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p icmp -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p icmp -j ACCEPT
# Bloqueia o restante da rede para outros servicos
iptables -A FORWARD -j LOG --log-prefix "FIREWALL - forward: "
iptables -A FORWARD -j DROP
# SSH client (22)
# ---------------
iptables -A OUTPUT -o eth1 -p tcp -s 200.230.22.123 --source-port 1022:65535 --destination-port 22 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp ! --syn --source-port 22 -d 200.230.22.123 --destination-port 1022:65535 -j ACCEPT
# Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação
iptables -A eth1-input -p icmp -m limit --limit 2/s -j ACCEPT
# A tentativa de acesso externo a estes serviços serão registrados no syslog
# do sistema e serão bloqueados pela última regra abaixo.
iptables -A eth1-input -p tcp --dport 21 -j LOG --log-prefix "FIREWALL - ftp: "
iptables -A eth1-input -p tcp --dport 25 -j LOG --log-prefix "FIREWALL - smtp: "
iptables -A eth1-input -p udp --dport 53 -j LOG --log-prefix "FIREWALL - dns: "
iptables -A eth1-input -p tcp --dport 110 -j LOG --log-prefix "FIREWALL - pop3: "
iptables -A eth1-input -p tcp --dport 113 -j LOG --log-prefix "FIREWALL - identd: "
iptables -A eth1-input -p udp --dport 111 -j LOG --log-prefix "FIREWALL - rpc: "
iptables -A eth1-input -p tcp --dport 111 -j LOG --log-prefix "FIREWALL - rpc: "
iptables -A eth1-input -p tcp --dport 137:139 -j LOG --log-prefix "FIREWALL - samba: "
iptables -A eth1-input -p udp --dport 137:139 -j LOG --log-prefix "FIREWALL - samba: "
# Bloqueia qualquer tentativa de nova conexão de fora para esta máquina
iptables -A eth1-input -m state --state ! ESTABLISHED,RELATED -j LOG --log-prefix "FIREWALL - eth1-in: "
iptables -A eth1-input -m state --state ! ESTABLISHED,RELATED -j DROP
# Qualquer outro tipo de tráfego é aceito
iptables -A eth1-input -j ACCEPT
##### Chain POSTROUTING #####
# Permite qualquer conexão vinda com destino a lo e rede local para eth0
iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j ACCEPT
# É feito masquerading dos outros serviços da rede interna indo para a interface
# eth1
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
# Qualquer outra origem de tráfego desconhecida indo para eth0 (conexões vindas
# de eth1) são bloqueadas aqui
# iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j LOG --log-prefix "FIREWALL - SNAT unknown: "
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j DROP
# Quando iniciamos uma conexão ppp, obtermos um endereço classe A (10.x.x.x) e após
# estabelecida a conexão real, este endereço é modificado. O tráfego indo para
# a interface ppp não deverá ser bloqueado. Os bloqueios serão feitos no
# chain INPUT da tabela filter
iptables -t nat -A POSTROUTING -o eth1 -j ACCEPT
# Registra e bloqueia qualquer outro tipo de tráfego desconhecido
# iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL - snat: "
iptables -t nat -A POSTROUTING -j DROP
# Carrega modulos de suporte a FTP
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ftp_masq
-
iptables
Caras é o seguinte não funciona , nada ! ! !
esse script que vc me passou é completo e muito logico tudo . . eu entendi tudo , ele drop tudo , e depois vai abrindo mais aqui não funciona , ,
por que ??????????? <IMG SRC="images/forum/icons/icon_mad.gif"> <IMG SRC="images/forum/icons/icon_mad.gif">
Ahhhhh , naum funciona ! ! ! <IMG SRC="images/forum/icons/icon_mad.gif">
-
iptables
se vc num falar o erro q ele da fica dificil pra te ajudar!!!!!!!
vc ativou o forward de pacotes???? vc carregou os modulos de nat??
-
iptables
Hey calma e conta o erro pra gente te ajudar.... <IMG SRC="images/forum/icons/icon_wink.gif">
-
iptables
eu executei o script do future max , claro substitui os ip_interno e ip_externo ! ! ! e naum funciona ! !
se eu tiro o DROP . . ou a politica de DROP do INPUT ele funciona normal . .
-
iptables
ah e o que significa isso é a unica coisa que eu naum sei
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
??? QhAt ? ? ?
-
iptables
É para estabelecer conexão direta com outros pcs seja de fora pro servidor ou de dentro pra fora.... se vc comentou essas linhas ou tirou elas é por isso que não funciona.... <IMG SRC="images/forum/icons/icon_frown.gif">
-
iptables
nao eu naum tirei essa regra so queria saber , . . o eu vou reinstalar essa maquina para ver o que acontece . .nunca vi acontecer isso, daqui a pouco falo com vcs . .
mais por enquanto
Obrigado ! ! ! <IMG SRC="images/forum/icons/icon_wink.gif">
-
iptables
futuremax ????
Para isso funcionar precisa estar instalado algo como dns ou algo assim porque aqui ele fica estavel uns 3 min. depois cai . . . fiz as regras de acordo como seu script mais so que da esses 3 min e cai . .
Qualquer ajuda eu agradeço ! ! !
-
iptables
Galera estou precisando de um script para liberar a internet para um grupo de clientes.
Tipo:
Tenho 3 laboratórios, quando um professor pede para tirar a internet de um deles para que haja aula sem que a utiliza, seja barrado no servidor, seria pro squid ou firewall?
Podem me dar uma luz????
-
iptables
Olá.. estive dando uma testada no primeiro script... bom.. ele até funcionou.. mas nao consegui pingar na máquina que tem este firewall.. e na parte de forward... nao consegui fazer com que minha rede interna alcançasse a internet..
Falow
-
iptables
e ai galera alguem pode me ajudar ! ! !
-----
Feliz Natal
-
iptables
Cara eh o seguinte:
iptables -P INPUT DROP
faz com que tudo que chegar na maquina seja bloqueado....
entaum se vc nu liberar oq precisa seu firewall eh inutil...
tenta usar oq eu fiz: acessando aki:
http://www.linuxit.com.br/modules.ph...ticle&artid=33
-
iptables
Que versão de firewall iptables vcs usam ???
-
iptables
iptables v1.2.4 ( conectiva 8 )
[ Esta mensagem foi editada por: Futuremax em 23-12-2002 11:33 ]
-
iptables
-
iptables
olá.. sobre o primeiro firewall... como faço para liberar o ping na máquina que este este firewall?
-
iptables
Sobre o primeiro ( de furemax )script que vcs liberam as portas ( 80 , 3128 , 1080 etc ) é necessario que algum programa esteja esteja trabalhando naquela porta .
Ex. quero usa um proxy transparente sem usar o squid, meu objetivo é que o firewall exporte isso para a maquina cliente e que o cliente não possa fazer downloads de sites com ftp , e nem accessar paginas com https. tenho que fazer isso para apresentar na minha empresa tem como. ou é necessario que o squid ou algum outro programa esteja escutando em uma porta ou algo assim.
Bem senhores o meu objetivo é esse, espero por ajuda obrigado.
-
iptables
vc jah olhou o firewall q eu indiquei algumas msgs anteriores??? ele faz oq vc quer....
-
iptables
CARA! pega o MadDog firewall criado pelo 1c3 ......
www.linuxit.com.br
aqui funcionou bem massa!