nao ta funcionando pq ele uso -P OUTPUT DROP eh ainda por cima nao fez uma regra de FORWARD eficiente
cara na boa apaga tudo eh comeca denovo
Versão Imprimível
nao ta funcionando pq ele uso -P OUTPUT DROP eh ainda por cima nao fez uma regra de FORWARD eficiente
cara na boa apaga tudo eh comeca denovo
mas assim ele pego o sentido da coisa so q ele entro meio q em "paranoia" nao tem necessidade de se tao restritivo assim... quero dizer... voce pode faze esse controle loco q vc ta querendo ai mas vc tem q ter em mente o "caminho dos pacotes" por exemplo...
#$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
vc ta dropando conexoes novas...
#$iptables -A INPUT -p TCP -s 192.168.1.0/24 -m multiport --dport 8,11,21,22,3128,25,110,1041,1863,443,80,2222,10000,9024,35000 -j ACCEPT
eh depois vc quer liberar as portas... entao vc primeiro dropa seu cliente pra depois dar acesso? nao faz sentido...
me passa seu email vou te mandar meu script pra vc dar uma estudada
detalhe peguei a regra errada nao sei se alguem percebeu mas nao eh essa
#$iptables -A INPUT -p TCP -s 192.168.1.0/24 -m multiport --dport 8,11,21,22,3128,25,110,1041,1863,443,80,2222,10000,9024,35000 -j ACCEPT
eh essa
#$iptables -A FORWARD -p TCP -s 192.168.1.0/24 -m multiport --dport 8,11,21,22,3128,80,25,110,443,1041,1863,10000,9024,35000 -j ACCEPT
oque eh pior ainda pq se vc especifica no INPUT abrir essas portas todas vc esta abrindo todas essas portas no IP do firewall!!!
INPUT filho so eh pra propria maquina!! tipo assim o INPUT so escuta o IP do firewall eo loopback
Caros desculpe, nao pude ver o meu proprio post antes, seguinte essa "regra" de bloqear pra depois liberar eu achei mais seguro, gostaria q vc pudesse entao me enviar seu script pra eu dar um olhada.Citação:
Postado originalmente por Anonymous
[email protected]
Grato a todas as criticas e sugestoes q foram e q serao dadas...
Pega esse eh bem simples:
-----------------------------------------------
#!/bin/bash
#Variaveis
INT="eth1"
EXT="eth0"
LAN="192.168.0.0/16"
iptables="/sbin/iptables"
inicia () {
#Ativa repasse de pacotes
echo "Iniciando..."
echo 1 > /proc/sys/net/ipv4/ip_forward
#Zerar regras
$iptables -F
$iptables -X
$iptables -t nat -F
$iptables -t nat -X
#Politca padrao
$iptables -P INPUT DROP
$iptables -P FORWARD DROP
$iptables -P OUTPUT ACCEPT
#Regras de NAT
#
#Regra para o Squid
#$iptables -t nat -A PREROUTING -i $INT -s 192.168.0.0/16 -p tcp --dport 80 -j REDIRECT --to-port 3128
#Regras basicas de INPUT
$iptables -A INPUT -i $INT -s 0/0 -p tcp --dport 22 -j ACCEPT
$iptables -A INPUT -i $EXT -s 0/0 -p tcp --dport 22 -j ACCEPT
$iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A INPUT -i $INT -s $LAN -p tcp --dport 3128 -j ACCEPT
$iptables -A INPUT -i lo -j ACCEPT
$iptables -A INPUT -j DROP
#Regras basicas de FORWARD
$iptables -A FORWARD -p tcp --dport 135 -j DROP
$iptables -A FORWARD -p udp -m multiport --dports 137,138 -j DROP
$iptables -A FORWARD -p tcp --dport 139 -j DROP
$iptables -A FORWARD -p tcp --dport 445 -j DROP
$iptables -A FORWARD -p udp --dport 445 -j DROP
$iptables -A FORWARD -p udp --dport 500 -j DROP
$iptables -A FORWARD -p tcp --dport 1039 -j DROP
$iptables -A FORWARD -p udp --dport 1050 -j DROP
$iptables -A FORWARD -p udp --dport 1065 -j DROP
$iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
$iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
$iptables -A FORWARD -j DROP
#Masquerade
$iptables -t nat -A POSTROUTING -o $EXT -s $LAN -j MASQUERADE
}
para () {
echo "Parando..."
$iptables -F
$iptables -F -t nat
$iptables -X
$iptables -X -t nat
$iptables -P INPUT ACCEPT
$iptables -P FORWARD ACCEPT
$iptables -P OUTPUT ACCEPT
echo 0 > /proc/sys/net/ipv4/ip_forward
}
case $1 in
start)
inicia
;;
stop)
para
;;
*)
echo "Uso: $0 (start|stop)"
;;
esac
--------------------------------------------