Firewall Seguro

Olá pessoal!

Estou tentando montar um script para meu firewall baseado na Politica de DROP para "INPUT,OUTPUT,FORWARD" , mas após ter colocado esta police tudo parou, Obvio!
Mas ai comecei a liberar o loopback depois ping entre minha maquina (rede local) e meu server, dai pra frente não consegui liberar mais nada...ja tentei varias regras mas não funciona, estrei colocando o que escrevi ate agora para que possam me ajudar a descobrir o que esta havendo...

Observem que a Police de FORWARD esta ACCEPT , senão não estarria escrevendo este......:-) , mas logo ela tera de ficar DROP...

#!/bin/bash
ANY=0.0.0.0/0
NET=Meu ip valido
LOCAL=192.168.0.0/30
NETLINK=eth1
LOCALLINK=eth0

#### LIMPANDO AS TABELAS ####
iptables -F
iptables -t nat -F
iptables -t mangle -f

#### LIMPANDO AS CHAINS ####
iptables -X
iptables -t nat -X
iptables -t mangle -X

#### POLITICA DE CONTROLE ####
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

#### LIBERANDO O LOOPBACK ####
iptables -A INPUT -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT

#### LIBERANDO SSH PARA O SERVER ####
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#Obs: Tentei tb com estas regras!
iptables -A OUTPUT -p tcp -s ${NET} --sport 1024:65535 -d 0/0 --dport 22 -j ACCEPT
iptables -A OUTPUT -p udp -s ${NET} --sport 1024:65535 -d 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d ${NET} --dport 22 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --sport 1024:65535 -d ${NET} --dport 22 -j ACCEPT

#### LIBERANDO PING PARA A MAQUINA DA REDE LOCAL ####
# LEMBRANDO QUE AS REGRAS DE PING PARA A REDE LOCAL E #SERVIDOR E A REGRA PARA O LOOPBACK, SÃO AS UNICAS QUE #ESTÃO FUNCIONANDO.

iptables -A OUTPUT -s ${LOCAL} -p icmp --icmp-type 8 -d 0/0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d ${LOCAL} -j ACCEPT

iptables -A OUTPUT -s ${NET} -p icmp --icmp-type 8 -d 0/0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d ${NET} -j ACCEPT

iptables -A INPUT -s 192.168.0.2 -p icmp --icmp-type 8 -d 192.168.0.1 -j ACCEPT

iptables -A OUPUT -s 192.168.0.1-p icmp --icmp-type 0 -d 192.168.0.2 -j ACCEPT

iptables -A FORWARD -s 0/0 -p icmp --icmp-type 0 -d 192.168.0.2 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -p icmp --icmp-type 8 -d 0/0 -j ACCEPT

#### LIBERANDO SSH ENTRE REDE LOCAL E SERVIDOR ###
# ESTA REGRA NÃO FUNCIONOU
iptables -A OUTPUT -s 192.168.0.1 -p tcp -d 192.168.0.2 --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.0.2 -p tcp -d 192.168.0.1 --dport 22 -j ACCEPT

#### LIBERANDO SSH DA REDE LOCAL PARA FORA ####
# ESTA REGRA NÃO FUNCIONOU
iptables -A FORWARD -s 0/0 -p tcp -d 192.168.0.2 --dport 22 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -p tcp -d 0/0 --dport 22 -j ACCEPT

#### COMPARTILHAMENTO DE INTERNET ####
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

### ENTÃO FOI ATE AQUI QUE INSERI AS REGRAS###

Olha gostaria de conseguir liberar a navegacao, dns, telnet, pop3,smtp, ssh e outros tando entre a rede local e servidor, servidor internet, e rede local internet.

A todos que lerem este meus sinceros agradecimentos, e aqueles que tirarem um pouco de seu precioso tempo pra tentar me ajudar lhes agradeço ainda mais.

VaLeu!

S.O = Slackware 10 + kernel 2.4.26

Re: Firewall Seguro

Quem sabe isso venha a te ajudar!!! Se mesmo assim nao der post ai damos um jeito!!!
#!/bin/bash

#### LIMPANDO AS TABELAS ####

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

#Variáveis do firewall
CONFIAVEL1=192.168.0.10
CONFIAVEL2=192.168.0.11
REDEMASQ=192.168.0.0/24

#### POLITICA DE CONTROLE ####
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

#### LIBERANDO O LOOPBACK ####
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABILISHED,RELATED -j ACCEPT

# Criando perfil de acesso administrativo
iptables -N ADMIN
iptables -A ADMIN -i eth1 -p tcp --dport 22 --syn -j LOG --log-level info /
--log-prefix "[Acesso Admin]:"
iptables -A ADMIN -i eth1 -p tcp --dport 22 --syn -j ACCEPT

# Aplicando a permissao de acesso ssh a CONFIAVEL1 e 2
iptables -A INPUT -i eth1 -s $CONFIAVEL1 -j ADMIN
iptables -A INPUT -i eth1 -s $CONFIAVEL2 -j ADMIN

#### LIBERANDO PING PARA A MAQUINA DA REDE LOCAL ####
# LEMBRANDO QUE AS REGRAS DE PING PARA A REDE LOCAL E #SERVIDOR E A REGRA PARA O LOOPBACK, SÃO AS UNICAS QUE #ESTÃO FUNCIONANDO.

iptables -A OUTPUT -s ${LOCAL} -p icmp --icmp-type 8 -d 0/0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d ${LOCAL} -j ACCEPT

iptables -A OUTPUT -s ${NET} -p icmp --icmp-type 8 -d 0/0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d ${NET} -j ACCEPT

iptables -A INPUT -s 192.168.0.2 -p icmp --icmp-type 8 -d 192.168.0.1 -j ACCEPT

iptables -A OUPUT -s 192.168.0.1-p icmp --icmp-type 0 -d 192.168.0.2 -j ACCEPT

iptables -A FORWARD -s 0/0 -p icmp --icmp-type 0 -d 192.168.0.2 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -p icmp --icmp-type 8 -d 0/0 -j ACCEPT

#### COMPARTILHAMENTO DE INTERNET ####
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Re: Firewall Seguro

Citação:

Postado originalmente por gatoseco

Quem sabe isso venha a te ajudar!!! Se mesmo assim nao der post ai damos um jeito!!!
#!/bin/bash

#### LIMPANDO AS TABELAS ####

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

#Variáveis do firewall
CONFIAVEL1=192.168.0.10
CONFIAVEL2=192.168.0.11
REDEMASQ=192.168.0.0/24

#### POLITICA DE CONTROLE ####
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

#### LIBERANDO O LOOPBACK ####
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABILISHED,RELATED -j ACCEPT

# Criando perfil de acesso administrativo
iptables -N ADMIN
iptables -A ADMIN -i eth1 -p tcp --dport 22 --syn -j LOG --log-level info /
--log-prefix "[Acesso Admin]:"
iptables -A ADMIN -i eth1 -p tcp --dport 22 --syn -j ACCEPT

# Aplicando a permissao de acesso ssh a CONFIAVEL1 e 2
iptables -A INPUT -i eth1 -s $CONFIAVEL1 -j ADMIN
iptables -A INPUT -i eth1 -s $CONFIAVEL2 -j ADMIN

#### LIBERANDO PING PARA A MAQUINA DA REDE LOCAL ####
# LEMBRANDO QUE AS REGRAS DE PING PARA A REDE LOCAL E #SERVIDOR E A REGRA PARA O LOOPBACK, SÃO AS UNICAS QUE #ESTÃO FUNCIONANDO.

iptables -A OUTPUT -s ${LOCAL} -p icmp --icmp-type 8 -d 0/0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d ${LOCAL} -j ACCEPT

iptables -A OUTPUT -s ${NET} -p icmp --icmp-type 8 -d 0/0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d ${NET} -j ACCEPT

iptables -A INPUT -s 192.168.0.2 -p icmp --icmp-type 8 -d 192.168.0.1 -j ACCEPT

iptables -A OUPUT -s 192.168.0.1-p icmp --icmp-type 0 -d 192.168.0.2 -j ACCEPT

iptables -A FORWARD -s 0/0 -p icmp --icmp-type 0 -d 192.168.0.2 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -p icmp --icmp-type 8 -d 0/0 -j ACCEPT

#### COMPARTILHAMENTO DE INTERNET ####
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Ola caro gatoseco!
Infelizmente não foi desta vez, quando coloquei sua regra de loop por exemplo ate deixei de pingar na lo, e as demais naum surtiram efeito algum, mas muito obrigado pela força.....Ah e vc trocou o nome ESTABLISHED por ESTABILISHED....OK!

VAleu!

Re: Firewall Seguro

Que pena que nao deu certo, tenho esse script publicado em outro site que nao gostaria de citar, comigo e para outros usuarios funciona por que sera que pra vc nao, sera que ta fazendo a coisa certa???

Se sabe tao bem aonde estao os meus erros de digitaçao, como nao consegue nem fazer um script tao simples quanto o que vc esta tentando fazer!!!

Valeu e ate mais!!! Desculpe por nao ter ajudado!!!

Re: Firewall Seguro

Citação:

Postado originalmente por gatoseco

Que pena que nao deu certo, tenho esse script publicado em outro site que nao gostaria de citar, comigo e para outros usuarios funciona por que sera que pra vc nao, sera que ta fazendo a coisa certa???

Se sabe tao bem aonde estao os meus erros de digitaçao, como nao consegue nem fazer um script tao simples quanto o que vc esta tentando fazer!!!

Valeu e ate mais!!! Desculpe por nao ter ajudado!!!

Olha meu rei vc disse tudo naum ha nada de anormal e dificil neste script, mas o invocado que aqui naum funciona.
Ate onde eu sei esta regra libera o loopback
iptables -A INPUT -i lo -j ACCEPT
Mas aqui quando eu coloco eu paro de me enxergar, so funciona como no meu primeiro exemplo logo acima.....entaum um problema simples acabou ficando complicado.....Mas meu muito obrigado pela forca....Acho que se naum conseguir hoje a noite comeco do zero novamente.....desde a instalacao.

Abracos....