Por favor, uma ajudinha a iniciante !
Valeu pelo interesse em me ajudar pessoal. Aqui está meu script de firewall, to achando que ele está totalmente furado, vocês com mais experiência podem me dar umas dicas valiosas. Obrigado!
Com relação ao registro na Fapesp, para registrar meu dominio faoi realmente necessário dois servidores DNS para respoder a requisição, um colega meu configurou nos servidores dele, mas to querendo colocar o meu como primario e deixar um dele como secundário.
-------------------------- Aqui começa o script --------------------------------
#!/bin/bash
#modprobe iptable
#modprobe ipt_filter
modprobe iptable_nat
modprobe ipt_conntrack
#modprobe ipt_mangle
modprobe ipt_TOS
modprobe ipt_MASQUERADE
modprobe ipt_LOG
##### Zera todas as regras anteriores #####
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
##### Definicao de politicas #####
## Tabela filter
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
## Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING DROP
## Tabela mangle
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
##### Protecoes #####
## IP Spoofing ##
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 >$i
done
## Ping da morte ##
#iptables -t filter -A ping-chain -p icmp --icmp-type echo-request -m limit --li
mit 1/s -j ACCEPT
#iptables -t filter -A ping-chain -j DROP
## Syn Flood ##
#iptables -t filter -A syn-chain -p tcp --syn -m limit --limit 2/s -j ACCEPT
#iptables -t filter -A syn-chain -j DROP
##### Ativa o redirecionamento de pacotes #####
echo "1" >/proc/sys/net/ipv4/ip_forward
##### Numero maximo de conexoes simultaneas #####
echo "8192" > /proc/sys/net/ipv4/ip_conntrack_max
#################################################
### Tabela Filter ###
#################################################
##### Chain INPUT #####
## Usado para tratar o trafego vindo da net ##
iptables -N internet
## Aceita todo trafego vindo/indo para loopback ##
iptables -A INPUT -i lo -j ACCEPT
## Todo trafego vindo da rede interna tbm eh aceito ##
iptables -A INPUT -s 192.168.1.0/24 -i eth2 -j ACCEPT
## Conexoes vindas de fora (eth0) saum tratadas pelo chain "internet" ##
iptables -A INPUT -i eth0 -j internet
## Qualquer outra conexaum desconhecida eh registrada e derrubada ##
iptables -A INPUT -j LOG --log-prefix "FIREWALL: INPUT "
iptables -A INPUT -j DROP
##### Chain FORWARD #####
## Permite redirecionamento de conexoes entre as interfaces locais. ##
## Qualquer trafego vindo/indo para outras interfaces serah bloqueada ##
iptables -A FORWARD -d 192.168.1.0/24 -i eth0 -o eth2 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -i eth2 -o eth0 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
iptables -A FORWARD -j DROP
##### Chain internet #####
## Aceitamos todas as mensagens icmp vindas da internet com certa limitacao ##
iptables -A internet -p icmp -m limit --limit 2/s -j ACCEPT
## Aceitamos o trafego vindo da internet para os servicos WEB e DNS (portas 80/53) ##
iptables -A internet -p tcp --dport 80 -j ACCEPT
iptables -A internet -p udp --dport 53 -j ACCEPT
## Esses servicos serao registrados e bloqueados ##
iptables -A internet -p tcp --dport 21 -j LOG --log-prefix "FIREWALL: ftp "
iptables -A internet -p tcp --dport 25 -j LOG --log-prefix "FIREWALL: smtp "
iptables -A internet -p tcp --dport 110 -j LOG --log-prefix "FIREWALL: pop3 "
iptables -A internet -p tcp --dport 113 -j LOG --log-prefix "FIREWALL: identd "
iptables -A internet -p udp --dport 111 -j LOG --log-prefix "FIREWALL: rpc "
iptables -A internet -p tcp --dport 111 -j LOG --log-prefix "FIREWALL: rpc "
iptables -A internet -p udp --dport 137:139 -j LOG --log-prefix "FIREWALL: samba "
iptables -A internet -p tcp --dport 137:139 -j LOG --log-prefix "FIREWALL: samba "
## Bloqueia qualquer tentativa de acesso de fora para essa maquina ##
iptables -A internet -m state --state ! ESTABLISHED,RELATED -j LOG --log-prefix "FIREWALL: ppp-in "
iptables -A internet -m state --state ! ESTABLISHED,RELATED -j DROP
## Qualquer outro tipo de trafego eh aceito ##
iptables -A internet -j ACCEPT
#################################################
### Tabela NAT ###
#################################################
##### Chain POSTROUTING #####
## Permite qualquer conexao vinda com destino ao lo e rede local para eth1 ##
iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j ACCEPT
## Direciona conexoes para WebServer e DNS (portas 80/53) ##
iptables -t nat -A PREROUTING -i 200.x.x.x -p tcp --dport 80 -j DNAT --to 192.168.1.1:80
iptables -t nat -A PREROUTING -i 200.x.x.x -p udp --dport 53 -j DNAT --to 192.168.1.1:53
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.0/24 --sport 80 -j SNAT --to 200.x.x.x
iptables -t nat -A POSTROUTING -p udp -s 192.168.1.0/24 --sport 53 -j SNAT --to 200.x.x.x
## Eh feito o masquerading ##
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
## Registra e bloqueia qualquer outro tipo de trafego desconhecido ##
iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL: SNAT "
iptables -t nat -A POSTROUTING -j DROP
#################################################
### Tabela magle ###
#################################################
iptables -t mangle -A OUTPUT -o eth2 -p tcp --dport 21 -j TOS --set-tos 0x10
iptables -t mangle -A OUTPUT -o eth2 -p tcp --dport 23 -j TOS --set-tos 0x10
iptables -t mangle -A OUTPUT -o eth2 -p tcp --dport 6665:6668 -j TOS --set-tos 0x10
iptables -t mangle -A OUTPUT -o eth2 -p udp --dport 53 -j TOS --set-tos 0x10
Por favor, uma ajudinha a iniciante !
Cara assim de firewall nao sei mto, mas se prescisar ajuda no bind eh so postar que tento ajudar.
falows
Por favor, uma ajudinha a iniciante !
Citação:
Postado originalmente por ruyneto
Citação:
Postado originalmente por SerAntSou
Citação:
Postado originalmente por ruyneto
So uma coisinha nao esqueça que tem de ter 2 servidores dns para a fapesp habilitar seu dominio.
falows
hummmm.... discordo Ruy... aqui eu rodo DNS configurado em um server apenas atraves de NAT (meu server DNS, Apache, E-mail nao tem numero IP real e nao responde icmp, mas responde as consultas do registro.br e qq outro).
So uma coisa como o registro aceitou a configuração de um dominio sem dois servidores dns?? pois sempre que vou registrar nomes no registro.br ele nao aceita se so por 1 servidor dns respondendo por aquele dominio.
falows
Na verdade meu NAT eh para 2 nros IPs validos... e no registro.br eu configuro os 2.
Por favor, uma ajudinha a iniciante !
Alexandre, a principio suas regras estao corretas a nao ser pelo synflood e ping da morte que deveriam estar descomentados...
Talvez o problema seja no seu DNS mesmo.
No masquerade coloque assim e ve se funciona:
ipatbles -t nat -A POSTROUNTING -s 192.168.1.0/24 -j MASQUERADE -o eth0
Por favor, uma ajudinha a iniciante !
Citação:
Postado originalmente por Anonymous
Alexandre, a principio suas regras estao corretas a nao ser pelo synflood e ping da morte que deveriam estar descomentados...
Talvez o problema seja no seu DNS mesmo.
No masquerade coloque assim e ve se funciona:
ipatbles -t nat -A POSTROUNTING -s 192.168.1.0/24 -j MASQUERADE -o eth0
:oops: sou eu...