Como faço para criar um bom firewall com iptables
E ai galera blz, tenho duas placas de redes no servidor kurumin - internet conexão de rádio (wlan0 - IP 10.0.1.37) e rede local (eth0 - IP 192.168.1.160), como faço para criar algumas regras com iptables, liberando acesso total as máquinas da rede local (liberando kazaa, ftp, http, msn, etc) e restringindo o acesso da rede da internet as máquinas internas ..... valew ....
Como faço para criar um bom firewall com iptables
Por você ter IP frio nas 2 pontas não tem muito stress :P
Supondo que o Kurumin está bem configurado, navegando bunitinho, para ter o que você quer sem enrolação (considerando que a rede local eh 192.168.1.0/24), crie um arquivo com as seguintes linhas para ser executado sempre na inicialização do Kurumin:
iptables -F
iptables -X
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o wlan0 -j MASQUERADE
iptables -I FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -d 192.168.1.0/24 -m state --state ESTABLISHED -j ACCEPT
Re: Como faço para criar um bom firewall com iptables
#Carrega os modulos
modprobe iptables
modprobe iptable_nat
# Compartilha a conexão
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
# Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP
Valeu mano espero ter ajudado !!!
Re: Como faço para criar um bom firewall com iptables
Citação:
Postado originalmente por gatoseco
# Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP
Isso nao fecha tudo nunca! Isso soh fecha conexoes de pacotes SYN,
pra fechar tudo eh como o dropall falou antes
iptables -P INPUT DROP
Re: Como faço para criar um bom firewall com iptables
Citação:
Postado originalmente por gatoseco
# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
E isso soh vai permitir a rede "conectar" no servidor, mas nao vai trafegar nada pq vc soh liberou o syn
Re: Como faço para criar um bom firewall com iptables
Obrigado pela correçao 1c3_m4n vc e sempre muito prestativo!!!
Como faço para criar um bom firewall com iptables
heheheeh :D
So mais um detalhe, suas regras ateh podem funcionar do jeito que estao pq no inicio vc soh bloqueia o syn, e depois vc libera ele pra rede interna, entao pode da a impressao que ta funfando certinho, mas rode um nmap com as opcoes sF(FIN),sX(XMAS) e você vai ver que ele ainda vai acusar as portas como abertas
Re: Como faço para criar um bom firewall com iptables
O que vc acha que nao vai trafegar ? Poderia postar algum Exemplo ?
Como faço para criar um bom firewall com iptables
mesmo vc construindo um fw com ajuda do pessoal daqui, é fundamental vc ter conhecimentos sobre iptables e tcp/ip.
vai no google e digita focalinux
flw
Re: Como faço para criar um bom firewall com iptables
Citação:
Postado originalmente por gatoseco
O que vc acha que nao vai trafegar ? Poderia postar algum Exemplo ?
Com as suas regras vai funcionar normal como falei antes, mas se vc colocar iptables -P INPUT DROP como falamos, e depois liberar pra rede interna usando a sua regra (--syn ACCEPT) qq coisa vai ficar bloqueada, FTP é uma, depois faz o teste usa as regras assim:
iptables -P INPUT DROP
iptables -A INPUT -p tcp -s REDE --syn -j ACCEPT
conecta no ftp e tenta transferir alguma coisa, utilize o iptraf pra ficar monitorando a conexao e voce vai ver o server resetando a conexao ;)
Re: Como faço para criar um bom firewall com iptables
Pois e mas isso e se eu colocar como vc bem disse mas ja passei as regras na sequencia certa pra que funcione perfeitamente e logico que ele podera incluir a regra que vc citou no final do arquivo para realmente fechar tudo, so dei um pequeno exemplo de como ele poderia fazer pra iniciar um firewall nada muito complexo mas derrepente vc poderia postar um exemplo mais robusto e eficiente pra que nos pudessemos fazer criticas emcima e chegar em alguma coisa proxima da perfeiçao,
Pois nao to entendendo uma hora vc diz que funciona depois ja nao funciona mais !!!
Como faço para criar um bom firewall com iptables
o fw que o dropall passou ai no inicio ta perfeito, eu sohincluiria a opcao
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
pra poder usar o server normalmente
recomendo: iptables.under-linux.org
lah explica direitinho as tabelas nat
Re: Como faço para criar um bom firewall com iptables
Citação:
Postado originalmente por gatoseco
...
# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
# Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP
...
Na boa... vamos rever uma coisa... a tabela Filter que eh default pra nossas regras mais expecificamente a chain INPUT e onde tudo oque eh destinado ao IP, veja bem, ao IP do firewall passa.
Sendo assim quando uma maquina dentro da rede chama um servidor FTP ela nao vai fazer isso:
Maquina -> Firewall -> FTP
Quero dizer a maquina dentro da rede nao procura pelo Firewall, o IP dele, ao invez disso ela procura o IP do FTP é depois de verificado a tabela de roteamento local descobre que o IP, o do FTP, nao esta na mesma rede, oque ela faz?
Manda pra unica maquina capaz de reenviar esse pacote é que talvez não consiga mas esta la pra fazer a "Ponte", o Gateway.
Concluindo, abrir a chain INPUT para que as maquinas dentro da rede usarem Internet nao é necessario, porque voce acha que existe uma chain que chama FORWARD é existe um parametro no kernel que habilita ou desabilita o repasse?
Ao menos que voce precise acessar o SSH ou Squid nessa maquina, nao abra nada no INPUT.
Re: Como faço para criar um bom firewall com iptables
Como ja havia dito essas regras sao simples e apenas um inicio para alguem que ta começando a construir um firewall !!!
Mas se o nosso amigo necessitar de algo mais complexo e so dar uma olhada em www.linuxit.com.br e la tera um artigo escrito por mim que se chama script completo de firewall com mais de 2.700 visitas !!!
E preciso ter coragem pra escrever e nao ficar sempre atras do muro so com a intençao de criticar !!!
Falar de mim e facil dificil e ser eu !!!
Re: Como faço para criar um bom firewall com iptables
Citação:
Postado originalmente por gatoseco
Como ja havia dito essas regras sao simples e apenas um inicio para alguem que ta começando a construir um firewall !!!
Mas se o nosso amigo necessitar de algo mais complexo e so dar uma olhada em
www.linuxit.com.br e la tera um artigo escrito por mim que se chama script completo de firewall com mais de 2.700 visitas !!!
E preciso ter coragem pra escrever e nao ficar sempre atras do muro so com a intençao de criticar !!!
Falar de mim e facil dificil e ser eu !!!
Desculpa viu...
Re: Como faço para criar um bom firewall com iptables
Citação:
Postado originalmente por gatoseco
Como ja havia dito essas regras sao simples e apenas um inicio para alguem que ta começando a construir um firewall !!!
Mas se o nosso amigo necessitar de algo mais complexo e so dar uma olhada em
www.linuxit.com.br e la tera um artigo escrito por mim que se chama script completo de firewall com mais de 2.700 visitas !!!
E preciso ter coragem pra escrever e nao ficar sempre atras do muro so com a intençao de criticar !!!
Falar de mim e facil dificil e ser eu !!!
ppl sem flames.... :@:
Agora aproveite as novas dicas do forum e atualize seu artigo pra ficar melhor ainda :D
Como faço para criar um bom firewall com iptables
Eeeee pesssoal NO FLAMES :@:
Vamos todos :clap: e cantar.... :P
Como faço para criar um bom firewall com iptables
Como faço para criar um bom firewall com iptables
iptables.under-linux.org :D
eh o mesmo desse cjb, mas ele fica hospedado aki na under (fica mais rapido ;) )