analise de script e possviel correção
Caríssimos,
Sei que é chato ficar postando scripts no forum, mas acredito que apartir desses, pessoas que estao começando podem toma-los como um pontapé inicial.
Bem, gostaria que analisassem esse script me alertando sobre falhas, e respondessem pq mesmo comentando a forward de DNS, ainda assim é possivel resolver nome pra fora?
Obrigado.
#Ativar modulos
modprobe iptable_nat
#Zerar regras
iptables -F
#Compartilhar a conexao
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
##### Regras de INPUT #####
#Aceitar os pacotes que devem entrar
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#SSH de dentro da rede
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --syn --dport 22 -j ACCEPT
#FTP de dentro da rede
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT
#Ping de dentro da rede
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p icmp -j ACCEPT
#Fechar o resto
iptables -A INPUT -j DROP
##### Regras de FORWARD #####
#Deixar somente os pacotes que devem passar
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Permitir requisicao de DNS externo
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
#Permitir https
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 443 -j ACCEPT
#Permitir web
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
#Permitir ftp
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT
#Fechar as portas restantes
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 0:49151 -j DROP
analise de script e possviel correção
altera uma coisinha d eisso:
#Fechar as portas restantes
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 0:49151 -j DROP
pra isso
#Fechar as portas restantes
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -j DROP
e explica melhor esse do dns que nao entendi oq vc ta querendo
analise de script e possviel correção
mas quando vc adiciona essa ultima regra
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -j DROP
num barra tudo inclusive as portas altas utilizadas pra estabelecer uma conexao??
analise de script e possviel correção
caro,
nao barra as portas altas, tambem chamadas de dinamicas ou aleatorias (49151:65535), pq a regra
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
permite!!! :good:
analise de script e possviel correção
caro visitante
essa do DNS é o seguinte: nas suas regras, caso vc comente as linhas
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
e depois execute seu script novamente, nao funciona de imediato para o windows. Acho q ele guarda alguma tabela com o DNS durante um determinado periodo. Mas se apos comentar essas linha e vc reiniciar sua maquina windows e tentar acessar novamente, vera que nao é possivel resolver nome. Apos o boot ele limpa essa "tabela" q falei.
:good:
analise de script e possviel correção
Citação:
Postado originalmente por 1c3_m4n
e explica melhor esse do dns que nao entendi oq vc ta querendo
pelo que entendi eh para q maquinas na rede interna possam se comunicar com um dns.
analise de script e possviel correção
Citação:
Postado originalmente por Anonymous
mas quando vc adiciona essa ultima regra
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -j DROP
num barra tudo inclusive as portas altas utilizadas pra estabelecer uma conexao??
se vc tem as regras --state junto nao barra nao, soh vai barrar conexoes novas
Re: analise de script e possviel correção
Citação:
Postado originalmente por Anonymous
##### Regras de INPUT #####
#Aceitar os pacotes que devem entrar
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#SSH de dentro da rede
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --syn --dport 22 -j ACCEPT
#FTP de dentro da rede
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT
#Ping de dentro da rede
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p icmp -j ACCEPT
#Fechar o resto
iptables -A INPUT -j DROP
Como essas regras sao de tudo que entra, porque caso eu tenha um dhcp no firewall nao é bloqueado a porta 68?? A regra
iptables -A INPUT -j DROP
num bloqueia o resto??
Obrigado.
analise de script e possviel correção
analise de script e possviel correção
A CHAIN INPUT trata os pacotes que chegam ao firewall. Como o dhcp esta rodando na msm maquina que o firewall, os pacotes dele nao passam pela CHAIN INPUT, e sim pela CHAIN FORWARD.
Espero ter ajudado
analise de script e possviel correção
Citação:
Postado originalmente por Skorpyon
A CHAIN INPUT trata os pacotes que chegam ao firewall. Como o dhcp esta rodando na msm maquina que o firewall, os pacotes dele nao passam pela CHAIN INPUT, e sim pela CHAIN FORWARD.
Espero ter ajudado
Nao nao, ela passa na INPUT mesmo, deve ter alguma outra coisa liberando antes pra ele continuar funcionando (tipo uma regra liberando tudo pra rede interna)
Re: analise de script e possviel correção
Citação:
Postado originalmente por Anonymous
##### Regras de INPUT #####
#Aceitar os pacotes que devem entrar
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#SSH de dentro da rede
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --syn --dport 22 -j ACCEPT
#FTP de dentro da rede
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT
#Ping de dentro da rede
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p icmp -j ACCEPT
#Fechar o resto
iptables -A INPUT -j DROP
Não há nenhuma outra regra que libere pra interna. As regras sao apenas essas.