analise de script e possviel correção
Caríssimos,
Sei que é chato ficar postando scripts no forum, mas acredito que apartir desses, pessoas que estao começando podem toma-los como um pontapé inicial.
Bem, gostaria que analisassem esse script me alertando sobre falhas, e respondessem pq mesmo comentando a forward de DNS, ainda assim é possivel resolver nome pra fora?
Obrigado.
#Ativar modulos
modprobe iptable_nat
#Zerar regras
iptables -F
#Compartilhar a conexao
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
##### Regras de INPUT #####
#Aceitar os pacotes que devem entrar
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#SSH de dentro da rede
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --syn --dport 22 -j ACCEPT
#FTP de dentro da rede
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT
#Ping de dentro da rede
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p icmp -j ACCEPT
#Fechar o resto
iptables -A INPUT -j DROP
##### Regras de FORWARD #####
#Deixar somente os pacotes que devem passar
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Permitir requisicao de DNS externo
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
#Permitir https
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 443 -j ACCEPT
#Permitir web
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
#Permitir ftp
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT
#Fechar as portas restantes
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 0:49151 -j DROP
analise de script e possviel correção
altera uma coisinha d eisso:
#Fechar as portas restantes
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 0:49151 -j DROP
pra isso
#Fechar as portas restantes
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -j DROP
e explica melhor esse do dns que nao entendi oq vc ta querendo
analise de script e possviel correção
mas quando vc adiciona essa ultima regra
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -j DROP
num barra tudo inclusive as portas altas utilizadas pra estabelecer uma conexao??
analise de script e possviel correção
caro,
nao barra as portas altas, tambem chamadas de dinamicas ou aleatorias (49151:65535), pq a regra
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
permite!!! :good:
analise de script e possviel correção
caro visitante
essa do DNS é o seguinte: nas suas regras, caso vc comente as linhas
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
e depois execute seu script novamente, nao funciona de imediato para o windows. Acho q ele guarda alguma tabela com o DNS durante um determinado periodo. Mas se apos comentar essas linha e vc reiniciar sua maquina windows e tentar acessar novamente, vera que nao é possivel resolver nome. Apos o boot ele limpa essa "tabela" q falei.
:good: