- Regras firewall/roteador
+ Responder ao Tópico
-
Regras firewall/roteador
Olá novamente pessoal.
Como referi no forum criei as regras que achava que seriam boas para a situação.
Eu queria que os utilizadores pudessem ir à net, pingar para fora qq site mas que o inverso ñ se sucedesse.
Na rede temos um server windows 2000 exchange que faz a distribuição interna dos mails e por isso tb keria k os pacotes vindos da net pelas portas de mail fossem direccionados para essa máquina.
Keria também que a partir da minha rede interna pudesse aceder à firewall a partir de ssh.
IP SERVER EXCHANGE: 192.168.1.50
eth0:interface rede interna 192.168.1.0
eth1:interface internet
REGRAS:
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Masquerade and forwarding
iptables -t nat -A POSTROUTING -s 192.168.1.0 -o eth1 -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i eth0 -s 192.168.1.0
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Open ports on router
iptables -A INPUT -j ACCEPT -p tcp --dport 110
iptables -A INPUT -j ACCEPT -p tcp --dport 25
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j ACCEPT -p tcp --dport 53
iptables -A INPUT -j ACCEPT -p tcp --sport 53
iptables -A INPUT -j ACCEPT -p udp --dport 53
iptables -A INPUT -j ACCEPT -p udp --dport 53
iptables -A INPUT -j ACCEPT -p tcp --dport 80
#State related for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Open ports to exchange
iptables -A FORWARD -j ACCEPT -p tcp --dport 25
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 25 -j DNAT --to 192.168.1.50:25
iptables -A FORWARD -j ACCEPT -p tcp --dport 110
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 110 -j DNAT --to 192.168.1.50:110
#Other rules
iptables -A OUTPUT -p icmp -d ! 192.168.1.0/24 -j ACCEPT
#Syn-Floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
#Port scanners ocultos
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#Ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
Estas regras vão satisfazer o que pretendia?
Podiam-me dar uma ajuda para melhorar ou completar estas regras?
Obrigado
-
Regras firewall/roteador
Então? Ninguém me pode dar uma ajuda??