E aeee galera !!
Bom, seguinte... A empresa aki eh uma softwarehouse e temos um link dedicado da embratel com 2 classes de 64 ips e um servidor completo. Iremos trabalhar em conjunto com a VISA e a MasterCard, autenticando cartões de compras efetuadas nos sites de e-commerce gerenciado por nós. Preciso implementar um firewall forte para que nossa rede seja aprovada pela VISA e MasterCard.
Então vamos conhecer minha rede:
- Recebo o link em um CISCO 2500 e jogo ele em cabo cross para meu firewall
- O firewall possui 3 placas de redes, sendo elas:
eth0 - rede interna da empresa com IPs frios mascarados
eth1 - classe de rede dos servidores
eth2 - recebe o link que vem do roteador
Estou tentando usar a seguinte estratégia no firewall:
- blokear todas as Entradas, Repasses e Saídas
- mascarar rede interna (fria)
- fazer proteções básicas (portscan, ping, etc...)
- liberar repasse das portas desejadas somente para as maquinas desejadas
- liberar somente entrada de SSH para o firewall
O problema é que se a politica de repasse for DROP, então NADA funciona, evidentemente está faltando alguma coisa no meu script ai de firewall (logo abaixo), mas não sei o que é que pode ser.
Ajuda eu ai galera :wink:
[]'s
Script do Firerwall:
[root@Firewall /etc/rc.d]# cat firewall
##############################################################################
# Limpando regras
##############################################################################
iptables -t nat -F
iptables -F
##############################################################################
# Impedir passagem de tudo de qualker lugar para qualker lugar
##############################################################################
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
##############################################################################
# Fazer NAT para a rede interna
##############################################################################
modprobe ipt_conntrack
modprobe ip_conntrack
modprobe ip_conntrack_ftp
iptables -t nat -F
iptables -t nat -I POSTROUTING -s 10.0.0.0/24 -o eth2 -j MASQUERADE
##############################################################################
# Protecoes basicas
##############################################################################
# Ping
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
# Ping da morte
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Syn-flood
iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
# Portscan
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
# Bugs em traducao NAT
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP
##############################################################################
# Liberar REPASSE das portas para o servidor 200.200.200.201 (Server1)
##############################################################################
# DNS
iptables -A FORWARD -o eth2 -d 200.200.200.201 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -o eth2 -d 200.200.200.201 -p udp --dport 53 -j ACCEPT
# SMTP
iptables -A FORWARD -o eth2 -d 200.200.200.201 -p tcp --dport 25 -j ACCEPT
# POP
iptables -A FORWARD -o eth2 -d 200.200.200.201 -p tcp --dport 110 -j ACCEPT
# IMAP
iptables -A FORWARD -o eth2 -d 200.200.200.201 -p tcp --dport 143 -j ACCEPT
# FTP
iptables -A FORWARD -o eth2 -d 200.200.200.201 -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -o eth2 -d 200.200.200.201 -p tcp --dport 21 -j ACCEPT
# HTTP
iptables -A FORWARD -o eth2 -d 200.200.200.201 -p tcp --dport 80 -j ACCEPT
# HTTPS
iptables -A FORWARD -o eth2 -d 200.200.200.201 -p tcp --dport 443 -j ACCEPT
# Liberar repasse para pacotes vindos do servidor Server1
iptables -A FORWARD -s 200.200.200.201 -j ACCEPT
##############################################################################
# Liberar REPASSE das portas para o servidor 200.200.200.202 (Server2)
##############################################################################
# DNS
iptables -A FORWARD -o eth2 -d 200.200.200.202 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -o eth2 -d 200.200.200.202 -p udp --dport 53 -j ACCEPT
# FTP
iptables -A FORWARD -o eth2 -d 200.200.200.202 -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -o eth2 -d 200.200.200.202 -p tcp --dport 21 -j ACCEPT
# HTTP
iptables -A FORWARD -o eth2 -d 200.200.200.202 -p tcp --dport 80 -j ACCEPT
# HTTPS
iptables -A FORWARD -o eth2 -d 200.200.200.202 -p tcp --dport 443 -j ACCEPT
# Liberar repasse para pacotes vindos do servidor Server2
iptables -A FORWARD -s 200.200.200.202 -j ACCEPT
##############################################################################
# Liberar REPASSE das portas para o servidor 200.200.200.203 (Windows 2000)
##############################################################################
# VNC
iptables -A FORWARD -o eth2 -d 200.200.200.203 -p tcp --dport 5900:5999 -j ACCEPT
##############################################################################
# Liberar acesso para SSH no firewall
##############################################################################
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p udp --dport 22 -j ACCEPT