Ajuda com Firewall

19-06-2005, 09:46

Colegas,

Estou necessitando criar um firewall para a empresa, mas não sei nem por onde começar. Bastava um script com iptables, que fosse bem seguro e simples de administrar. O mesmo deveria liberar os principais serviços como: nagevaçao pela web, correio (pop3 e smtp), vnc para fora e para dentro, vpn para fora (partindo de estações windows), ssh para fora e para dentro e outras coisinha básicas. Será que alguem poderia me ajudar a montar esse "bicho"?

Ficarei muito agradecido aos colegas que puderem ajudar.

PS: eth0 - Internet e eth1 - Rede local.

**darkstarlinux** · 19-06-2005, 11:04

Prezado amigo, entre em contato comigo.

meu msn é [email protected] ou me mande e-mail para [email protected]

estudaremos o que você precisa e mediante isso aplicamos a solução.

Atenciosamente
Joabes.

**gatoseco** · 19-06-2005, 12:17

Faz um vc e posta ai que vamos dando umas pinceladas !!!

É a melhor maneira vc ter a opiniao de todos !!!

Valeu !!!

**Skorpyon** · 20-06-2005, 03:27

O melhor mesmo é estudar!

http://focalinux.cipsga.org.br/

21-06-2005, 08:22

O motivo te pedir ajuda aos colegas, é pelo fato de não dominar nada sobre iptables. Tenho estudado sim! Mas tenho medo de fazer alguma "me...".

Grato.

**gatoseco** · 21-06-2005, 08:31

Posta ai entao o q realmente vc precisa que esse micro faça, o q vc precisa bloquear e o q vc precisa liberar que damos um jeito !!!

Valeu !!!

rmars · 21-06-2005, 08:49

Opa pessoal, tava lendo o tópico e resolvi postar o meu firewall, ele é o mais simples possível, e gostaria que o pessoal analisasse e apontasse os pontos fracos do mesmo, reitero que ele eh bem simples mesmo

O ambiente seria esse

<rede interna 192.168.0.0 e 192.168.1.0> ---- (eth0)----(wlan0)----<<<<internet>>>>

Segue abaixo.:

--

IPTABLES=/usr/sbin/iptables

#Habilita Modulos
-- cut --

#Limpando as regras do Iptables
$IPTABLES -F
$IPTABLES -t nat -F

# - frox
$IPTABLES -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 --dport 21 -j REDIRECT --to 2121

# - nat
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o wlan0 -j SNAT --to 10.0.15.2
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.2/32 -o wlan0 -j SNAT --to 10.0.17.2

# - ssh
$IPTABLES -A INPUT -i wlan0 -p tcp -s 10.0.0.0/8 --dport 22 -j ACCEPT

# - ping
$IPTABLES -A INPUT -i wlan0 -p icmp -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p icmp -j ACCEPT

$IPTABLES -A INPUT -i wlan0 -m state --state ! ESTABLISHED,RELATED -j DROP

**gatoseco** · 21-06-2005, 08:56

Eu acho que tem que melhorar !!!

rmars · 21-06-2005, 08:59

Entendo que tenha q melhorar, mas seria interessante apontar onde eu estou pecando, e que solução seria melhor.

Colocar as policys como deny para a chain input? talvéz.... Mas desse jeito, o firewall nega as conexões que são originadas de fora pelo sateful da ultima regra....

Onde eu posso melhorar

**gatoseco** · 21-06-2005, 09:13

# Ativa Roteamento via Kernel
#------------------------------------------------------------------------------------------
# Ativando Roteamento via Kernel
echo "1"> /proc/sys/net/ipv4/ip_forward

# Ignorando BroadCasts
#------------------------------------------------------------------------------------------
# Ignorando BroadCasts
echo "1"> /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Zera todas as Regras
#------------------------------------------------------------------------------------------
# Limpando todas as Regras de todas as Tabelas"
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle

# Define a politica padrao
#------------------------------------------------------------------------------------------
# Determinando as politicas padroes das CHAINS
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Toda conexao que ja foi estabelecida com o firewall nao sera analisada novamente
#------------------------------------------------------------------------------------iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
# Liberando LoopBack
#------------------------------------------------------------------------------------------
# Liberando LoopBack
iptables -A INPUT -i lo -j ACCEPT

Daqui pra baixo libere o que sera necessario na sua rede !!!

Sei que estou sujeito a criticas mas deem suas opinioes tambem !!! hehe

Valeu !!!

21-06-2005, 12:20

Postado originalmente por gatoseco

Posta ai entao o q realmente vc precisa que esse micro faça, o q vc precisa bloquear e o q vc precisa liberar que damos um jeito !!!

Valeu !!!

Olá gatoseco,

O que necessito no momento, descrevo logo acima.

Obrigado.

Ajuda com Firewall

Ferramentas de Tópicos