- iptables dropando tudo
+ Responder ao Tópico
-
iptables dropando tudo
Bom dia pessoal, sou iniciante e estou com problemas para configurar o firewall,
basicamente meu problema é implementar segurança pois como voces veem esta todo liberado
meu firewall tem 3 placas de rede:
eth0 = 192.168.0.0/24 -> Rede 1
eth1 = 192.168.1.0/24 -> Rede 2
eth2 = 200.XXX.XXX.XXX -> Speed
Os serviços que preciso acessar fora são ftp, skype e internet, nessas redes internamente tenho
apenas um serviço que há necessidade de abrir a porta 1024.
esse é meu script
#!/bin/bash
/usr/sbin/iptables -F
/usr/sbin/iptables -t nat -F
/sbin/insmod ip_conntrack_ftp
/sbin/insmod ip_nat_ftp
/usr/sbin/iptables -P INPUT ACCEPT
/usr/sbin/iptables -P FORWARD ACCEPT
/usr/sbin/iptables -P OUTPUT ACCEPT
/etc/rc.d/rc.ip_forward start
/usr/sbin/iptables -t nat -A POSTROUTING -o eth2 -s 192.168.1.0/24 -d 0/0 -j MASQUERADE
/usr/sbin/iptables -t nat -A POSTROUTING -o eth2 -s 192.168.0.0/24 -d 0/0 -j MASQUERADE
/usr/sbin/iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
/usr/sbin/iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
/usr/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
/usr/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
/usr/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
/usr/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
/usr/sbin/iptables -A FORWARD -p tcp --dport 1863 -j REJECT
/usr/sbin/iptables -A FORWARD -d 64.4.13.4/24 -j REJECT
/usr/sbin/iptables -A INPUT -p tcp --syn -s 192.168.0.0/24 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --syn -s 192.168.1.0/24 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --syn -j DROP
Até aqui funciona, mas qdo insiro uma regra no fim para aumentar a segurança do tipo,
/usr/sbin/iptables -P INPUT DROP
/usr/sbin/iptables -P FORWARD DROP
ferra tudo e não consigo acessar mais nada,
Alguem tem alguma dica de como fazer para usar os serviços nas portas 80, 21, 3128 e skype com DROP em INPUT e FORWARD.
Já vi varios exemplos no google utilizei mas não tive sucesso.
Obrigado a todos.
-
iptables dropando tudo
Seguinte amigo nesse caso você tem que fazer um firewall bem mais planejado, algo com umas 50 linhas ou mais.
Se você quiser eu passo um script que eu recem desenvolvi justamente para atender essa demanda que tinhamos aqui na empresa. Ele ainda não tá 100% testado mas os principais serviços já estão funcionando nele.
Basta fazer uma adaptação para o que você quer.
Abraços,
-
Re: iptables dropando tudo
Vc ta se perdendo na ordem das regras !!!
Vc tem que saber exatamente o que quer pra poder montar tudo direitinho !!!
Valeu !!!
-
iptables dropando tudo
Valeu pessoal,
oque puder me passar será muito util e eu ja agradeço.
-
iptables dropando tudo
Pelo visto você não entendeu bem como funciona algumas coisas no iptables.
De uma lida no guia-foca, assim tudo ficara mais esclarecido e mais facil para você montar seu firewall.
http://focalinux.cipsga.org.br/