ola a todos,
tenho uma rede normal com 03 SEGMENTOS que encontram-se assim:
[internet]-------[FW-iptables]------------(dmz-100.100.100.0/16)
|__________(lan-172.16.0.0/16)
na DMZ estao servidores de Terminal Service, SMTP, pop3, imap etc
todos tem NAT 1:1 declarados e CADA IP VALIDO tem um ALIAS na interface eth0 (sendo eth0:0, eth0:1, eth0:2 e assim por diante)
01. como faco para liberar soh as portas necessarias e bloquear as outras e logar as tentativas de acesso?
02. e por que nao consigo filtrar por interface do TIPO ALIAS ? ethx:y ?
Ex: em uma das regras abaixo eu preciso liberar apenas SMTP e POP3 e o resto irei negar e logar (onde tem o srvmail )
minhas regras
#!/bin/bash
#limpando tabelas
iptables -F &&
iptables -X &&
iptables -t nat -F &&
iptables -t nat -X &&
#variaveis de ambiente
int_ext="200.200.200.162"
int_dmz="100.100.100.30"
int_interna="172.16.0.1"
#Libera o loopback
iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
#liberando acesso interno da rede
#iptables -A FORWARD -s 200.254.254.251 -d 200.200.200.162/32 -p tcp --dport 4899 -j ACCEPT
#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -p tcp --dport 80 -s 0/0 -i eth0 -o eth1 -j ACCEPT
#iptables -A FORWARD -p tcp --dport 10000 -s 0/0 -i eth0 -o eth1 -j ACCEPT
#iptables -A INPUT -j ACCEPT &&
#iptables -A OUTPUT -j ACCEPT &&
#iptables -A FORWARD -j ACCEPT &&
#iptables -A INPUT -p tcp --syn -s 172.16.0.0/255.255.0.0 -j ACCEPT &&
#iptables -A OUTPUT -p tcp --syn -s 172.16.0.0/255.255.0.0 -j ACCEPT &&
#iptables -A FORWARD -p tcp --syn -s 172.16.0.0/255.255.0.0 -j ACCEPT &&
#nat 1:1
#iptables -t nat -A PREROUTING -s 172.16.0.10/32 -i eth2 -d 0/0 -p tcp --dport 80 -j DNAT --to 172.16.0.4:3128
#iptables -t nat -A PREROUTING -p tcp -d 200.200.200.165 -i eth2 -j DNAT --to 100.100.100.50
#iptables -t nat -A PREROUTING -p tcp -d 200.200.200.165 -i eth2 -j DNAT --to 100.100.100.50
#iptables -t nat -A PREROUTING -d $srvmail -p tcp --dport 11000 -j DNAT --to $srvmail_int:10000
#iptables -A PREROUTING -t nat -d 200.200.200.163 -j DNAT --to 100.100.100.2
#iptables -A POSTROUTING -t nat -s 100.100.100.2 -j SNAT --to 200.200.200.163
iptables -A PREROUTING -t nat -d 200.200.200.163 -j DNAT --to 100.100.100.50
iptables -A POSTROUTING -t nat -s 100.100.100.50 -j SNAT --to 200.200.200.163
iptables -A PREROUTING -t nat -d 200.200.200.167 -j DNAT --to 100.100.100.46
iptables -A POSTROUTING -t nat -s 100.100.100.46 -j SNAT --to 200.200.200.167
iptables -A PREROUTING -t nat -d 200.200.200.168 -j DNAT --to 100.100.100.47
iptables -A POSTROUTING -t nat -s 100.100.100.47 -j SNAT --to 200.200.200.168
#iptables -A PREROUTING -t nat -d 200.200.200.165 -j DNAT --to 100.100.100.10
#iptables -A POSTROUTING -t nat -s 100.100.100.10 -j SNAT --to 200.200.200.165
iptables -A PREROUTING -t nat -d 200.200.200.165 -j DNAT --to 100.100.100.50
#iptables -A POSTROUTING -t nat -s 100.100.100.50 -j SNAT --to 200.200.200.165
#iptables -A PREROUTING -t nat -d 200.200.200.172 -j DNAT --to 100.100.100.35
#iptables -A POSTROUTING -t nat -s 100.100.100.35 -j SNAT --to 200.200.200.172
#compartilhando a web na rede interna
iptables -t nat -A POSTROUTING -s 172.16.0.0/255.255.0.0 -o eth0 -j MASQUERADE &&
iptables -t nat -A POSTROUTING -s 100.100.0.0/255.255.0.0 -o eth0 -j MASQUERADE &&
echo 1 > /proc/sys/net/ipv4/ip_forward &&
# Protecao contra port scanners ocultos
#iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Bloqueando tracertroute
#iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP
#Protecoes contra ataques
#iptables -A INPUT -m state --state INVALID -j DROP
#Configura aliases
/etc/sysconfig/aliases.sh &&
#termina
echo "Iptables Pronto"
Obrigado,