- Regras do Firewall
+ Responder ao Tópico
-
Regras do Firewall
Pessoal,
Comecei a trabalhar numa empresa que utilizava um firewall baseado em ipchains, num servidor antigo, tive que atualiza-lo... dessa forma foi instalado o Mandrake 9.0 e as regras do firewall foram adaptadas para o iptables. Gostaria que vcs as verificassem pra mim.
# Generated by iptables-save v1.2.7a on Mon Mar 24 13:52:02 2003
*filter
:INPUT DROP [1168:203500]
:FORWARD ACCEPT [0:0]
<IMG SRC="images/forum/icons/icon_eek.gif">UTPUT ACCEPT [0:0]
-A INPUT -d 0.0.0.0 -i lo -j ACCEPT
-A INPUT -s 90.0.0.0/255.255.255.0 -d 0.0.0.0 -j ACCEPT
-A INPUT -d 200.217.161.114 -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 200.217.161.114 -i eth1 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -d 200.217.161.114 -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -d 200.217.161.114 -i eth1 -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -d 0.0.0.0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -d 0.0.0.0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 200.252.236.132 -j ACCEPT
-A INPUT -s 200.199.203.36 -j ACCEPT
-A INPUT -d 200.217.161.114 -i eth1 -j ACCEPT
-A INPUT -d 200.217.161.114 -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -d 200.217.161.114 -p 47 -j ACCEPT
-A INPUT -i eth0 -p 47 -j ACCEPT
-A INPUT -d 90.0.0.0/255.255.255.0 -i ppp0 -j ACCEPT
-A INPUT -d 200.235.246.46 -i ppp0 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -d 200.217.161.114 -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -s 200.217.161.114 -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -p 47 -j ACCEPT
-A FORWARD -p 47 -j ACCEPT
-A FORWARD -d 200.217.161.114 -p 47 -j ACCEPT
-A FORWARD -s 200.217.161.114 -p 47 -j ACCEPT
-A FORWARD -d 200.217.161.114 -i ppp0 -j ACCEPT
-A FORWARD -d 90.0.0.0/255.255.255.0 -i ppp0 -j ACCEPT
-A FORWARD -d 90.0.0.0/255.255.255.0 -i eth0 -j ACCEPT
-A OUTPUT -d 90.0.0.0/255.255.255.0 -o eth0 -j ACCEPT
-A OUTPUT -d 200.252.236.132 -j ACCEPT
-A OUTPUT -d 200.199.203.36 -j ACCEPT
-A OUTPUT -s 200.217.161.114 -d 0.0.0.0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A OUTPUT -s 200.217.161.114 -d 200.217.161.114 -p tcp -m tcp --dport 1723 -j ACCEPT
-A OUTPUT -s 200.217.161.114 -d 0.0.0.0 -p 47 -j ACCEPT
-A OUTPUT -s 200.217.161.114 -d 200.217.161.114 -p 47 -j ACCEPT
-A OUTPUT -s 90.0.0.0/255.255.255.0 -o ppp0 -j ACCEPT
-A OUTPUT -s 200.217.161.114 -o ppp0 -j ACCEPT
COMMIT
# Completed on Mon Mar 24 13:52:02 2003
# Generated by iptables-save v1.2.7a on Mon Mar 24 13:52:02 2003
*nat
<IMG SRC="images/forum/icons/icon_razz.gif">REROUTING ACCEPT [739:156633]
<IMG SRC="images/forum/icons/icon_razz.gif">OSTROUTING ACCEPT [3:180]
<IMG SRC="images/forum/icons/icon_eek.gif">UTPUT ACCEPT [3:180]
-A POSTROUTING -o eth1 -j MASQUERADE
-A PREROUTING -d 200.217.161.114 -p tcp -m tcp --dport 25 -j DNAT --to-destination 90.0.0.4
-A PREROUTING -d 200.217.161.114 -p tcp -m tcp --dport 110 -j DNAT --to-destination 90.0.0.4
-A PREROUTING -d 200.217.161.114 -p tcp -m tcp --dport 143 -j DNAT --to-destination 90.0.0.4
COMMIT
# Completed on Mon Mar 24 13:52:02 2003
O detalhe maior é que a politica do INPUT esta em DROP, desse jeito ninguem navega, nem localmente nem pela rede utilizando o squid. Mas quando eu mudo a politica pra ACCEPT, todos navegam.
No arquivo rc.local coloquei as seguintes linhas:
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
iptables-restore < /etc/firewall
Alguém pode me ajudar???
-
Regras do Firewall
o que notei q vc fechou portas aberta e isso implica de navegar... e usar alguns recurso..
-
Regras do Firewall
Então eu devo abrir as portas 80 e 443?
-
Regras do Firewall
fera faça o seguinte, proiba a porta 80 e no squid libere a 3128 q da certo, assim funciona por aqui.
-
Regras do Firewall
fera faça o seguinte, proiba a porta 80 e no squid libere a 3128 q da certo, assim funciona por aqui.
-
Regras do Firewall
Olha, voce deveria abrir a porta 80 para trafego e se voce quiser usar squid abrir a porta 3128 para rede interna.
e voce teria tambem que relacionar as conexoes algo do tipo
iptables -A forward -m --state RELATED,ESTABLHISED -j ACCEPT
algo desse tipo... <IMG SRC="images/forum/icons/icon_smile.gif">
-
Regras do Firewall
Valeu galera, vou testar aqui!!!