Postado originalmente por
meiolouco
Fala aí Doug.
Quanto a essa regra:
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
ela vai dropar todos os pacotes de syncronismo e de aceite (ack) e por estar numa chain FORWARD, vc provavelmente não acessará a internet e nem pingará o host.
Ao invés de barrar ou liberar as flags, (o controle por flag pode levar a perda de pacote), nega tudo e depois autorize apenas os serviços necessários.
Assim seu arquivo fica pequeno e com poucas regras para serem administradas.
Se vc quiser posso te mandar meu arquivo rc.firewall que fiz, aparentemente minha situação é bem próxima da realidade que vc encontra aí.
[]´s
½louco
pode mandar veio, será bem vindo!!!!
vc utiliza que distribuição?
cara outra coisa q ia te perguntar vc já mexeu com o coyote o firewall dele e redirecionamento , irei passar o meu aki:
iptables -F
iptables -t nat -F
modprobe ip_tables
modprobe iptable_nat
#PROTEÇÃO CONTRA HACKERS
iptables -A FORWARD -m unclean -j DROP
# ACESSO AO SSH
iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
# NEGANDO ACESSO EXTERNO AO SAMBA
iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 139 -j ACCEPT
iptables -A INPUT -p udp --source 192.168.1.0/255.255.255.0 --dport 138 -j ACCEPT
iptables -A INPUT -p udp --source 192.168.1.0/255.255.255.0 --dport 137 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 901 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j DROP
iptables -A INPUT -p tcp --dport 901 -j DROP
# BLOQUEIO ICQ
iptables -A FORWARD -p TCP --dport 5190 -j DROP
iptables -A FORWARD -d login.icq.com -j DROP
# BLOQUEIO MSN
iptables -A FORWARD -p TCP --dport 1863 -j DROP
# SQUID
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.2.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.3.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.4.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.5.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.6.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.7.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 10.0.0.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j DROP
# SERVIDOR APACHE
iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j DROP
# BLOQUEANDO OUTRAS PORTAS
iptables -A INPUT -p udp --dport 138 -j DROP
iptables -A INPUT -p udp --dport 137 -j DROP
iptables -A INPUT -p udp --dport 749 -j DROP
iptables -A INPUT -p udp --dport 1900 -j DROP
#PROTEÇÃO CONTRA HACKERS
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
# RESPONDER E NEGAR A PINGS
iptables -A INPUT -s 192.168.1.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.2.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.3.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.4.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.5.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.6.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.7.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 10.0.0.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
#iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
iptables -A INPUT -p icmp -j DROP
# PROXY TRANSPARENTE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
# NAT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
# REDIRECIONAMENTO DE PORTA DA CONEXÃO
iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 3389 -j DNAT --to 192.168.1.3:3389
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.3 --sport 3389 -j SNAT --to 200.xxx.xxx.xxx:3389
iptables -A INPUT -p tcp --source 200.xxx.xxx.xxx/255.255.255.255 --dport 3389 -j ACCEPT
iptables -A INPUT -p tcp --dport 3389 -j DROP
#INTERFACE DE LOOPBACK
iptables -A INPUT -s 127.0.0.1/255.0.0.0 -j ACCEPT
# Rede local e EXTERNO
iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.3.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.2.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.4.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.5.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.6.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.7.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT
#iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT
#BLOQUEIA O RESTANTE
iptables -A INPUT -p tcp --syn -j DROP
falou meio...
até mais