- iptables
+ Responder ao Tópico
-
iptables
Estou com um problema quero DROPar tudo no meu firewall , para depois abrir ! ! !
Primeira pergunta, tenho que dropar para depois aceitar ou ao contrario . . .
alguem tem ai uma configuração para que eu possa me bazear ???
<IMG SRC="images/forum/icons/icon27.gif">
-
-
iptables
me manda teu email, tenho um fire bem simples q vc pode usar. <IMG SRC="images/forum/icons/icon_wink.gif">
-
iptables
[email protected] <IMG SRC="images/forum/icons/icon_wink.gif">
-
iptables
Poderiam mandar o script pra mim tb? <IMG SRC="images/forum/icons/icon_biggrin.gif">
[email protected]
[]s Fly
-
iptables
-
iptables
dei uma olhada em seu firewall, ele é 10 o meu é bem simples, já o seu é bem completo, vou fazer algumas alterações para os meus clientes, valeu 1c3. <IMG SRC="images/forum/icons/icon_wink.gif">
-
iptables
ja enviei o email para os amigos, falou
-
iptables
Eu estou usando o seguinte
#!/bin/sh
#
# eth0 - rede interna
# eth1 - internet - ip valido
##### Ativamos o redirecionamento de pacotes (requerido para NAT) #####
echo "1" >/proc/sys/net/ipv4/ip_forward
# Limpa tudo
iptables -F
iptables -X
iptables -F -t nat
# Regras Basicas
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
# Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING DROP
# Protecao contra spoofing
iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
iptables -A INPUT -s 172.16.0.0/16 -i eth1 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j DROP
##### Proteção contra IP Spoofing #####
#for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
# echo 1 >$i
#done
# Criamos um chain que será usado para tratar o tráfego vindo da Internet
iptables -N eth1-input
# Aceita todo o tráfego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT
# Todo tráfego vindo da rede interna também é aceito
iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
# Conexões vindas da interface eth1 são tratadas pelo chain eth1-input
iptables -A INPUT -i eth1 -j eth1-input
# Qualquer outra conexão desconhecida é imediatamente derrubada
iptables -A INPUT -j LOG --log-prefix "FIREWALL - input: "
iptables -A INPUT -j DROP
# Chain FORWARD ####
# Permite redirecionamento de conexões entre as interfaces locais
# especificadas abaixo. Qualquer tráfego vindo/indo para outras
# interfaces será bloqueado neste passo
# --------------------------
# LIBERA IPs
iptables -A FORWARD -d 192.168.1.4 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.1.4 -i eth0 -o eth1 -j ACCEPT
# FTP
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 21 --dport 1022:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --sport 1022:65535 --dport 21 -j ACCEPT
# SMTP
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 25 --dport 1022:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --dport 25 -j ACCEPT
# DNS
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p udp --sport 53 --dport 1022:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p udp --dport 53 -j ACCEPT
# POP3
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 110 --dport 1022:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --dport 110 -j ACCEPT
# ICMP - Ping
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p icmp -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p icmp -j ACCEPT
# Bloqueia o restante da rede para outros servicos
iptables -A FORWARD -j LOG --log-prefix "FIREWALL - forward: "
iptables -A FORWARD -j DROP
# SSH client (22)
# ---------------
iptables -A OUTPUT -o eth1 -p tcp -s 200.230.22.123 --source-port 1022:65535 --destination-port 22 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp ! --syn --source-port 22 -d 200.230.22.123 --destination-port 1022:65535 -j ACCEPT
# Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação
iptables -A eth1-input -p icmp -m limit --limit 2/s -j ACCEPT
# A tentativa de acesso externo a estes serviços serão registrados no syslog
# do sistema e serão bloqueados pela última regra abaixo.
iptables -A eth1-input -p tcp --dport 21 -j LOG --log-prefix "FIREWALL - ftp: "
iptables -A eth1-input -p tcp --dport 25 -j LOG --log-prefix "FIREWALL - smtp: "
iptables -A eth1-input -p udp --dport 53 -j LOG --log-prefix "FIREWALL - dns: "
iptables -A eth1-input -p tcp --dport 110 -j LOG --log-prefix "FIREWALL - pop3: "
iptables -A eth1-input -p tcp --dport 113 -j LOG --log-prefix "FIREWALL - identd: "
iptables -A eth1-input -p udp --dport 111 -j LOG --log-prefix "FIREWALL - rpc: "
iptables -A eth1-input -p tcp --dport 111 -j LOG --log-prefix "FIREWALL - rpc: "
iptables -A eth1-input -p tcp --dport 137:139 -j LOG --log-prefix "FIREWALL - samba: "
iptables -A eth1-input -p udp --dport 137:139 -j LOG --log-prefix "FIREWALL - samba: "
# Bloqueia qualquer tentativa de nova conexão de fora para esta máquina
iptables -A eth1-input -m state --state ! ESTABLISHED,RELATED -j LOG --log-prefix "FIREWALL - eth1-in: "
iptables -A eth1-input -m state --state ! ESTABLISHED,RELATED -j DROP
# Qualquer outro tipo de tráfego é aceito
iptables -A eth1-input -j ACCEPT
##### Chain POSTROUTING #####
# Permite qualquer conexão vinda com destino a lo e rede local para eth0
iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j ACCEPT
# É feito masquerading dos outros serviços da rede interna indo para a interface
# eth1
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
# Qualquer outra origem de tráfego desconhecida indo para eth0 (conexões vindas
# de eth1) são bloqueadas aqui
# iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j LOG --log-prefix "FIREWALL - SNAT unknown: "
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j DROP
# Quando iniciamos uma conexão ppp, obtermos um endereço classe A (10.x.x.x) e após
# estabelecida a conexão real, este endereço é modificado. O tráfego indo para
# a interface ppp não deverá ser bloqueado. Os bloqueios serão feitos no
# chain INPUT da tabela filter
iptables -t nat -A POSTROUTING -o eth1 -j ACCEPT
# Registra e bloqueia qualquer outro tipo de tráfego desconhecido
# iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL - snat: "
iptables -t nat -A POSTROUTING -j DROP
# Carrega modulos de suporte a FTP
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ftp_masq
-
iptables
Caras é o seguinte não funciona , nada ! ! !
esse script que vc me passou é completo e muito logico tudo . . eu entendi tudo , ele drop tudo , e depois vai abrindo mais aqui não funciona , ,
por que ??????????? <IMG SRC="images/forum/icons/icon_mad.gif"> <IMG SRC="images/forum/icons/icon_mad.gif">
Ahhhhh , naum funciona ! ! ! <IMG SRC="images/forum/icons/icon_mad.gif">
-
iptables
se vc num falar o erro q ele da fica dificil pra te ajudar!!!!!!!
vc ativou o forward de pacotes???? vc carregou os modulos de nat??
-
iptables
Hey calma e conta o erro pra gente te ajudar.... <IMG SRC="images/forum/icons/icon_wink.gif">
-
iptables
eu executei o script do future max , claro substitui os ip_interno e ip_externo ! ! ! e naum funciona ! !
se eu tiro o DROP . . ou a politica de DROP do INPUT ele funciona normal . .
-
iptables
ah e o que significa isso é a unica coisa que eu naum sei
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
??? QhAt ? ? ?
-
iptables
É para estabelecer conexão direta com outros pcs seja de fora pro servidor ou de dentro pra fora.... se vc comentou essas linhas ou tirou elas é por isso que não funciona.... <IMG SRC="images/forum/icons/icon_frown.gif">
-
iptables
nao eu naum tirei essa regra so queria saber , . . o eu vou reinstalar essa maquina para ver o que acontece . .nunca vi acontecer isso, daqui a pouco falo com vcs . .
mais por enquanto
Obrigado ! ! ! <IMG SRC="images/forum/icons/icon_wink.gif">
-
iptables
futuremax ????
Para isso funcionar precisa estar instalado algo como dns ou algo assim porque aqui ele fica estavel uns 3 min. depois cai . . . fiz as regras de acordo como seu script mais so que da esses 3 min e cai . .
Qualquer ajuda eu agradeço ! ! !
-
iptables
Galera estou precisando de um script para liberar a internet para um grupo de clientes.
Tipo:
Tenho 3 laboratórios, quando um professor pede para tirar a internet de um deles para que haja aula sem que a utiliza, seja barrado no servidor, seria pro squid ou firewall?
Podem me dar uma luz????
-
iptables
Olá.. estive dando uma testada no primeiro script... bom.. ele até funcionou.. mas nao consegui pingar na máquina que tem este firewall.. e na parte de forward... nao consegui fazer com que minha rede interna alcançasse a internet..
Falow
-
iptables
e ai galera alguem pode me ajudar ! ! !
-----
Feliz Natal