Boa tarde pessoal, bom sou muito novo no mundo linux,
li bastante coisa, e pelo que vi o firewall segue uma hierarquia,
alguém pode dar uma olhada no meu firewall e por em ordem
essa "bagunça" ?
estou tendo alguns problemas, e creio que possa ser a ordem que os
scripts estão dispostos... bom fico no aguardo urgente de uma resposta... vlwwww
Segue abaixo:
#############################
# eth1 - Placa de Internet #
# eth2 - Placa de Rede Local #
#############################
# COMPARTILHAMENTO DA CONEXÃO DE INTERNET
modprobe iptable_nat
modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# LIBERAR CONEXÕES DE ENVIO E RECEBIMENTO DO PROGRAMA PTA DA ANS (AGÊNCIA NACIONAL DE SAÚDE)
iptables -I FORWARD -p tcp --dport 21 -d receptor.ans.gov.br -j ACCEPT
iptables -I FORWARD -p tcp --dport 80 -d receptor.ans.gov.br -j ACCEPT
iptables -I FORWARD -p tcp --dport 20001:20005 -s receptor.ans.gov.br -j ACCEPT
iptables -I FORWARD -p tcp --dport 20000:20019 -d receptor.ans.gov.br -j ACCEPT
iptables -I FORWARD -p tcp -s receptor.ans.gov.br -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -I PREROUTING -d receptor.ans.gov.br -j ACCEPT
iptables -t nat -I PREROUTING -s receptor.ans.gov.br -j ACCEPT
iptables -A INPUT -i eth2 -p udp -s receptor.ans.gov.br -j ACCEPT
iptables -A INPUT -i eth1 -p udp -s receptor.ans.gov.br -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 20001:20019 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 20001:20019 -j ACCEPT
# IP'S LIBERADOS PARA USO DO MSN
iptables -A FORWARD -s 192.168.0.234 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.234 -d loginnet.passport.com -j ACCEPT
# IP'S BLOQUEADOS PARA USO DO MSN (REDE LOCAL)
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.com -j REJECT
# PARA ACESSAR A CONECTIVIDADE SOCIAL SEM PASSAR PELO PROXY
caixa=$(nslookup -sil cmt.caixa.gov.br | grep -v \# |grep Address |awk '{print $2}' )
# REDIRECIONAMENTO DAS PORTAS 80 PARA O SQUID NA PORTA 3128 COM EXCESSÃO DA CONECTIVIDADE SOCIAL
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 ! -d $caixa/20 --dport 80 -j REDIRECT --to-ports 3128
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
# LIBERA PORTAS PARA AGSI
iptables -A INPUT -i eth1 -s 189.19.13.28 -p tcp --dport 1433 -j ACCEPT
iptables -A INPUT -i eth1 -s 189.19.13.28 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -s 189.19.13.28 -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -i eth1 -s 189.19.13.28 -p udp --dport 1433 -j ACCEPT
iptables -A INPUT -i eth1 -s 189.19.13.28 -p udp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -s 189.19.13.28 -p udp --dport 3306 -j ACCEPT
# LIBERA REPASSE DA CONEXÃO DA AGSI
iptables -A FORWARD -i eth1 -s 189.19.13.28 -j ACCEPT
# REDIRECIONA OQUE ENTRA NA PORTA 1433 PARA O SERVIDOR BALBINA
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 1433 -j DNAT --to 192.168.0.246
iptables -t nat -A PREROUTING -p udp -i eth1 --dport 1433 -j DNAT --to 192.168.0.246
# REDIRECIONA OQUE ENTRA NA PORTA 8080 PARA O SERVIDOR WEB APLICATIVO
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 8080 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -p udp -i eth1 --dport 8080 -j DNAT --to 192.168.0.2
# BLOQUEIA PINGS E PROTEGE CONTRA IP SPOOFING E PACOTES INVÁLIDOS
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
# ABRE PARA A INTERFACE DE LOOPBACK E PARA INTERFACE DE REDE LOCAL
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth2 -j ACCEPT
# ABRE AS PORTAS ESPECIFICADAS
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# BLOQUEIA AS DEMAIS CONEXÕES, DEIXANDO PASSAR APENAS PACOTES DE RESPOSTA
iptables -A INPUT -p tcp --syn -j DROP