+ Responder ao Tópico



  1. #1

    Question Problema com FIREWALL

    quando eu reinicio o linux o firewall sobe normal, mais um das liberações que fiz não subiu e se eu restarto o serviço fire ele sobe mais as outras portas não funciona.

    Os que estão em parenteses foi o que eu fiz hoje e no restart no serviço ele ativa mais os demais não

    e se eu restarto o linux o firewall sobe mais o liberação que criei hoje não sobe.

    segue aqui o rc.firewall

    # Custom firewall rules.
    # This file is executed by the firewall on stop/start/restart.

    # LIBERA TRÃEGO DA LAN PARA CX. FEDERAL NA PORTA 80 (IDA/ VOLTA)
    /sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 200.201.174.0/24 --dport 80 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp -d 192.168.0.0/24 -s 200.201.174.0/24 --dport 80 -j ACCEPT

    # LIBERA TRÃEGO DA LAN PARA CX. FEDERAL NA PORTA 2631 (IDA/ VOLTA)
    /sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 200.201.174.0/24 --dport 2631 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp -d 192.168.0.0/24 -s 200.201.174.0/24 --dport 2631 -j ACCEPT

    # LIBERA TRÃEGO DA LAN PARA CX. FEDERAL NA PORTA 80 (IDA/ VOLTA)
    /sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 200.201.174.0/24 --dport 80 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp -d 192.168.0.0/24 -s 200.201.174.0/24 --dport 80 -j ACCEPT

    # LIBERA TRÃEGO DA LAN PARA CX. FEDERAL NA PORTA 2631 (IDA/ VOLTA)
    /sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 200.201.174.0/24 --dport 2631 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp -d 192.168.0.0/24 -s 200.201.174.0/24 --dport 2631 -j ACCEPT

    # EXCLUE IP DA CX. FEDERAL DO PROXY TRANSPARENTE
    /sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -s 192.168.0.0/24 -d 200.201.174.0/24 --dport 80 -j RETURN
    /sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -d 192.168.0.0/24 -s 200.201.174.0/24 --dport 80 -j RETURN

    # REDIRECIONA TRÃEGO INTERNO PARA PROXY TRANSPARENTE
    /sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -s 192.168.0.0/24 -d ! 192.168.0.0/24 --dport 80 -j REDIRECT --to-port 3128
    /sbin/iptables -t nat -A PREROUTING -p udp -i eth1 -s 192.168.0.0/24 -d ! 192.168.0.0/24 --dport 80 -j REDIRECT --to-port 3128

    ##################################### Conectividade Social ###########################################################
    ########## Bloqueando Msn para toda rede #####################################
    echo "Bloqueio do MSN Messenger para Toda Rede"
    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p tcp --dport 1863 -j DROP
    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p tcp --dport 7001 -j DROP
    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p tcp --dport 1857 -j DROP
    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p tcp --dport 554 -j DROP
    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p udp --dport 554 -j DROP
    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p udp --dport 4662 -j DROP

    #iptables -t nat -I PREROUTING -p 47 -j DNAT --to 192.168.0.253
    #iptables -t nat -I PREROUTING -p tcp --dport 1723 -j DNAT --to 192.168.0.253
    #iptables -t nat -I PREROUTING -p udp --dport 1723 -j DNAT --to 192.168.0.253

    # Redirecionamento Microsiga
    iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p tcp --dport 1909 -j DNAT --to-destination 192.168.0.11
    iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 1909 -d 192.168.0.11 -j ACCEPT
    iptables -A FORWARD -d 0.0.0.0/0 -p tcp --sport 1909 -s 192.168.0.11 -j ACCEPT

    iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p tcp --dport 1024 -j DNAT --to-destination 192.168.0.10
    iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 1024 -d 192.168.0.10 -j ACCEPT
    iptables -A FORWARD -d 0.0.0.0/0 -p tcp --sport 1024 -s 192.168.0.10 -j ACCEPT

    iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.11
    iptables -A FORWARD -p tcp --dport 3389 -d 192.168.0.11 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 3389 -s 192.168.0.11 -j ACCEPT

    iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p tcp --dport 2024 -j DNAT --to-destination 192.168.0.11
    iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 2024 -d 192.168.0.11 -j ACCEPT
    iptables -A FORWARD -d 0.0.0.0/0 -p tcp --sport 2024 -s 192.168.0.11 -j ACCEPT

    # Redirecionar 1433 para maquina final 10
    iptables -t nat -A PREROUTING -d xxx.xx.xxx.xx -p tcp --dport 1433 -j DNAT --to 192.168.0.10:1433
    iptables -t nat -A POSTROUTING -d 192.168.0.10 -p tcp --dport 1433 -j SNAT --to xxx.xx.xxx.xx

    # Redirecionar 2024 para maquina final 11
    iptables -t nat -A PREROUTING -d xxx.xx.xxx.xx -p udp --dport 2024 -j DNAT --to 192.168.0.11:2024
    iptables -t nat -A POSTROUTING -d 192.168.0.11 -p udp --dport 2024 -j SNAT --to xxx.xx.xxx.xx

    iptables -I INPUT -p tcp --dport 22 -j ACCEPT
    iptables -I OUTPUT -p tcp --sport 22 -j ACCEPT

    # Redirecionamento FTP (criado hoje)
    iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p tcp --dport 21 -j DNAT --to-destination 192.168.0.253
    iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 21 -d 192.168.0.253 -j ACCEPT
    iptables -A FORWARD -d 0.0.0.0/0 -p tcp --sport 21 -s 192.168.0.253 -j ACCEPT

    # Redirecinar FTP para maquina final 253(Criado hoje)
    iptables -t nat -A PREROUTING -d xxx.xx.xxx.xx -p udp --dport 21 -j DNAT --to 192.168.0.21:21
    iptables -t nat -A POSTROUTING -d 192.168.0.253 -p udp --dport 21 -j SNAT --to xxx.xx.xxx.xx

    LLEVON="201.6.98.153 63.134.253.169 216.32.90.170 "
    for i in $LLEVON; do {
    iptables -I INPUT -s $i -j ACCEPT
    iptables -I FORWARD -s $i -j ACCEPT
    iptables -I FORWARD -d $i -j ACCEPT
    iptables -I OUTPUT -d $i -j ACCEPT
    }; done;

    Última edição por alexsuporte2008; 11-05-2008 às 15:44.

  2. #2

    Padrão

    cara suas regras stao totalmente sem nexo , é melhor vc estudar mais iptables



  3. #3
    Moderador Avatar de Bruno
    Ingresso
    Nov 2002
    Localização
    Guarapuava-PR
    Posts
    3.925
    Posts de Blog
    1

    Padrão

    ta qual é a regra que naum levanta ????

  4. #4

    Padrão

    Alex,

    Primeira coisa Organização e primordial, sem isso não se vai a lugar nenhum.

    Da uma olhada abaixo e entenda melhor o que estou dizendo:

    #!/bin/bash
    # Carregando módulos necessários e dando inicio ao firewall
    case "$1" in
    start)
    echo "Iniciando Firewall..."
    # depmod -a
    # modprobe ip_tables
    # modprobe iptable_nat
    # modprobe iptable_filter
    # modprobe ipt_MASQUERADE
    # modprobe ip_conntrack
    # modprobe ip_conntrack_ftp
    # modprobe ip_nat_ftp
    # modprobe ipt_mark
    # modprobe ipt_MARK
    # modprobe iptable_mangle
    # modprobe ipt_REJECT

    # Ativa Roteamento via kernel
    echo 1 > /proc/sys/net/ip_forward

    # Zerando as chains existentes
    iptables -F
    iptables -X
    iptables -F -t nat
    iptables -X-t nat

    # Definindo política padrão
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    # Permissões de acesso ao firewall
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # Abrindo algumas portas
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    # Mascarando a conexao
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    # Bloqueando POrtScanners
    iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
    iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
    iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
    iptables -A INPUT -p tcp --tcp-flags ALL FIN -j DROP
    iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
    iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
    iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

    ;;
    stop)
    echo “Parando Firewall:”
    iptables –F
    iptables –t nat –F

    ;;
    restart)
    $0 stop
    $0 start
    ;;
    status)
    iptables –L
    iptables –t nat –L
    ;;
    *)
    echo “Use: $0 {start|stop|restart|status}”
    exit 1
    ;;
    esac
    exit 0


    Abração

    Jean
    Última edição por gatoseco; 12-05-2008 às 20:26.



  5. #5

    Padrão

    o seco, vc quer bloquerar portscaner interno com destino externo?


    pois a chain forward é para esta utilização

    outra observação vc utilizou no final do firewall input -j drop e forward -j drop

    por que vc fez isso se vc definiu a politica padrao dos pacotes no inicio como drop, estas 2 linhas são desnecessarias
    Última edição por Pirigoso; 12-05-2008 às 20:00.

  6. #6

    Question

    Benatto obrigado pela sua atenção, veja so

    Ao iniciar o linux o serviço abaixo sobe também.

    echo "Bloqueio do MSN Messenger para Toda Rede"
    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p tcp --dport 1863 -j DROP

    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p tcp --dport 7001 -j DROP
    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p tcp --dport 1857 -j DROP
    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p tcp --dport 554 -j DROP
    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p udp --dport 554 -j DROP
    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p udp --dport 4662 -j DROP
    #iptables -t nat -I PREROUTING -p 47 -j DNAT --to 192.168.0.253
    #iptables -t nat -I PREROUTING -p tcp --dport 1723 -j DNAT --to 192.168.0.253
    #iptables -t nat -I PREROUTING -p udp --dport 1723 -j DNAT --to 192.168.0.253


    # Redirecionamento Microsiga
    iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p tcp --dport 1909 -j DNAT --to-destination 192.168.0.11
    iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 1909 -d 192.168.0.11 -j ACCEPT
    iptables -A FORWARD -d 0.0.0.0/0 -p tcp --sport 1909 -s 192.168.0.11 -j ACCEPT

    iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p tcp --dport 1024 -j DNAT --to-destination 192.168.0.10
    iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 1024 -d 192.168.0.10 -j ACCEPT
    iptables -A FORWARD -d 0.0.0.0/0 -p tcp --sport 1024 -s 192.168.0.10 -j ACCEPT

    iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.11
    iptables -A FORWARD -p tcp --dport 3389 -d 192.168.0.11 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 3389 -s 192.168.0.11 -j ACCEPT

    iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p tcp --dport 2024 -j DNAT --to-destination 192.168.0.11
    iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 2024 -d 192.168.0.11 -j ACCEPT
    iptables -A FORWARD -d 0.0.0.0/0 -p tcp --sport 2024 -s 192.168.0.11 -j ACCEPT


    # Redirecionar 1433 para maquina final 10
    iptables -t nat -A PREROUTING -d xxx.xx.xxx.xx -p tcp --dport 1433 -j DNAT --to 192.168.0.10:1433
    iptables -t nat -A POSTROUTING -d 192.168.0.10 -p tcp --dport 1433 -j SNAT --to xxx.xx.xxx.xx


    # Redirecionar 2024 para maquina final 11
    iptables -t nat -A PREROUTING -d xxx.xx.xxx.xx -p udp --dport 2024 -j DNAT --to 192.168.0.11:2024
    iptables -t nat -A POSTROUTING -d 192.168.0.11 -p udp --dport 2024 -j SNAT --to xxx.xx.xxx.xx

    iptables -I INPUT -p tcp --dport 22 -j ACCEPT
    iptables -I OUTPUT -p tcp --sport 22 -j ACCEPT


    E se eu com o linux ja ativo dar um service firewall restart este serviço abaixo sobe mais os de cimas não.

    # Redirecionamento FTP (criado hoje)
    iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p tcp --dport 21 -j DNAT --to-destination 192.168.0.253

    iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 21 -d 192.168.0.253 -j ACCEPT
    iptables -A FORWARD -d 0.0.0.0/0 -p tcp --sport 21 -s 192.168.0.253 -j ACCEPT
    # Redirecinar FTP para maquina final 253(Criado hoje)
    iptables -t nat -A PREROUTING -d xxx.xx.xxx.xx -p udp --dport 21 -j DNAT --to 192.168.0.21:21
    iptables -t nat -A POSTROUTING -d 192.168.0.253 -p udp --dport 21 -j SNAT --to xxx.xx.xxx.xx


    Veja bem não sei se é o mais correto da forma que algumas pessoas prefere este squid ja estava pronto eu estou acrescentando o ftp
    Peço ajuda de vcs mais experiente com este assunto.

    Abraço a todos.



  7. #7

    Padrão

    Perigoso,

    Obrigado pelas correções na verdade dei apenas exemplos de regras para que ele primeiro tivesse noção de organização, mas ja que você fez uma critica construtiva fiz as devidas alterações.

    Abração