+ Responder ao Tópico



  1. Olá pessoal!
    Estou tendo problemas no firewall, bloqueia tudo usado politca drop, desbloqueada web, ssh, etc, mas o meu problema está no outlook, tudo funciona com deveria, apenas no outlook que não esta enviando e recebendo emails.
    Alguém tem como me ajudar?
    Segue abaixo o firewall.

    #!/bin/bash
    echo
    echo "=========================================="
    echo "| :: SETTING IPTABLES'S CONFIGURATION :: |"
    echo "=========================================="
    ### Passo 1: Limpando as regras ###
    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD
    echo "Cleaning all rules .................[ OK ]"
    # Definindo a Politica Default das Cadeias
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    echo "Setting default rules ..............[ OK ]"
    ### Passo 2: Desabilitar o trafego IP entre as placas de rede ###
    echo "0" > /proc/sys/net/ipv4/ip_forward
    echo "Setting ip_forward: OFF ............[ OK ]"
    # Configurando a Protecao anti-spoofing
    for spoofing in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo "1" > $spoofing
    done
    echo "Setting anti-spoofing protection ...[ OK ]"
    # Impedimos que um atacante possa maliciosamente alterar alguma rota
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
    echo "Setting anti-redirects .............[ OK ]"
    # Utilizado em diversos ataques, isso possibilita que o atacante determine o "caminho" que seu
    # pacote vai percorrer (roteadores) ate seu destino. Junto com spoof, isso se torna muito perigoso.
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
    echo "Setting anti-source_route ..........[ OK ]"
    # Protecao contra responses bogus
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    echo "Setting anti-bugus_response ........[ OK ]"
    # Protecao contra ataques de syn flood (inicio da conexao TCP). Tenta conter ataques de DoS.
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    echo "Setting anti-synflood protection ...[ OK ]"
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
    ### Passo 3: Carregando os modulos do iptables ###
    modprobe ip_tables
    modprobe iptable_filter
    modprobe iptable_mangle
    modprobe iptable_nat
    modprobe ipt_MASQUERADE
    echo "Loading iptables's modules .........[ OK ]"
    ### Passo 4: Agora, vamos definir o que pode passar e o que nao ###
    ####################
    # Cadeia de Entrada
    # LOCALHOST - ACEITA TODOS OS PACOTES
    iptables -A INPUT -i lo -j ACCEPT
    # PORTA 80 (WEB) - ACEITA PARA A REDE LOCAL
    iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
    # PORTA 22 (SQUID) - ACEITA PARA A REDE LOCAL
    iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
    # PORTA 3389 (TS) - ACEITA PARA A REDE LOCAL
    iptables -A INPUT -i eth1 -p tcp --dport 3389 -j ACCEPT
    # No iptables, temos de dizer quais sockets sao validos em uma conexao
    iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
    echo "Setting rules for INPUT ............[ OK ]"
    ################################
    # Cadeia de Reenvio (FORWARD).
    # Primeiro, ativar o mascaramento (nat).
    iptables -t nat -F POSTROUTING
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo "Activating IP Mask .................[ OK ]"
    # Agora dizemos quem e o que podem acessar externamente
    # No iptables, o controle do acesso a rede externa e feito na cadeia "FORWARD"
    # COMPUTADOR DO CHEFE - ACEITA TODOS OS PACOTES
    #iptables -A FORWARD -s 192.168.3.50 -j ACCEPT

    # PORTA 3128 (SQUID) - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 3128 -j ACCEPT
    # Redireciona porta 80 para 3128 (SQUID)
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    # Redireciona porta 443 para 3128 (SQUID)
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
    # PORTA 53 (DNS) - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT
    # PORTA 110 (POP3) - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -i eth1 -p udp --dport 110 -j ACCEPT
    # PORTA 25 (SMTP) - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -i eth1 -p udp --dport 25 -j ACCEPT
    iptables -A FORWARD -p udp -s 192.168.0.0/24 -d 200.175.5.139 --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp -s 192.168.0.0/24 -d 200.175.89.139 --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp -s 200.175.5.139 --sport 53 -d 192.168.0.0/24 -j ACCEPT
    iptables -A FORWARD -p udp -s 200.175.89.139 --sport 53 -d 192.168.0.0/24 -j ACCEPT
    # PORTA 443 (IMAP) - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT
    # PORTA 995-587 (GMAIL) - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 995 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 587 -j ACCEPT
    # PORTA 1723 (VPN) - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 1723 -j ACCEPT
    # PORTA 901-137:139 - ACEITA PARA REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 901 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 137:139 -j ACCEPT
    # PORTA 81 (JNIMAGE) - ACEITA PARA REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 81 -j ACCEPT
    # PORTA 21 (FTP) - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 21 -j ACCEPT
    # No iptables, temos de dizer quais sockets sao validos em uma conexao
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
    echo "Setting rules for FORWARD ..........[ OK ]"
    # Finalmente: Habilitando o trafego IP, entre as Interfaces de rede
    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "Setting ip_forward: ON .............[ OK ]"
    echo "Finished!! Firewall: OK! ...........[ OK ]"
    echo "=========================================="


    obrigado!

  2. Amigo,

    pelo que andei lendo seu script... add as portas 25, 110, (se a conexao de e-mail sua for ig ou gmail tem q pegar tambem as portas seguras, se eu nao me engano eh 445 e 995, nao tenho certeza) pela regra INPUT e ACCEPT (nas portas).

    Acredito que isso ja resolva, teste e depois post novamente, para que o forum continue a ser o local para sanarmos duvidas e conseguirmos respostas para nossos problemas .


    abracos


    Thiago Ferreira
    Xeonsoft Consultoria
    xeonsoft@hotmail.com



  3. Citação Postado originalmente por gAsU Ver Post
    Amigo,

    pelo que andei lendo seu script... add as portas 25, 110, (se a conexao de e-mail sua for ig ou gmail tem q pegar tambem as portas seguras, se eu nao me engano eh 445 e 995, nao tenho certeza) pela regra INPUT e ACCEPT (nas portas).

    Acredito que isso ja resolva, teste e depois post novamente, para que o forum continue a ser o local para sanarmos duvidas e conseguirmos respostas para nossos problemas .


    abracos


    Thiago Ferreira
    Xeonsoft Consultoria
    xeonsoft@hotmail.com
    Acredito que essas portas devem ser adicionadas na chain FORWARD, ao invés de INPUT, uma vez que os pacotes não tem como destino o Firewall.

    O Site frozentux.net é sempre uma ótima fonte pra pesquisa sobre iptables:
    http://iptables-tutorial.frozentux.n...s_traverse.jpg






Tópicos Similares

  1. problemas no Firewall
    Por renatokamikaze no fórum Redes
    Respostas: 5
    Último Post: 21-09-2010, 14:47
  2. Problemas no firewall
    Por maxmelo no fórum Redes
    Respostas: 11
    Último Post: 21-05-2007, 12:28
  3. Problemas no Firewall
    Por maxmelo no fórum Redes
    Respostas: 9
    Último Post: 15-05-2007, 21:25
  4. LowID no XMULE, problemas com Firewall
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 27-10-2004, 11:29
  5. Problemas no Squid com firewall
    Por Dick_Vigarista no fórum Servidores de Rede
    Respostas: 4
    Último Post: 03-11-2003, 15:09

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L