+ Responder ao Tópico



  1. #1

    Red face Alguém pôe em ordem meu script? (Resolvido)

    Boa tarde pessoal, bom sou muito novo no mundo linux,

    li bastante coisa, e pelo que vi o firewall segue uma hierarquia,

    alguém pode dar uma olhada no meu firewall e por em ordem

    essa "bagunça" ?

    estou tendo alguns problemas, e creio que possa ser a ordem que os

    scripts estão dispostos... bom fico no aguardo urgente de uma resposta... vlwwww


    Segue abaixo:

    #############################
    # eth1 - Placa de Internet #
    # eth2 - Placa de Rede Local #
    #############################

    # COMPARTILHAMENTO DA CONEXÃO DE INTERNET
    modprobe iptable_nat
    modprobe ip_nat_ftp
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    # LIBERAR CONEXÕES DE ENVIO E RECEBIMENTO DO PROGRAMA PTA DA ANS (AGÊNCIA NACIONAL DE SAÚDE)
    iptables -I FORWARD -p tcp --dport 21 -d receptor.ans.gov.br -j ACCEPT
    iptables -I FORWARD -p tcp --dport 80 -d receptor.ans.gov.br -j ACCEPT
    iptables -I FORWARD -p tcp --dport 20001:20005 -s receptor.ans.gov.br -j ACCEPT
    iptables -I FORWARD -p tcp --dport 20000:20019 -d receptor.ans.gov.br -j ACCEPT
    iptables -I FORWARD -p tcp -s receptor.ans.gov.br -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t nat -I PREROUTING -d receptor.ans.gov.br -j ACCEPT
    iptables -t nat -I PREROUTING -s receptor.ans.gov.br -j ACCEPT
    iptables -A INPUT -i eth2 -p udp -s receptor.ans.gov.br -j ACCEPT
    iptables -A INPUT -i eth1 -p udp -s receptor.ans.gov.br -j ACCEPT
    iptables -A OUTPUT -p tcp --destination-port 20001:20019 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 20001:20019 -j ACCEPT

    # IP'S LIBERADOS PARA USO DO MSN
    iptables -A FORWARD -s 192.168.0.234 -p tcp --dport 1863 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.234 -d loginnet.passport.com -j ACCEPT

    # IP'S BLOQUEADOS PARA USO DO MSN (REDE LOCAL)
    iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
    iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.com -j REJECT

    # PARA ACESSAR A CONECTIVIDADE SOCIAL SEM PASSAR PELO PROXY
    caixa=$(nslookup -sil cmt.caixa.gov.br | grep -v \# |grep Address |awk '{print $2}' )

    # REDIRECIONAMENTO DAS PORTAS 80 PARA O SQUID NA PORTA 3128 COM EXCESSÃO DA CONECTIVIDADE SOCIAL
    iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 ! -d $caixa/20 --dport 80 -j REDIRECT --to-ports 3128
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

    # LIBERA PORTAS PARA AGSI
    iptables -A INPUT -i eth1 -s 189.19.13.28 -p tcp --dport 1433 -j ACCEPT
    iptables -A INPUT -i eth1 -s 189.19.13.28 -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -i eth1 -s 189.19.13.28 -p tcp --dport 3306 -j ACCEPT

    iptables -A INPUT -i eth1 -s 189.19.13.28 -p udp --dport 1433 -j ACCEPT
    iptables -A INPUT -i eth1 -s 189.19.13.28 -p udp --dport 22 -j ACCEPT
    iptables -A INPUT -i eth1 -s 189.19.13.28 -p udp --dport 3306 -j ACCEPT

    # LIBERA REPASSE DA CONEXÃO DA AGSI
    iptables -A FORWARD -i eth1 -s 189.19.13.28 -j ACCEPT

    # REDIRECIONA OQUE ENTRA NA PORTA 1433 PARA O SERVIDOR BALBINA
    iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 1433 -j DNAT --to 192.168.0.246
    iptables -t nat -A PREROUTING -p udp -i eth1 --dport 1433 -j DNAT --to 192.168.0.246

    # REDIRECIONA OQUE ENTRA NA PORTA 8080 PARA O SERVIDOR WEB APLICATIVO
    iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 8080 -j DNAT --to 192.168.0.2
    iptables -t nat -A PREROUTING -p udp -i eth1 --dport 8080 -j DNAT --to 192.168.0.2

    # BLOQUEIA PINGS E PROTEGE CONTRA IP SPOOFING E PACOTES INVÁLIDOS
    iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
    echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
    iptables -A INPUT -m state --state INVALID -j DROP

    # ABRE PARA A INTERFACE DE LOOPBACK E PARA INTERFACE DE REDE LOCAL
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -i eth2 -j ACCEPT

    # ABRE AS PORTAS ESPECIFICADAS
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    # BLOQUEIA AS DEMAIS CONEXÕES, DEIXANDO PASSAR APENAS PACOTES DE RESPOSTA
    iptables -A INPUT -p tcp --syn -j DROP
    Última edição por faelzinho; 07-01-2009 às 08:43. Razão: esqueci do script

  2. #2

    Padrão

    Qual é a ordem que você precisa?

    Ou melhor...

    Quais é a hierarquia de regras que você precisa utilizar?


    Exemplo:

    Solicitação 8080 »» 192.168.0.52:8080
    Solicitação 3389 »» 192.168.0.250:3389
    Solicitação 2222 »» 192.168.0.32:22
    Solicitação 3362 »» 192.168.1.50:3362
    Solicitação 65412 »» NAT
    Solicitação 5214 »» NAT
    Solicitação 21 »» Negado
    Restante das solicitações: 192.168.0.1:3128

    abracos



  3. #3

    Thumbs down

    entaum ñ entendi muito bem, eu só sei que o firewall segue uma hierarquia

    eu to começando agora nessa parte do linux, eu acho que do jeito que as regras

    estão elas ñ estão na ordem certa, to meio perdido se é q vc me entende... no

    começo essas coisas parecem um bixo de sete cabeças, fico no aguardo... vlw

  4. #4

    Thumbs up

    Obrigado pela ajuda man,

    deu td certo aki agora...

    vlwww




  5. #5

    Padrão

    Amigos é o seguinte, eu tenho uma lan house e quero usar um proxy cache, tenho 12 makinas, quero usar no Brazilfw 2.31.10 e squid 2.7 stable 3, gostaria de um squid.conf pronto. Uso uma makina amd sempron 1.2 756 de ram e hd 40 gb.
    Tenho o interesse de bloquear arquivos de extenções mp3, amv, 3gp, rmvb, quero usar proxy transparente e fazer cahe de arquivos e paginas da net.
    Quero usar na faixa de 192.168.0.1 o qual será o gatway darede.
    Se alguem poder me ajudar ficarei muto grato e poderei gratifica-lo a cobinar.
    Meu msn é [email protected]
    Obrigado....