Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. o fato da sua rede parar com a politica DROP indica que suas regras seguintes estão incorretas/inadequadas. Implica que vc tem que analizar QUAIS os serviços/protocolos tem que ser liberados (estou me repetindo, pelo visto, mas é que vc não entendeu ainda o conceito). Tenho várias redes funcionando desse modo, o conceito é:

    BLOQUEIA-SE TUDO
    libera-se portas e serviços que são necessários.

    alguns trechos de firewall que tenho funcionando:
    #!/bin/bash

    start(){
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
    [...] até aqui vc vê que não estou mentindo pra vc

    ## Servidores Windows

    iptables -N Dmz

    iptables -A Dmz -p tcp -d 128.0.11.2 --dport 82 -j ACCEPT
    [...] observe que há um accept para maquina/porta

    ## Msn liberados
    iptables -N Libera-Msn
    iptables -A Libera-Msn -p tcp -s 128.0.1.1 -d 207.46.0.0/16 --dport 1863 \
    -j ACCEPT
    iptables -A Libera-Msn -p tcp -s 128.0.1.1 -d 65.52.0.0/14 --dport 443 \
    -j ACCEPT
    [...]
    nesses casos, foram criadas 'chains' especificas mas não é imprescindivel.

    sugiro analisar os vários exemplos que vc pode encontrar aqui mesmo no under e no VOL

  2. achei um script bem interessante no vol (ele dropa praticamente tudo, e libera trafego para a rede interna, pelo que eu entendi), mais tarde vou testa-lo e digo aqui se funcionou!

    e referente ao squid.conf, o que acharam?
    tem algo errado ou ta bom ele?



  3. consegui, agora meu firewal esta com drop (dei uma olhada em 3 outras regras, acrescentei algumas regras de seguranca, e fiz alguns comentarios) da uma olhada se ficou bom:

    ############################################################
    # Andrio Jasper #
    # Rede Interna= eth0 (172.167.0.0)
    # Internet= eth1

    # Garantimos que a placa de rede, dhcp e squid ira iniciar!
    ifup eth0
    ifup eth1
    service dhcpd restart
    service squid start
    echo "Iniciando Interfaces de Rede...............................[ OK ]"

    # # carregando modulos
    modprobe iptable_nat
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    modprobe ipt_MASQUERADE
    modprobe ipt_MARK
    modprobe ipt_mark
    modprobe ipt_mac
    modprobe ipt_tos
    modprobe iptable_mangle
    echo "Carregando modulos.........................................[ OK ]"

    # # limpando regras
    iptables -F
    iptables -X
    iptables -Z
    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle
    echo "Limpando Regras............................................[ OK ]"

    # Definindo a Politica Default das Cadeias
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP
    echo "Alterando Politica Padrao..................................[ OK ]"

    # # Protecoes # # # #
    # 1> Protecao contra IP spoofing
    # 2> Protege contra synflood
    # 3> Protecao contra icmp Broadcasting
    # 4> Bloqueia tracerout
    # 5> Protecao contra Dos
    # 6> Protecao diversa contra portscanners, ping of death, ataque DOS, etc.
    echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    iptables -A INPUT -p udp --dport 33435:33525 -j DROP
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    iptables -A INPUT -m state --state INVALID -j DROP

    # Bloquear Back Orifice:
    iptables -A INPUT -p tcp --dport 31337 -j DROP
    iptables -A INPUT -p udp --dport 31337 -j DROP

    # Bloquear NetBus:
    iptables -A INPUT -p tcp --dport 12345:12346 -j DROP
    iptables -A INPUT -p udp --dport 12345:12346 -j DROP

    # Outras protecoes
    # Impedimos que um atacante possa maliciosamente alterar alguma rota, e
    # Impossibilita que o atacante determine o "caminho" que o pacote vai percorrer (roteadores) ate seu destino
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
    # # Fim Protecoes # # # #
    echo "Carregando Protecoes de Seguranca..........................[ OK ]"

    # o computador com o seguinte ip nao passara pelo proxy squid
    #iptables -t nat -A PREROUTING -i eth1 -s 172.167.0.13 -p tcp -m tcp -j ACCEPT

    # Todo o trafego que nao seja para conectividade social, Redireciona a porta 80 para 3128 (squid)
    iptables -t nat -A PREROUTING -s 172.167.0.0/24 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A PREROUTING -i 172.167.0.0/24 -p udp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128

    #Habilitando o trafego IP Entre as Placas de Rede
    #Roteamento no Kernel
    echo 1 > /proc/sys/net/ipv4/ip_forward
    echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
    echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp
    echo 1 > /proc/sys/net/ipv4/ip_dynaddr
    echo "Ativando Roteamento........................................[ OK ]"

    # # Agora, Iremos definir o que pode passar e o que nao pode
    # Tabela de Entrada. Esta Tabela, so vale para o proprio host
    # Qualquer pacote IP que venha do localhost, Ok.
    iptables -A INPUT -i lo -j ACCEPT

    # REDE INTERNA LIBERADA
    iptables -A INPUT -i eth1 -j ACCEPT

    #SSH
    iptables -A INPUT -p tcp --dport 2210 --syn -j ACCEPT

    # No iptables, temos de dizer quais sockets sao validos em uma conexao
    iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

    # # Tabela de Reenvio (FORWARD)
    # Primeiro, ativaremos o mascaramento (nat).
    iptables -t nat -F POSTROUTING
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    # Agora dizemos quem e o que podem acessar externamente
    # No iptables, o controle do acesso a rede externa e feito na cadeia "FORWARD"
    # REDE INTERNA LIBERADA
    iptables -A FORWARD -i eth0 -j ACCEPT

    # No iptables, temos de dizer quais sockets sao validos em uma conexao
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    # # Bandlimit
    bandlimit restart
    echo "Iniciando Bandlimit........................................[ OK ]"

    # # Fecha o resto
    #iptables -A INPUT -p tcp --syn -j DROP
    #iptables -A INPUT -j DROP
    #iptables -A FORWARD -j DROP
    ############################################################

    e agora, como ficou? tem alguma coisa que precisa ser alterada?


    ainda tou atras para saber sobre a vlan, como implementar, alguem ai poderia ajudar?
    na rede tem 90 usuarios (cabeados, edificio), faixa da rede 172.167.0.0
    como faria para separa-los atraves da vlan???






Tópicos Similares

  1. Ajuda com script de firewall no fedora
    Por pearljam no fórum Servidores de Rede
    Respostas: 3
    Último Post: 12-09-2007, 08:45
  2. Mquinas da rede sem internet mas com windowsUpdate
    Por flep no fórum Servidores de Rede
    Respostas: 3
    Último Post: 24-02-2006, 09:45
  3. Ajuda com script (bash)
    Por sarna no fórum Linguagens de Programação
    Respostas: 2
    Último Post: 08-03-2005, 21:42
  4. Ajuda com script para travar programa
    Por gamefe no fórum Linguagens de Programação
    Respostas: 1
    Último Post: 10-02-2005, 16:13
  5. ajuda com script
    Por dboom no fórum Servidores de Rede
    Respostas: 1
    Último Post: 01-02-2004, 22:13

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L