Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Eu sempre coloca as regras e depois aplico as politicas, mas porque dropar a polica padrão?
    Não seria bom deixar em ACCEPT, fazer uns testes e depois aplicar um politica padrão?

    Além do mais em termos de acesso a sites o REJECT OU DROP não faz diferença.
    Agora em termo de SSH por exemplo o REJECT manda um resposta e DROP fica calado.

    Aqui eu consigo barrar tudo que quero e o que tem que funcionar funciona...

  2. A politica padrão DROP é bom quando tudo tem que ser barrado e você não via navegar em nada.
    O problema que ao colocar por exemplo.
    iptables -A OUTPUT -p all -d Meebo - Connecting AIM, MSN, Yahoo, Facebook, MySpace messengers -j ACCEPT >>> simplezmente o iptables não vai encontrar o endereço pois o iptables precisa alcançar o host para endereçá-lo. Talves configurando as tabelas e depois usando a politica desejada funcione. Aqui tentei do seu jeito e não navegou. Mas mantive a politica como ACCEPT e só no final dropei tudo que não estava nas regras acima e funcionou



  3. Onde está o mascaramento da Interface?!?!?!

    Procurei e não ví... a menos que esteja enganado!

    mtec

  4. Eu faço o mascaramento em separado em minha rede.
    E a questão da política padrão eu entendi, só porque sempre ativam a política padrão depois de
    ter feito todas a regras. Ou pelo menos fazem como este script abaixo.

    Estou interessado em seu trabalho, e sei que vou aprender coisas novas. Sabe que acabamos
    por ficar em uma coisa só e isso não é bom, pois bugs podem estar presentes e temos que estar sempre atualizados.

    Dê uma olhada neste script abaixo e comente o que você achou.
    Desde já, obrigado pela atenção.

    Vai um firewall que achei legal por ter uma boa estrutura e fácil de fazer adaptações.

    #!/bin/bash
    #
    # Script criado por Igor Garcia


    # Local para o executavel do IPTables
    IPT=`which iptables`;

    # Interface da rede INTERNA
    IF_INTERNA="eth0";

    # Interface da rede EXTERNA
    IF_EXTERNA="eth1";

    # Definição da rede interna
    REDE_INTERNA="192.168.1.0/24"


    fw_start()
    {
    #ativa o roteamento dinamico
    echo 1 > /proc/sys/net/ipv4/ip_forward
    echo 1 > /proc/sys/net/ipv4/ip_dynaddr


    # ================ POLITICAS PADRAO ===================
    $IPT -t filter -P INPUT DROP
    $IPT -t filter -P FORWARD DROP
    $IPT -t filter -P OUTPUT ACCEPT
    $IPT -t nat -P PREROUTING ACCEPT
    $IPT -t nat -P POSTROUTING ACCEPT
    $IPT -t nat -P OUTPUT ACCEPT
    $IPT -t mangle -P PREROUTING ACCEPT
    $IPT -t mangle -P POSTROUTING ACCEPT
    $IPT -t mangle -P OUTPUT ACCEPT
    $IPT -t mangle -P INPUT ACCEPT
    $IPT -t mangle -P FORWARD ACCEPT

    # Cria chain com regras de segurança
    $IPT -N BLOCK
    $IPT -A BLOCK -p icmp --icmp-type echo-request -j DROP
    $IPT -A BLOCK -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    $IPT -A BLOCK -p tcp -m limit --limit 1/s -j ACCEPT
    $IPT -A BLOCK -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 1/s -j ACCEPT
    $IPT -A BLOCK -m unclean -j DROP
    $IPT -A BLOCK -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPT -A BLOCK -j LOG --log-prefix "FW_ALERT: "
    $IPT -A BLOCK -j DROP

    # Muda a prioridade dos pacotes (Type Of Service) para agilizar as coisas
    $IPT -t mangle -A OUTPUT -o $IF_EXTERNA -p tcp -m multiport --dports 21,22,80,6667 -j TOS --set-tos 0x10

    # Libera todo o trafego local
    $IPT -t filter -A INPUT -i lo -j ACCEPT
    $IPT -t filter -A INPUT -i $IF_INTERNA -j ACCEPT
    $IPT -t filter -A FORWARD -i $IF_INTERNA -j ACCEPT
    # Libera só FTP, SSH e WEB
    $IPT -t filter -A INPUT -i $IF_EXTERNA -p tcp -m multiport --dports 21,22,80,6667 -j ACCEPT

    # Libera a conexao para a rede interna
    $IPT -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

    # Cria um NAT para o SSH de uma maquina da rede interna
    $IPT -t filter -A FORWARD -p tcp -d 0/0 --dport 2222 -j ACCEPT
    $IPT -t nat -A PREROUTING -p tcp -d 0/0 --dport 2222 -j DNAT --to 192.168.1.2:22

    # Regras para evitar packet flood
    $IPT -A INPUT -j BLOCK
    $IPT -A FORWARD -j BLOCK
    }

    fw_stop()
    {
    $IPT -t filter -P INPUT ACCEPT
    $IPT -t filter -P FORWARD ACCEPT
    $IPT -t filter -P OUTPUT ACCEPT
    $IPT -t nat -P PREROUTING ACCEPT
    $IPT -t nat -P POSTROUTING ACCEPT
    $IPT -t nat -P OUTPUT ACCEPT
    $IPT -t mangle -P PREROUTING ACCEPT
    $IPT -t mangle -P POSTROUTING ACCEPT
    $IPT -t mangle -P OUTPUT ACCEPT
    $IPT -t mangle -P INPUT ACCEPT
    $IPT -t mangle -P FORWARD ACCEPT
    $IPT -t filter -F
    $IPT -t nat -F
    $IPT -t mangle -F
    $IPT -t filter -X
    $IPT -t nat -X
    $IPT -t mangle -X
    $IPT -t filter -Z
    $IPT -t nat -Z
    $IPT -t mangle -Z
    }

    fw_usage()
    {
    echo
    echo "$0 (start | stop | restart | clear)"
    echo
    echo "start - Ativa o firewall"
    echo "stop - Desativa o firewall"
    echo "restart - Reativa o firewall"
    echo "clear - Limpa os contatores"
    }

    fw_clear()
    {
    $IPT -t filter -Z
    $IPT -t nat -Z
    $IPT -t mangle -Z
    }

    case $1 in

    start)
    fw_start;
    ;;

    stop)
    fw_stop;
    ;;

    restart)
    fw_stop;
    fw_start;
    ;;

    clear)
    fw_clear;
    ;;
    *)
    fw_usage;
    exit;

    ;;

    esac



  5. Meu masquerade exemplo

    modprobe ip_tables
    modprobe iptable_nat

    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptable -t nat -A POSTROUTING -o eth0 -j MASQUERADE






Tópicos Similares

  1. Respostas: 4
    Último Post: 21-03-2009, 23:23
  2. Conectiva 8.0 conecta, mais nao navega..?
    Por no fórum Servidores de Rede
    Respostas: 2
    Último Post: 22-08-2003, 12:55
  3. squid nao navega
    Por rlucatto no fórum Servidores de Rede
    Respostas: 1
    Último Post: 06-08-2003, 08:25
  4. local host nao navega
    Por PcGuy no fórum Servidores de Rede
    Respostas: 11
    Último Post: 26-03-2003, 11:09
  5. Seu Speedy é PPPOE ? Não conecta? Não navega??
    Por zerocoolll no fórum Servidores de Rede
    Respostas: 0
    Último Post: 24-03-2003, 09:09

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L