+ Responder ao Tópico



  1. #1
    Visitante

    Padrão Dúvida com IpTables

    Ola pessoal da lista, empresa onde eu trabalho o pessoal está querendo mudar o servidor win 2000 para Linux, e eu que fiquei responsável por essa mudança.
    Ja configurei ele quase 100%, está faltando algumas coisas, uma delas é o compartilhamento IpTables com NAT

    eu estou usando assim
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    mas isso compartilha a speedy na rede inteira... eu gostaria que compartilhar apenas em 2 maquinas, ips 192.168.1.2 e .3


    Outra coisa... é que eu fui dando acesso ao que eu precisava..e fechei o que eu nao iria usar...
    única coisa que eu nao consegui liberar foi o email, eu liberei porta 25 de smpt e 110 de POP

    mas nos terminais quando eu tento enviar o email, o outlook fala que nao achou o dominio. ja tentei liberar varias portas mas nao achei nenhuma.]

    alguem tem alguma idéia??

    Obrigado

  2. #2
    Mr_Mind
    Visitante

    Padrão Dúvida com IpTables

    para o NAT de apenas aquelas duas maquinas:
    iptables -t nat -A POSTROUTING -s 192.168.1.2 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s 192.168.1.3 -j MASQUERADE

    agora em relaçao ao SMTP e POP podes postar aqui as regras com que fechas e abres?
    Toma em atenção que deves abrir as portas que queres..e so depois fechas tudo, pq se fechares tudo e so depois abrires ele quando fecha ignora logo as que estao em baixo!

    Um abraço <IMG SRC="images/forum/smilies/icon_biggrin.gif">

  3. #3
    pensador-ce
    Visitante

    Padrão Dúvida com IpTables

    aqui no nosso fire nos bloqueamos as portas e liberamos só para os endereços indicados:
    iptables -t nat -A POSTROUTING -s 192.168.45.0/24 -j MASQUERADE
    iptables -A FORWARD -s 192.168.45.0/24 -j ACCEPT
    iptables -A FORWARD -d 192.168.45.0/24 -j ACCEPT
    veja se seu arquivo /var/named/dominio.com.br esta configurado.
    pop IN CNAME mail.vicosadoceara.com.
    smtp IN CNAME mail.vicosadoceara.com.
    qualquer coisa tô no icq

  4. #4
    Visitante

    Padrão Dúvida com IpTables

    Eu abro antes de fechar, fechar eu fecho no final
    # POP3
    iptables -t filter -A INPUT -s 0/0 -d 192.168.1.4 -p tcp --dport 110:110 -j ACCEPT
    #SMTP
    iptables -t filter -A INPUT -s 0/0 -d 192.168.1.4 -p tcp --dport 25 -j ACCEPT

    no final eu tento fechar tudo
    iptables -t filter -A INPUT -s 0/0 -d 192.168.1.4 -j DROP


    TUdo esta OK, só o email, alias, agora ele nao da mensagem de erro.. tipo
    No Outlook vai, mas nunca chega no desinto, no caso eu mandei pro hotmail, e nem do hotmail para o meu server nao foi..

    usei 192.168.1.4 que eh o IP qu eu estou testando na rede....

    Outra coisa... Quais as maiores vunerabilidades de hoje? apache bugado? sendmail? php?

    obrigado

  5. #5
    Mr_Mind
    Visitante

    Padrão Dúvida com IpTables

    Façamos o seguinte: diga o q pretende com o seu POP e SMTP. Por certo vc quer implementar relaying controlado e isso nao e&acute; por IPtables. Ele precisa do SMTP para injectar emails para dentro ... ora bem, em vez de eu complicar explicite o que deseja e eu dou a minha dica.

    Um abraço <IMG SRC="images/forum/smilies/icon_biggrin.gif">

  6. #6
    Visitante

    Padrão Dúvida com IpTables

    Meu relay do sendmail está OK

    eu quero a máxima proteção possivel com o IpTables.

    a regra é assim..
    no começo eu vou dando acesso a tudo que pode
    HTTP, HTTPs, SSH, POP, SMTP

    e no final eu gostaria de fechar tudo que eu nao abri, ou seja, dando um DROP em todas as portas.

    esse é meu objetivo

  7. #7
    Mr_Mind
    Visitante

    Padrão Dúvida com IpTables

    se voce acredita que o relay esta bem configurado, entao:

    iptables -A INPUT -p tcp --dport 25 -j ACCEPT
    iptables -A INPUT -p tcp --dport 110 -j ACCEPT
    iptables -A INPUT -j REJECT

    1º.: se isso for um firewall e não a máquina em que voce tem esse servidores tem que adicionar -d 192.168.0.1 (sendo este o ip da maquina com SMTP e POP);

    2º.: pq usar o REJECT? Porque o DROP "avisa" possiveis invasores que você tem um sistema firewall, ja&acute; o reject faz parecer que a maquina nao existe ou aquele serviço nao esta activo.

    Isto basta para ter seu SMTP/POP seguro, so abrindo estes serviços para a rede/Internet.

    Um abraço
    <IMG SRC="images/forum/smilies/icon_biggrin.gif">