Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Kernel_Panic
    Visitante

    Padrão iptables

    Estou com um problema quero DROPar tudo no meu firewall , para depois abrir ! ! !
    Primeira pergunta, tenho que dropar para depois aceitar ou ao contrario . . .

    alguem tem ai uma configuração para que eu possa me bazear ???
    <IMG SRC="images/forum/icons/icon27.gif">

  2. #2
    Futuremax
    Visitante

    Padrão iptables

    Salve esse script no init.d e coloque ele nos rc.d&acute;s da vida de acordo com sua nescessidade....

    -------Inicio do Script--------------


    #!/bin/sh
    #############################################################
    # Script Criado Por: #
    # Rodrigo Gustavo Gallacci #
    # FIREWALL EM LINUX - iptables #
    #############################################################

    case $1 in
    &acute;start&acute
    #Primeiro precisamos levantar todos os serviços do firewall
    #E verificar se eles não estão ativos...
    USO=`cat /usr/firewall`
    if [ $USO != 1 ]
    then
    echo 1 > /usr/firewall
    echo 1 > /proc/sys/net/ipv4/ip_forward
    modprobe iptable_nat
    insmod ip_nat_ftp
    insmod ip_conntrack_ftp
    fi
    #Agora limpamos todas as regras
    iptables -F
    iptables -t nat -F
    iptables -X
    iptables -X -t nat
    iptables -Z

    #Depois fechanmos todas as portas para a entrada e
    #para o redirecionamento, abrimos somente as de saída
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    #Agora trocamos o ip interno para o acesso a outras redes
    iptables -A PREROUTING -t nat -d 127.0.0.1/24 -j DNAT --to ip_interno
    iptables -A POSTROUTING -t nat -s ip_interno -j SNAT --to ip_externo
    iptables -A POSTROUTING -t nat -s ip_interno -j MASQUERADE
    #Troque o x no final do ip pelo ip da placa externa do servidor...

    #Vamos declarar as portas que serão aceitas para redirecionamento
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -s 127.0.0.1/24 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 21 -j ACCEPT #Porta de FTP
    iptables -A FORWARD -p tcp --dport 25 -j ACCEPT #Porta de SMTP
    iptables -A FORWARD -p tcp --dport 80 -j ACCEPT #Porta de http
    iptables -A FORWARD -p tcp --dport 110 -j ACCEPT #Porta POP3
    iptables -A FORWARD -p tcp --dport 1080 -j ACCEPT #PortaICQ/Messenger
    iptables -A FORWARD -p udp --dport 1080 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 1521 -j ACCEPT #Porta Oracle
    iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT #WWWProxy
    iptables -A FORWARD -p udp --dport 3128 -j ACCEPT

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -s 127.0.0.1/24 -j ACCEPT
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p udp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 25 -j ACCEPT
    iptables -A INPUT -p udp --dport 25 -j ACCEPT
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -p udp --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp --dport 110 -j ACCEPT
    iptables -A INPUT -p udp --dport 110 -j ACCEPT
    iptables -A INPUT -p tcp --dport 1080 -j ACCEPT
    iptables -A INPUT -p udp --dport 1080 -j ACCEPT
    iptables -A INPUT -p tcp --dport 1521 -j ACCEPT
    iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
    iptables -A INPUT -p udp --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp --dport 5432 -j ACCEPT

    touch /var/lock/subsys/firewall
    ;;
    &acute;stop&acute
    #Paramos o serviço
    iptables -F
    iptables -t nat -F
    iptables -X
    iptables -t nat -X
    iptables -Z
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    echo 0 > /usr/firewall
    rm -f /var/lock/subsys/firewall
    ;;
    &acute;restart&acute
    #Restartamos o serviço
    echo "Parando o serviço de firewall: [OK]"
    $0 start
    echo "Iniciando o serviço de firewall: [OK]"
    ;;
    &acute;list&acute
    iptables -L
    ;;
    *)
    echo "Tente digitar $0 {start|stop|restart|list}"
    exit 0
    ;;
    esac

    ---------Final do Script-------------------------

    Isso deve ajudar.... <IMG SRC="images/forum/icons/icon_wink.gif">



  3. #3
    pensador-ce
    Visitante

    Padrão iptables

    me manda teu email, tenho um fire bem simples q vc pode usar. <IMG SRC="images/forum/icons/icon_wink.gif">

  4. #4
    Kernel_Panic
    Visitante

    Padrão iptables

    [email protected] <IMG SRC="images/forum/icons/icon_wink.gif">



  5. #5
    Fly
    Visitante

    Padrão iptables

    Poderiam mandar o script pra mim tb? <IMG SRC="images/forum/icons/icon_biggrin.gif">

    [email protected]

    []s Fly

  6. #6



  7. #7
    pensador-ce
    Visitante

    Padrão iptables

    dei uma olhada em seu firewall, ele é 10 o meu é bem simples, já o seu é bem completo, vou fazer algumas alterações para os meus clientes, valeu 1c3. <IMG SRC="images/forum/icons/icon_wink.gif">

  8. #8
    pensador-ce
    Visitante

    Padrão iptables

    ja enviei o email para os amigos, falou



  9. #9
    Zephirot
    Visitante

    Padrão iptables

    Eu estou usando o seguinte



    #!/bin/sh
    #
    # eth0 - rede interna
    # eth1 - internet - ip valido

    ##### Ativamos o redirecionamento de pacotes (requerido para NAT) #####
    echo "1" >/proc/sys/net/ipv4/ip_forward

    # Limpa tudo
    iptables -F
    iptables -X
    iptables -F -t nat

    # Regras Basicas
    iptables -t filter -P INPUT DROP
    iptables -t filter -P OUTPUT ACCEPT
    iptables -t filter -P FORWARD DROP

    # Tabela nat
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P OUTPUT ACCEPT
    iptables -t nat -P POSTROUTING DROP

    # Protecao contra spoofing
    iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
    iptables -A INPUT -s 172.16.0.0/16 -i eth1 -j DROP
    iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP
    iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j DROP

    ##### Proteção contra IP Spoofing #####
    #for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
    # echo 1 >$i
    #done

    # Criamos um chain que será usado para tratar o tráfego vindo da Internet
    iptables -N eth1-input

    # Aceita todo o tráfego vindo do loopback e indo pro loopback
    iptables -A INPUT -i lo -j ACCEPT

    # Todo tráfego vindo da rede interna também é aceito
    iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT

    # Conexões vindas da interface eth1 são tratadas pelo chain eth1-input
    iptables -A INPUT -i eth1 -j eth1-input

    # Qualquer outra conexão desconhecida é imediatamente derrubada
    iptables -A INPUT -j LOG --log-prefix "FIREWALL - input: "
    iptables -A INPUT -j DROP

    # Chain FORWARD ####
    # Permite redirecionamento de conexões entre as interfaces locais
    # especificadas abaixo. Qualquer tráfego vindo/indo para outras
    # interfaces será bloqueado neste passo
    # --------------------------

    # LIBERA IPs
    iptables -A FORWARD -d 192.168.1.4 -i eth1 -o eth0 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.4 -i eth0 -o eth1 -j ACCEPT

    # FTP
    iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 21 --dport 1022:65535 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --sport 1022:65535 --dport 21 -j ACCEPT

    # SMTP
    iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 25 --dport 1022:65535 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --dport 25 -j ACCEPT

    # DNS
    iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p udp --sport 53 --dport 1022:65535 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p udp --dport 53 -j ACCEPT

    # POP3
    iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 110 --dport 1022:65535 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --dport 110 -j ACCEPT

    # ICMP - Ping
    iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p icmp -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p icmp -j ACCEPT

    # Bloqueia o restante da rede para outros servicos
    iptables -A FORWARD -j LOG --log-prefix "FIREWALL - forward: "
    iptables -A FORWARD -j DROP

    # SSH client (22)
    # ---------------
    iptables -A OUTPUT -o eth1 -p tcp -s 200.230.22.123 --source-port 1022:65535 --destination-port 22 -j ACCEPT
    iptables -A INPUT -i eth1 -p tcp ! --syn --source-port 22 -d 200.230.22.123 --destination-port 1022:65535 -j ACCEPT

    # Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação
    iptables -A eth1-input -p icmp -m limit --limit 2/s -j ACCEPT

    # A tentativa de acesso externo a estes serviços serão registrados no syslog
    # do sistema e serão bloqueados pela última regra abaixo.
    iptables -A eth1-input -p tcp --dport 21 -j LOG --log-prefix "FIREWALL - ftp: "
    iptables -A eth1-input -p tcp --dport 25 -j LOG --log-prefix "FIREWALL - smtp: "
    iptables -A eth1-input -p udp --dport 53 -j LOG --log-prefix "FIREWALL - dns: "
    iptables -A eth1-input -p tcp --dport 110 -j LOG --log-prefix "FIREWALL - pop3: "
    iptables -A eth1-input -p tcp --dport 113 -j LOG --log-prefix "FIREWALL - identd: "
    iptables -A eth1-input -p udp --dport 111 -j LOG --log-prefix "FIREWALL - rpc: "
    iptables -A eth1-input -p tcp --dport 111 -j LOG --log-prefix "FIREWALL - rpc: "
    iptables -A eth1-input -p tcp --dport 137:139 -j LOG --log-prefix "FIREWALL - samba: "
    iptables -A eth1-input -p udp --dport 137:139 -j LOG --log-prefix "FIREWALL - samba: "

    # Bloqueia qualquer tentativa de nova conexão de fora para esta máquina
    iptables -A eth1-input -m state --state ! ESTABLISHED,RELATED -j LOG --log-prefix "FIREWALL - eth1-in: "
    iptables -A eth1-input -m state --state ! ESTABLISHED,RELATED -j DROP

    # Qualquer outro tipo de tráfego é aceito
    iptables -A eth1-input -j ACCEPT

    ##### Chain POSTROUTING #####
    # Permite qualquer conexão vinda com destino a lo e rede local para eth0
    iptables -t nat -A POSTROUTING -o lo -j ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j ACCEPT

    # É feito masquerading dos outros serviços da rede interna indo para a interface
    # eth1
    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE

    # Qualquer outra origem de tráfego desconhecida indo para eth0 (conexões vindas
    # de eth1) são bloqueadas aqui
    # iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j LOG --log-prefix "FIREWALL - SNAT unknown: "
    iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j DROP

    # Quando iniciamos uma conexão ppp, obtermos um endereço classe A (10.x.x.x) e após
    # estabelecida a conexão real, este endereço é modificado. O tráfego indo para
    # a interface ppp não deverá ser bloqueado. Os bloqueios serão feitos no
    # chain INPUT da tabela filter
    iptables -t nat -A POSTROUTING -o eth1 -j ACCEPT

    # Registra e bloqueia qualquer outro tipo de tráfego desconhecido
    # iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL - snat: "
    iptables -t nat -A POSTROUTING -j DROP

    # Carrega modulos de suporte a FTP
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    modprobe ftp_masq

  10. #10
    Kernel_Panic
    Visitante

    Padrão iptables

    Caras é o seguinte não funciona , nada ! ! !
    esse script que vc me passou é completo e muito logico tudo . . eu entendi tudo , ele drop tudo , e depois vai abrindo mais aqui não funciona , ,
    por que ??????????? <IMG SRC="images/forum/icons/icon_mad.gif"> <IMG SRC="images/forum/icons/icon_mad.gif">

    Ahhhhh , naum funciona ! ! ! <IMG SRC="images/forum/icons/icon_mad.gif">



  11. #11

    Padrão iptables

    se vc num falar o erro q ele da fica dificil pra te ajudar!!!!!!!
    vc ativou o forward de pacotes???? vc carregou os modulos de nat??

  12. #12
    Futuremax
    Visitante

    Padrão iptables

    Hey calma e conta o erro pra gente te ajudar.... <IMG SRC="images/forum/icons/icon_wink.gif">



  13. #13
    Kernel_Panic
    Visitante

    Padrão iptables

    eu executei o script do future max , claro substitui os ip_interno e ip_externo ! ! ! e naum funciona ! !
    se eu tiro o DROP . . ou a politica de DROP do INPUT ele funciona normal . .

  14. #14
    Kernel_Panic
    Visitante

    Padrão iptables

    ah e o que significa isso é a unica coisa que eu naum sei

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    ??? QhAt ? ? ?



  15. #15
    Futuremax
    Visitante

    Padrão iptables

    É para estabelecer conexão direta com outros pcs seja de fora pro servidor ou de dentro pra fora.... se vc comentou essas linhas ou tirou elas é por isso que não funciona.... <IMG SRC="images/forum/icons/icon_frown.gif">

  16. #16
    Kernel_Panic
    Visitante

    Padrão iptables

    nao eu naum tirei essa regra so queria saber , . . o eu vou reinstalar essa maquina para ver o que acontece . .nunca vi acontecer isso, daqui a pouco falo com vcs . .

    mais por enquanto

    Obrigado ! ! ! <IMG SRC="images/forum/icons/icon_wink.gif">



  17. #17
    Kernel_Panic
    Visitante

    Padrão iptables

    futuremax ????

    Para isso funcionar precisa estar instalado algo como dns ou algo assim porque aqui ele fica estavel uns 3 min. depois cai . . . fiz as regras de acordo como seu script mais so que da esses 3 min e cai . .

    Qualquer ajuda eu agradeço ! ! !

  18. #18

    Padrão iptables

    Galera estou precisando de um script para liberar a internet para um grupo de clientes.

    Tipo:

    Tenho 3 laboratórios, quando um professor pede para tirar a internet de um deles para que haja aula sem que a utiliza, seja barrado no servidor, seria pro squid ou firewall?

    Podem me dar uma luz????



  19. #19
    Visitante

    Padrão iptables

    Olá.. estive dando uma testada no primeiro script... bom.. ele até funcionou.. mas nao consegui pingar na máquina que tem este firewall.. e na parte de forward... nao consegui fazer com que minha rede interna alcançasse a internet..
    Falow


  20. #20
    Kernel_Panic
    Visitante

    Padrão iptables

    e ai galera alguem pode me ajudar ! ! !





    -----
    Feliz Natal