+ Responder ao Tópico



  1. tem um q eu fiz está nesse endereço:

    http://www.linuxit.com.br/modules.ph...ticle&artid=17

  2. #7
    pensador-ce
    dei uma olhada em seu firewall, ele é 10 o meu é bem simples, já o seu é bem completo, vou fazer algumas alterações para os meus clientes, valeu 1c3. <IMG SRC="images/forum/icons/icon_wink.gif">



  3. #8
    pensador-ce
    ja enviei o email para os amigos, falou

  4. #9
    Zephirot
    Eu estou usando o seguinte



    #!/bin/sh
    #
    # eth0 - rede interna
    # eth1 - internet - ip valido

    ##### Ativamos o redirecionamento de pacotes (requerido para NAT) #####
    echo "1" >/proc/sys/net/ipv4/ip_forward

    # Limpa tudo
    iptables -F
    iptables -X
    iptables -F -t nat

    # Regras Basicas
    iptables -t filter -P INPUT DROP
    iptables -t filter -P OUTPUT ACCEPT
    iptables -t filter -P FORWARD DROP

    # Tabela nat
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P OUTPUT ACCEPT
    iptables -t nat -P POSTROUTING DROP

    # Protecao contra spoofing
    iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
    iptables -A INPUT -s 172.16.0.0/16 -i eth1 -j DROP
    iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP
    iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j DROP

    ##### Proteção contra IP Spoofing #####
    #for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
    # echo 1 >$i
    #done

    # Criamos um chain que será usado para tratar o tráfego vindo da Internet
    iptables -N eth1-input

    # Aceita todo o tráfego vindo do loopback e indo pro loopback
    iptables -A INPUT -i lo -j ACCEPT

    # Todo tráfego vindo da rede interna também é aceito
    iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT

    # Conexões vindas da interface eth1 são tratadas pelo chain eth1-input
    iptables -A INPUT -i eth1 -j eth1-input

    # Qualquer outra conexão desconhecida é imediatamente derrubada
    iptables -A INPUT -j LOG --log-prefix "FIREWALL - input: "
    iptables -A INPUT -j DROP

    # Chain FORWARD ####
    # Permite redirecionamento de conexões entre as interfaces locais
    # especificadas abaixo. Qualquer tráfego vindo/indo para outras
    # interfaces será bloqueado neste passo
    # --------------------------

    # LIBERA IPs
    iptables -A FORWARD -d 192.168.1.4 -i eth1 -o eth0 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.4 -i eth0 -o eth1 -j ACCEPT

    # FTP
    iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 21 --dport 1022:65535 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --sport 1022:65535 --dport 21 -j ACCEPT

    # SMTP
    iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 25 --dport 1022:65535 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --dport 25 -j ACCEPT

    # DNS
    iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p udp --sport 53 --dport 1022:65535 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p udp --dport 53 -j ACCEPT

    # POP3
    iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 110 --dport 1022:65535 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --dport 110 -j ACCEPT

    # ICMP - Ping
    iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p icmp -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p icmp -j ACCEPT

    # Bloqueia o restante da rede para outros servicos
    iptables -A FORWARD -j LOG --log-prefix "FIREWALL - forward: "
    iptables -A FORWARD -j DROP

    # SSH client (22)
    # ---------------
    iptables -A OUTPUT -o eth1 -p tcp -s 200.230.22.123 --source-port 1022:65535 --destination-port 22 -j ACCEPT
    iptables -A INPUT -i eth1 -p tcp ! --syn --source-port 22 -d 200.230.22.123 --destination-port 1022:65535 -j ACCEPT

    # Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação
    iptables -A eth1-input -p icmp -m limit --limit 2/s -j ACCEPT

    # A tentativa de acesso externo a estes serviços serão registrados no syslog
    # do sistema e serão bloqueados pela última regra abaixo.
    iptables -A eth1-input -p tcp --dport 21 -j LOG --log-prefix "FIREWALL - ftp: "
    iptables -A eth1-input -p tcp --dport 25 -j LOG --log-prefix "FIREWALL - smtp: "
    iptables -A eth1-input -p udp --dport 53 -j LOG --log-prefix "FIREWALL - dns: "
    iptables -A eth1-input -p tcp --dport 110 -j LOG --log-prefix "FIREWALL - pop3: "
    iptables -A eth1-input -p tcp --dport 113 -j LOG --log-prefix "FIREWALL - identd: "
    iptables -A eth1-input -p udp --dport 111 -j LOG --log-prefix "FIREWALL - rpc: "
    iptables -A eth1-input -p tcp --dport 111 -j LOG --log-prefix "FIREWALL - rpc: "
    iptables -A eth1-input -p tcp --dport 137:139 -j LOG --log-prefix "FIREWALL - samba: "
    iptables -A eth1-input -p udp --dport 137:139 -j LOG --log-prefix "FIREWALL - samba: "

    # Bloqueia qualquer tentativa de nova conexão de fora para esta máquina
    iptables -A eth1-input -m state --state ! ESTABLISHED,RELATED -j LOG --log-prefix "FIREWALL - eth1-in: "
    iptables -A eth1-input -m state --state ! ESTABLISHED,RELATED -j DROP

    # Qualquer outro tipo de tráfego é aceito
    iptables -A eth1-input -j ACCEPT

    ##### Chain POSTROUTING #####
    # Permite qualquer conexão vinda com destino a lo e rede local para eth0
    iptables -t nat -A POSTROUTING -o lo -j ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j ACCEPT

    # É feito masquerading dos outros serviços da rede interna indo para a interface
    # eth1
    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE

    # Qualquer outra origem de tráfego desconhecida indo para eth0 (conexões vindas
    # de eth1) são bloqueadas aqui
    # iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j LOG --log-prefix "FIREWALL - SNAT unknown: "
    iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j DROP

    # Quando iniciamos uma conexão ppp, obtermos um endereço classe A (10.x.x.x) e após
    # estabelecida a conexão real, este endereço é modificado. O tráfego indo para
    # a interface ppp não deverá ser bloqueado. Os bloqueios serão feitos no
    # chain INPUT da tabela filter
    iptables -t nat -A POSTROUTING -o eth1 -j ACCEPT

    # Registra e bloqueia qualquer outro tipo de tráfego desconhecido
    # iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL - snat: "
    iptables -t nat -A POSTROUTING -j DROP

    # Carrega modulos de suporte a FTP
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    modprobe ftp_masq



  5. #10
    Kernel_Panic
    Caras é o seguinte não funciona , nada ! ! !
    esse script que vc me passou é completo e muito logico tudo . . eu entendi tudo , ele drop tudo , e depois vai abrindo mais aqui não funciona , ,
    por que ??????????? <IMG SRC="images/forum/icons/icon_mad.gif"> <IMG SRC="images/forum/icons/icon_mad.gif">

    Ahhhhh , naum funciona ! ! ! <IMG SRC="images/forum/icons/icon_mad.gif">






Tópicos Similares

  1. Bridge + Iptables + Squid Remoto
    Por Machado no fórum Servidores de Rede
    Respostas: 2
    Último Post: 26-08-2003, 09:04
  2. Limitaçao de banda por interface, iptables.
    Por vandemberg no fórum Servidores de Rede
    Respostas: 2
    Último Post: 29-07-2002, 14:12
  3. IPTABLES (problemas c DHCP)
    Por redrum_pp no fórum Servidores de Rede
    Respostas: 2
    Último Post: 16-07-2002, 08:17
  4. IpTables e CheckPoint VPN
    Por chedid no fórum Servidores de Rede
    Respostas: 0
    Último Post: 26-06-2002, 21:10
  5. problemas iptables
    Por cyberrato no fórum Servidores de Rede
    Respostas: 1
    Último Post: 07-06-2002, 10:47

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L