iptables

[Kernel_Panic]

Estou com um problema quero DROPar tudo no meu firewall , para depois abrir ! ! !
Primeira pergunta, tenho que dropar para depois aceitar ou ao contrario . . .

alguem tem ai uma configuração para que eu possa me bazear ???
<IMG SRC="images/forum/icons/icon27.gif">

[Futuremax]

Salve esse script no init.d e coloque ele nos rc.d&acute;s da vida de acordo com sua nescessidade....

-------Inicio do Script--------------


#!/bin/sh
#############################################################
# Script Criado Por: #
# Rodrigo Gustavo Gallacci #
# FIREWALL EM LINUX - iptables #
#############################################################

case $1 in
&acute;start&acute
#Primeiro precisamos levantar todos os serviços do firewall
#E verificar se eles não estão ativos...
USO=`cat /usr/firewall`
if [ $USO != 1 ]
then
echo 1 > /usr/firewall
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
insmod ip_nat_ftp
insmod ip_conntrack_ftp
fi
#Agora limpamos todas as regras
iptables -F
iptables -t nat -F
iptables -X
iptables -X -t nat
iptables -Z

#Depois fechanmos todas as portas para a entrada e
#para o redirecionamento, abrimos somente as de saída
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#Agora trocamos o ip interno para o acesso a outras redes
iptables -A PREROUTING -t nat -d 127.0.0.1/24 -j DNAT --to ip_interno
iptables -A POSTROUTING -t nat -s ip_interno -j SNAT --to ip_externo
iptables -A POSTROUTING -t nat -s ip_interno -j MASQUERADE
#Troque o x no final do ip pelo ip da placa externa do servidor...

#Vamos declarar as portas que serão aceitas para redirecionamento
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 127.0.0.1/24 -j ACCEPT
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT #Porta de FTP
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT #Porta de SMTP
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT #Porta de http
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT #Porta POP3
iptables -A FORWARD -p tcp --dport 1080 -j ACCEPT #PortaICQ/Messenger
iptables -A FORWARD -p udp --dport 1080 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1521 -j ACCEPT #Porta Oracle
iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT #WWWProxy
iptables -A FORWARD -p udp --dport 3128 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 127.0.0.1/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p udp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p udp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p udp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p udp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 1080 -j ACCEPT
iptables -A INPUT -p udp --dport 1080 -j ACCEPT
iptables -A INPUT -p tcp --dport 1521 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -p udp --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --dport 5432 -j ACCEPT

touch /var/lock/subsys/firewall
;;
&acute;stop&acute
#Paramos o serviço
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
iptables -Z
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
echo 0 > /usr/firewall
rm -f /var/lock/subsys/firewall
;;
&acute;restart&acute
#Restartamos o serviço
echo "Parando o serviço de firewall: [OK]"
$0 start
echo "Iniciando o serviço de firewall: [OK]"
;;
&acute;list&acute
iptables -L
;;
*)
echo "Tente digitar $0 {start|stop|restart|list}"
exit 0
;;
esac

---------Final do Script-------------------------

Isso deve ajudar.... <IMG SRC="images/forum/icons/icon_wink.gif">

[pensador-ce]

me manda teu email, tenho um fire bem simples q vc pode usar. <IMG SRC="images/forum/icons/icon_wink.gif">

[Kernel_Panic]

[email protected] <IMG SRC="images/forum/icons/icon_wink.gif">

[Fly]

Poderiam mandar o script pra mim tb? <IMG SRC="images/forum/icons/icon_biggrin.gif">

[email protected]

[]s Fly

[1c3m4n]

tem um q eu fiz está nesse endereço:

http://www.linuxit.com.br/modules.ph...ticle&artid=17

[pensador-ce]

dei uma olhada em seu firewall, ele é 10 o meu é bem simples, já o seu é bem completo, vou fazer algumas alterações para os meus clientes, valeu 1c3. <IMG SRC="images/forum/icons/icon_wink.gif">

[pensador-ce]

ja enviei o email para os amigos, falou

[Zephirot]

Eu estou usando o seguinte



#!/bin/sh
#
# eth0 - rede interna
# eth1 - internet - ip valido

##### Ativamos o redirecionamento de pacotes (requerido para NAT) #####
echo "1" >/proc/sys/net/ipv4/ip_forward

# Limpa tudo
iptables -F
iptables -X
iptables -F -t nat

# Regras Basicas
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP

# Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING DROP

# Protecao contra spoofing
iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
iptables -A INPUT -s 172.16.0.0/16 -i eth1 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j DROP

##### Proteção contra IP Spoofing #####
#for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
# echo 1 >$i
#done

# Criamos um chain que será usado para tratar o tráfego vindo da Internet
iptables -N eth1-input

# Aceita todo o tráfego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT

# Todo tráfego vindo da rede interna também é aceito
iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT

# Conexões vindas da interface eth1 são tratadas pelo chain eth1-input
iptables -A INPUT -i eth1 -j eth1-input

# Qualquer outra conexão desconhecida é imediatamente derrubada
iptables -A INPUT -j LOG --log-prefix "FIREWALL - input: "
iptables -A INPUT -j DROP

# Chain FORWARD ####
# Permite redirecionamento de conexões entre as interfaces locais
# especificadas abaixo. Qualquer tráfego vindo/indo para outras
# interfaces será bloqueado neste passo
# --------------------------

# LIBERA IPs
iptables -A FORWARD -d 192.168.1.4 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.1.4 -i eth0 -o eth1 -j ACCEPT

# FTP
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 21 --dport 1022:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --sport 1022:65535 --dport 21 -j ACCEPT

# SMTP
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 25 --dport 1022:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --dport 25 -j ACCEPT

# DNS
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p udp --sport 53 --dport 1022:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p udp --dport 53 -j ACCEPT

# POP3
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 110 --dport 1022:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --dport 110 -j ACCEPT

# ICMP - Ping
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p icmp -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p icmp -j ACCEPT

# Bloqueia o restante da rede para outros servicos
iptables -A FORWARD -j LOG --log-prefix "FIREWALL - forward: "
iptables -A FORWARD -j DROP

# SSH client (22)
# ---------------
iptables -A OUTPUT -o eth1 -p tcp -s 200.230.22.123 --source-port 1022:65535 --destination-port 22 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp ! --syn --source-port 22 -d 200.230.22.123 --destination-port 1022:65535 -j ACCEPT

# Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação
iptables -A eth1-input -p icmp -m limit --limit 2/s -j ACCEPT

# A tentativa de acesso externo a estes serviços serão registrados no syslog
# do sistema e serão bloqueados pela última regra abaixo.
iptables -A eth1-input -p tcp --dport 21 -j LOG --log-prefix "FIREWALL - ftp: "
iptables -A eth1-input -p tcp --dport 25 -j LOG --log-prefix "FIREWALL - smtp: "
iptables -A eth1-input -p udp --dport 53 -j LOG --log-prefix "FIREWALL - dns: "
iptables -A eth1-input -p tcp --dport 110 -j LOG --log-prefix "FIREWALL - pop3: "
iptables -A eth1-input -p tcp --dport 113 -j LOG --log-prefix "FIREWALL - identd: "
iptables -A eth1-input -p udp --dport 111 -j LOG --log-prefix "FIREWALL - rpc: "
iptables -A eth1-input -p tcp --dport 111 -j LOG --log-prefix "FIREWALL - rpc: "
iptables -A eth1-input -p tcp --dport 137:139 -j LOG --log-prefix "FIREWALL - samba: "
iptables -A eth1-input -p udp --dport 137:139 -j LOG --log-prefix "FIREWALL - samba: "

# Bloqueia qualquer tentativa de nova conexão de fora para esta máquina
iptables -A eth1-input -m state --state ! ESTABLISHED,RELATED -j LOG --log-prefix "FIREWALL - eth1-in: "
iptables -A eth1-input -m state --state ! ESTABLISHED,RELATED -j DROP

# Qualquer outro tipo de tráfego é aceito
iptables -A eth1-input -j ACCEPT

##### Chain POSTROUTING #####
# Permite qualquer conexão vinda com destino a lo e rede local para eth0
iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j ACCEPT

# É feito masquerading dos outros serviços da rede interna indo para a interface
# eth1
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE

# Qualquer outra origem de tráfego desconhecida indo para eth0 (conexões vindas
# de eth1) são bloqueadas aqui
# iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j LOG --log-prefix "FIREWALL - SNAT unknown: "
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j DROP

# Quando iniciamos uma conexão ppp, obtermos um endereço classe A (10.x.x.x) e após
# estabelecida a conexão real, este endereço é modificado. O tráfego indo para
# a interface ppp não deverá ser bloqueado. Os bloqueios serão feitos no
# chain INPUT da tabela filter
iptables -t nat -A POSTROUTING -o eth1 -j ACCEPT

# Registra e bloqueia qualquer outro tipo de tráfego desconhecido
# iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL - snat: "
iptables -t nat -A POSTROUTING -j DROP

# Carrega modulos de suporte a FTP
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ftp_masq

[Kernel_Panic]

Caras é o seguinte não funciona , nada ! ! !
esse script que vc me passou é completo e muito logico tudo . . eu entendi tudo , ele drop tudo , e depois vai abrindo mais aqui não funciona , ,
por que ??????????? <IMG SRC="images/forum/icons/icon_mad.gif"> <IMG SRC="images/forum/icons/icon_mad.gif">

Ahhhhh , naum funciona ! ! ! <IMG SRC="images/forum/icons/icon_mad.gif">

[1c3m4n]

se vc num falar o erro q ele da fica dificil pra te ajudar!!!!!!!
vc ativou o forward de pacotes???? vc carregou os modulos de nat??

[Futuremax]

Hey calma e conta o erro pra gente te ajudar.... <IMG SRC="images/forum/icons/icon_wink.gif">

[Kernel_Panic]

eu executei o script do future max , claro substitui os ip_interno e ip_externo ! ! ! e naum funciona ! !
se eu tiro o DROP . . ou a politica de DROP do INPUT ele funciona normal . .

[Kernel_Panic]

ah e o que significa isso é a unica coisa que eu naum sei

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

??? QhAt ? ? ?

[Futuremax]

É para estabelecer conexão direta com outros pcs seja de fora pro servidor ou de dentro pra fora.... se vc comentou essas linhas ou tirou elas é por isso que não funciona.... <IMG SRC="images/forum/icons/icon_frown.gif">

[Kernel_Panic]

nao eu naum tirei essa regra so queria saber , . . o eu vou reinstalar essa maquina para ver o que acontece . .nunca vi acontecer isso, daqui a pouco falo com vcs . .

mais por enquanto

Obrigado ! ! ! <IMG SRC="images/forum/icons/icon_wink.gif">

[Kernel_Panic]

futuremax ????

Para isso funcionar precisa estar instalado algo como dns ou algo assim porque aqui ele fica estavel uns 3 min. depois cai . . . fiz as regras de acordo como seu script mais so que da esses 3 min e cai . .

Qualquer ajuda eu agradeço ! ! !

[PandaAzul]

Galera estou precisando de um script para liberar a internet para um grupo de clientes.

Tipo:

Tenho 3 laboratórios, quando um professor pede para tirar a internet de um deles para que haja aula sem que a utiliza, seja barrado no servidor, seria pro squid ou firewall?

Podem me dar uma luz????

Olá.. estive dando uma testada no primeiro script... bom.. ele até funcionou.. mas nao consegui pingar na máquina que tem este firewall.. e na parte de forward... nao consegui fazer com que minha rede interna alcançasse a internet..
Falow

[Kernel_Panic]

e ai galera alguem pode me ajudar ! ! !





-----
Feliz Natal