+ Responder ao Tópico



  1. #6
    Danilo_Montagna
    poste seu script aqui..

  2. #7
    peen-gween
    #!/bin/sh

    # Variaveis de ambiente
    # ---------------------


    # Interfase de Rede ========================================================================================================
    ip_rede="192.168.1.0/24"
    i_int="eth0"
    i_out="eth1"
    # ==========================================================================================================================

    # IP Externos ==============================================================================================================
    ip_gw="200.196.57.170"
    ip_dns1="200.196.57.173"
    ip_dns2="200.196.57.174"
    #ip_dns3="200.20.21.6"
    #ip_dns4="200.20.21.7"
    # ==========================================================================================================================

    # Rede Interna =============================================================================================================
    ip_web_i="192.168.1.125" # servidor rlweb
    # ==========================================================================================================================

    # Servidores ===============================================================================================================
    ip_web_o="200.196.57.170"
    ip_web="200.196.57.173"
    # ==========================================================================================================================



    # Habilita ip forward
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Carrega os modulos de Nat e FTP
    # -------------------------------
    /sbin/modprobe iptable_nat
    /sbin/modprobe ip_tables
    /sbin/modprobe ip_nat_ftp
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ipt_limit
    /sbin/modprobe ipt_REJECT

    # Limpa as regras
    iptables -F
    iptables -t nat -F

    # Define as políticas
    iptables -P FORWARD DROP
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT

    # Permite acesso a qualquer servico pela interface local

    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT


    # Regra - Monitorando trojans (Possíveis portas de ataque)
    #TROJAN_PORT="12345 31336 313337 31338 3024 4092 5714 5742 2583 8787 5556 5557"

    # Regra anti-trojan
    #for PORTA in ${TROJAN_PORT};do
    #iptables -A trojans-in -p tcp --sport=1024: --dport=${PORTA} -j LOG --log-prefix "FIREWALL: Trojan ${PORTA}"
    #iptables -A trojans-in -p tcp --sport=1024: --dport=${PORTA} -j DROP




    # Rotas e Firewall para a Internet

    # Regras de NAT
    # ==========================================================================================================================



    # Regra WWW
    # =========
    # Regras de PREROUTING - Serviço WWW =======================================================================================
    iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport www -j LOG --log-prefix "NAT WWW "
    iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport www -j DNAT --to-destination $ip_web_i
    # WWW de Entrada -----------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport www -j LOG --log-prefix "IN WEB => "
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport www -j ACCEPT
    # WWW de Saída - NAT Reverso -----------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport www -j LOG --log-prefix "OUT WEB => "
    iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport www -j ACCEPT
    # ==========================================================================================================================



    # Regra TSCLIENTE
    # ===============
    # Regras de PREROUTING - Serviço TSCLIENTE =================================================================================
    iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport 3389 -j LOG --log-prefix "NAT TSCLI "
    iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport 3389 -j DNAT --to-destination $ip_web_i
    # Regra de Entrada ---------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport 3389 -j LOG --log-prefix "NATTSI => "
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport 3389 -j ACCEPT
    # Regra de Saída - NAT Reverso ---------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport 3389 -j LOG --log-prefix "NATTSO => "
    iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport 3389 -j ACCEPT
    # ==========================================================================================================================



    # Regra FTP
    # =========
    # Regras de PREROUTING - Serviço FTP =======================================================================================
    iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport 21 -j LOG --log-prefix "NAT FTP "
    iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport 21 -j DNAT --to-destination $ip_web_i
    iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport 20 -j DNAT --to-destination $ip_web_i
    # Regra de Entrada - FTP ---------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport 21 -j ACCEPT
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport 20 -j ACCEPT
    # Regra de Saida - FTP ---------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport 21 -j ACCEPT
    iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport 20 -j ACCEPT
    # ==========================================================================================================================



    # Regras de entrada (INPUT)
    # ==========================================================================================================================

    # Aceita qualquer entrada da rede local
    iptables -A INPUT -p all -s $ip_rede -d 0/0 -i $i_int -j ACCEPT

    # Aceita entradas da internet para o gateway somente se tiver relacao com uma conexao pre-estabelecida
    iptables -A INPUT -p all -s 0/0 -d $ip_gw -j ACCEPT -mstate --state ESTABLISHED,RELATED


    # Regras de Serviços do Pinguim - Entradas vindas da internet ===============================================================
    # ===========================================================================================================================

    # Regra WWW - Pinguim
    # ===================
    # Regra WWW Externo - Apache ================================================================================================
    iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport www -j LOG --log-prefix "ACESSO www "
    iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport www -j ACCEPT # www
    # ===========================================================================================================================


    # Regra FTP - Pinguim
    # ===================
    # ===========================================================================================================================
    #iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport : --dport ftp -j ACCEPT # Ftp internpo
    # ===========================================================================================================================


    # Regra SSH - Pinguim
    # ===================
    # ===========================================================================================================================
    iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport ssh -j LOG --log-prefix "ACP ssh "
    iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport ssh -j ACCEPT # SSH
    # ===========================================================================================================================


    # Regra FTP - Pinguim
    # ===================
    # ===========================================================================================================================
    iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport pop-3 -j ACCEPT # POP3
    # ===========================================================================================================================


    # Regra FTP - Pinguim
    # ===================
    # ===========================================================================================================================
    iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport smtp -j ACCEPT # SMTP
    # ===========================================================================================================================



    # Regras - UDP (DNS)
    # ===================
    # Regra 200.20.21.3 - Pinguim ==============================================================================================
    #iptables -A INPUT -p udp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport 53 -j LOG --log-prefix "ACESSO DNS Pinguim "
    iptables -A INPUT -p udp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport 53 -j ACCEPT # DNS
    # ==========================================================================================================================


    # Regras - UDP (DNS)
    # ===================
    # Regra 200.20.21.4 - DNS Primário ==========================================================================================
    #iptables -A INPUT -p udp -s 0/0 -d $ip_dns1 -i $i_out --sport 1024: --dport 53 -j LOG --log-prefix "DNS UDP => "
    iptables -A INPUT -p udp -s 0/0 -d $ip_dns1 -i $i_out --sport 1024: --dport 53 -j ACCEPT # DNS
    iptables -A INPUT -p udp -s 0/0 -d $ip_dns1 -i $i_out --sport 53 --dport 53 -j ACCEPT # DNS
    # ===========================================================================================================================


    # Regras - UDP (DNS)
    # ===================
    # Regra 200.20.21.5 - DNS Secundário ========================================================================================
    iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --sport 1024: --dport 53 -j LOG --log-prefix "DNS2 UDP => "
    iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --sport 1024: --dport 53 -j ACCEPT # DNS
    iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --sport 53 --dport 53 -j ACCEPT # DNS
    # ===========================================================================================================================



    # Regras - TCP (DNS)
    # ===================
    # Regra 200.20.21.4 - DNS Primário =========================================================================================
    iptables -A INPUT -p tcp -s 0/0 -d $ip_dns1 -i $i_out --sport 1024: --dport 53 -j ACCEPT # DNS
    iptables -A INPUT -p tcp -s 0/0 -d $ip_dns1 -i $i_out --sport 53 --dport 53 -j ACCEPT # DNS
    # ==========================================================================================================================



    # Serviços Indesejados
    # ====================
    # Nega servicos indesejados conhecidos vindos da rede local para nao gerar log =============================================
    iptables -A INPUT -p udp -s $ip_gw -d 0/0 --sport netbios-dgm --dport netbios-dgm -j DROP # NetBios do servidor
    iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 137 -j DROP # NetBios da rede
    iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 137 --dport 53 -j DROP
    iptables -A INPUT -p udp -s $ip_rede -d 0/0 -i $i_int --sport bootpc --dport bootps -j DROP # BootPC
    # ==========================================================================================================================


    # **************************************************************************************************************************
    # ==========================================================================================================================


    # Regras de redirecionamento (forward)
    # ===================================

    # Protocolo UDP ============================================================================================================
    iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport domain -j ACCEPT # Name Server
    iptables -A FORWARD -p udp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport domain -j ACCEPT -mstate --state ESTABLISHED,RELATED
    # ==========================================================================================================================


    # Protocolo TCP
    # =============

    # Acesso Interno - FTP =====================================================================================================
    # Saída ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport ftp-data -j ACCEPT # Dados de FTP
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport ftp -j ACCEPT # Porta de FTP
    # Entrada ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport ftp -j ACCEPT -mstate --state ESTABLISHED,RELATED
    # ==========================================================================================================================


    # Acesso Interno - SSH =====================================================================================================
    # Saída -----------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport ssh -j ACCEPT # SSH
    # Entrtada -----------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport ssh -j ACCEPT -mstate --state ESTABLISHED,RELATED
    # ==========================================================================================================================



    # Acesso Interno - SMTP===================================================================================================== # Saída -----------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport smtp -j ACCEPT # SMTP
    # Entrada -----------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport smtp -j ACCEPT -mstate --state ESTABLISHED,RELATED
    # ==========================================================================================================================



    # Acesso Interno - Telnet===================================================================================================
    # Saída ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport telnet -j ACCEPT # Telnet
    # Entrada ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport telnet -j ACCEPT -mstate --state ESTABLISHED,RELATED
    # ==========================================================================================================================



    # Acesso Interno - TIME ==================================================================================================== # Saída ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport time -j ACCEPT # Time
    # Entrada ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport time -j ACCEPT -mstate --state ESTABLISHED,RELATED
    # ==========================================================================================================================



    # Acesso Interno - POP =====================================================================================================
    # Saída ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport pop-3 -j ACCEPT # POP3
    # Entrada ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport pop-3 -j ACCEPT -mstate --state ESTABLISHED,RELATED
    # ==========================================================================================================================



    # Acesso Interno - WWW ==================================================================================================== # Saída ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport www -j ACCEPT # HTTP
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport https -j ACCEPT # HTTPS
    # Entrada ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport www -j ACCEPT -mstate --state ESTABLISHED,RELATED
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport https -j ACCEPT -mstate --state ESTABLISHED,RELATED
    # ==========================================================================================================================



    # Acesso Interno - TSSERVER================================================================================================= # Saída ------------------------------------------------------------------------------------------------------------------
    #iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3389 -j ACCEPT # Terminal server
    # Entrada ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 3389 -j ACCEPT -mstate --state ESTABLISHED,RELATED
    # ==========================================================================================================================



    # Acesso Interno - MSN ==================================================================================================== # Saída ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1863 -j ACCEPT # MSN Messenger
    # Entrada ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 1863 -j ACCEPT -mstate --state ESTABLISHED,RELATED
    # ==========================================================================================================================



    # Acesso Interno - Receita NET ============================================================================================ # Saída ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3456 -j ACCEPT # ReceitaNet
    # Entrada ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 3456 -j ACCEPT -mstate --state ESTABLISHED,RELATED
    # ==========================================================================================================================



    # Acesso Interno - ICQ ==================================================================================================== # Saída ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 5190 -j ACCEPT # ICQ
    # Entrada ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 5190 -j ACCEPT -mstate --state ESTABLISHED,RELATED
    # ==========================================================================================================================



    # Acesso Interno - PS AnyWhere ============================================================================================= # Saída ------------------------------------------------------------------------------------------------------------------
    #iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 5631:5632 -j ACCEPT # PC AnyWhere
    # Entrada ------------------------------------------------------------------------------------------------------------------
    #iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 5631:5632 -j ACCEPT -mstate --state ESTABLISHED,RELATED
    # ==========================================================================================================================



    # Acesso Interno - SNTP ==================================================================================================== # Saída ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 123 -j ACCEPT # SNTP
    # Entrada ------------------------------------------------------------------------------------------------------------------
    iptables -A FORWARD -p udp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 123 -j ACCEPT -mstate --state ESTABLISHED,RELATED
    # ==========================================================================================================================



    # Acesso Interno - ???? ====================================================================================================
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport auth --sport 1024: -j ACCEPT -mstate --state ESTABLISHED,RELATED
    # ==========================================================================================================================





    # Imule ==========================================================================================================
    # entrada
    #iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 4242 -j ACCEPT # IMule

    #iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 4661 -j ACCEPT # IMule
    #iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 4662 -j ACCEPT # IMule
    #iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 4448 -j ACCEPT # IMule
    #iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 4665 -j ACCEPT # IMule


    # saida
    #iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 4242 --dport 1024: -j ACCEPT # IMule
    #iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 4661 --dport 1024: -j ACCEPT # IMule
    #iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 4662 --dport 1024: -j ACCEPT # IMule
    #iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 4665 --dport 1024: -j ACCEPT # IMule
    #iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1024: -j ACCEPT # IMule
    # ===============================================================================================================


    # ===============================================================================================================



    # Acessos especiais
    # =================
    # Kazza Media Desktop ======================================================================================================
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1214 --dport 1214 -j ACCEPT
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1214 --sport 1214 -j ACCEPT -mstate --state ESTABLISHED,RELATED
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1214 -j LOG --log-prefix "Kazaa "
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1342 -j LOG --log-prefix "Kazaa " # Loga portas fora do padrao
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3431 -j LOG --log-prefix "Kazaa "
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3831 -j LOG --log-prefix "Kazaa "
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1214 -j ACCEPT
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1342 -j ACCEPT
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3431 -j ACCEPT
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3831 -j ACCEPT
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 1214 -j ACCEPT -mstate --state ESTABLISHED,RELATED
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 1342 -j ACCEPT -mstate --state ESTABLISHED,RELATED
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 3431 -j ACCEPT -mstate --state ESTABLISHED,RELATED
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 3831 -j ACCEPT -mstate --state ESTABLISHED,RELATED
    # =========================================================================================================================


    # Protocolo ICMP ===========================================================================================================
    iptables -A FORWARD -p icmp -s $ip_rede -d 0/0 -i $i_int -o $i_out -j ACCEPT
    iptables -A FORWARD -p icmp -s 0/0 -d $ip_rede -i $i_out -o $i_int -j ACCEPT -mstate --state ESTABLISHED,RELATED
    # ==========================================================================================================================


    # Regra de NAT/MASQUERADE
    # -----------------------
    # ==========================================================================================================================
    #iptables -t nat -A POSTROUTING -s $ip_rede -d 0/0 -o $i_out -j MASQUERADE
    iptables -t nat -A POSTROUTING -s $ip_rede -d 0/0 -o $i_out -j SNAT --to-source $ip_gw
    # ==========================================================================================================================


    # Tratamento para todo o resto nao estabelecido nas regras acima
    # --------------------------------------------------------------
    # Gera log de todo trafego nao registrado
    iptables -A INPUT -s 0/0 -d 0/0 -j LOG
    iptables -A FORWARD -s 0/0 -d 0/0 -j LOG
    # Bloqueia todo trafego nao registrado
    iptables -A INPUT -s 0/0 -d 0/0 -j DROP
    iptables -A FORWARD -s 0/0 -d 0/0 -j DROP

    # ==========================================================================================================================




  3. #8
    desculpe mas esse seu script está com as permissões corretas?
    (751)

  4. #9
    Danilo_Montagna
    seguinte... baseado no que eu vi no seu script eu fiz outro pra vc..

    algumas regras que eu nao entendi pq estavam ali eu aliminei.. se vc ver que realmente precisa delas.. arrumo vc conforme o necessario..

    fiz algumas lateracoes baseado em implementacoes de firewall que eu costumo fazer.. estou falando em termos de conexoes ESTABELECIDAS e RALCIONAS.. que vc adotava uma tatica meio diferente..

    retirei alguams regras que no meu concentimento nao estavam fazendo efeito..

    segue o script..

    ==================================================

    #!/bin/bash

    # Ativa roteamento de pacotes
    echo 1 > /proc/sys/net/ipv4/ip_forward
    for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 > $f
    done

    # Modulos de mascaramento
    /sbin/modprobe iptable_nat
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp
    /sbin/modprobe ip_tables
    /sbin/modprobe ipt_limit
    /sbin/modprobe ipt_REJECT

    # Variaveis de rede
    i_int="eth0"
    i_out="eth1"
    ip_rede="192.168.1.0/24"
    ip_gw="200.196.57.170/32"
    ip_dns1="200.196.57.173/32"
    ip_dns2="200.196.57.174/32"
    ip_web_i="192.168.1.125/32"
    ip_web="200.196.57.173/32"


    # Limpando todas as regras e removendo todos as chains de usuários
    echo -n "Limpando regras..."
    $IPTABLES -F
    $IPTABLES -F -t nat
    $IPTABLES -X
    $IPTABLES -X -t nat
    $IPTABLES -Z
    $IPTABLES -Z -t nat
    echo "ok!"

    # Políticas padrao
    echo -n "Politica padrao..."
    $IPTABLES -P INPUT DROP
    $IPTABLES -P FORWARD DROP
    $IPTABLES -P OUTPUT ACCEPT
    echo "ok!"

    ######## PREROUTING #########
    echo -n "Spoofing..."
    $IPTABLES -A PREROUTING -t nat -i $i_out -s 192.168.0.0/16 -j DROP
    $IPTABLES -A PREROUTING -t nat -i $i_out -s 172.16.0.0/12 -j DROP
    $IPTABLES -A PREROUTING -t nat -i $i_out -s 10.0.0.0/8 -j DROP
    echo "ok!"

    echo -n "Destination NAT..."

    iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport www -j LOG --log-prefix "NAT WWW "
    iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport www -j DNAT --to-destination $ip_web_i
    iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport www -j LOG --log-prefix "NAT WWW "
    iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport www -j DNAT --to-destination $ip_web_i
    iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport 3389 -j LOG --log-prefix "NAT TSCLI "
    iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport 3389 -j DNAT --to-destination $ip_web_i
    iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport 21 -j LOG --log-prefix "NAT FTP "
    iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport 21 -j DNAT --to-destination $ip_web_i

    echo "ok!"

    ######## POSTROUTING ########
    echo -n "Source NAT..."

    iptables -t nat -A POSTROUTING -s $ip_rede -d 0/0 -o $i_out -j SNAT --to-source $ip_gw

    echo "ok!"

    ############### FORWARD #################
    echo -n "Politicas de FORWARD..."

    # FTP Services
    iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport ftp -j ACCEPT
    # NETBIOS Services
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 137:139 -j DROP
    iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 137:138 -j DROP
    # DNS Services
    iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport domain -j ACCEPT
    # SMTP Services
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport smtp -j ACCEPT
    # TELNET Services
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport telnet -j ACCEPT
    # TIME Services
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport time -j ACCEPT
    # POP3 Services
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport pop-3 -j ACCEPT
    # HTTPS Services
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 443 -j ACCEPT
    # MSN Services
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 1863 -j ACCEPT
    # WTS Services
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 3389 -j ACCEPT
    iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 3389 -j ACCEPT
    # Receita NET
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 3456 -j ACCEPT
    # ICQ Services
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 5190 -j ACCEPT
    # SNTP Services
    iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 123 -j ACCEPT
    # Kazaa Services
    iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 1214 -j ACCEPT
    # ICMP Services
    iptables -A FORWARD -p icmp -s $ip_rede -d 0/0 -i $i_int -o $i_out -j ACCEPT

    # Pacotes redirecionados
    # www Services
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport www -j LOG --log-prefix "IN WEB => "
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport www -j ACCEPT
    # WTS Services
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport 3389 -j LOG --log-prefix "NATTSI => "
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport 3389 -j ACCEPT
    # FTP Services
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport 21 -j LOG --log-prefix "IN FTP => "
    iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport 21 -j ACCEPT

    # LOGS de servicos nao registrados
    iptables -A FORWARD -s 0/0 -d 0/0 -j LOG
    # Bloqueia todo trafego nao registrado
    iptables -A FORWARD -s 0/0 -d 0/0 -j DROP

    # Faz parte nao alterar
    $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    echo "ok!


    ################ INPUT ##################
    echo -n "Politicas de INPUT..."

    # SSH Interno
    iptables -A INPUT -p tcp -s $ip_rede -d $i_in --dport ssh -j ACCEPT
    # NEtbios do Server
    iptables -A INPUT -p udp -s $ip_gw -d 0/0 --dport netbios-dgm -j DROP
    # Permite acesso a qualquer servico pela interface local
    iptables -A INPUT -i lo -j ACCEPT
    # Aceita qualquer entrada da rede local
    iptables -A INPUT -s $ip_rede -d $i_int -j ACCEPT
    # DNS services
    iptables -A INPUT -p udp -s 0/0 -d $ip_gw -i $i_out --dport 53 -j ACCEPT
    # Regra 200.20.21.4 - DNS Primário
    iptables -A INPUT -p tcp -s 0/0 -d $ip_dns1 -i $i_out --dport 53 -j ACCEPT
    iptables -A INPUT -p udp -s 0/0 -d $ip_dns1 -i $i_out --dport 53 -j LOG --log-prefix "DNS1 UDP => "
    iptables -A INPUT -p tcp -s 0/0 -d $ip_dns1 -i $i_out --dport 53 -j ACCEPT
    iptables -A INPUT -p udp -s 0/0 -d $ip_dns1 -i $i_out --dport 53 -j ACCEPT
    # Regra 200.20.21.5 - DNS Secundário
    iptables -A INPUT -p tcp -s 0/0 -d $ip_dns2 -i $i_out --dport 53 -j ACCEPT
    iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --dport 53 -j LOG --log-prefix "DNS2 UDP => "
    iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --dport 53 -j ACCEPT
    iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --dport 53 -j ACCEPT
    # Loopback
    iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
    # LOGS de servicos nao registardos
    iptables -A INPUT -s 0/0 -d 0/0 -j LOG
    # Bloqueia todo trafego nao registrado
    iptables -A INPUT -s 0/0 -d 0/0 -j DROP

    # faz parte nao alterar
    $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    echo "ok!"

    echo ""
    echo "---- done ----"
    echo ""

    ==================================================

    se de repente faltou alguam coisa.. vc arruma conforme necessario..

    porem eu acredito que com esse script vai funcionar certinho..

    []´s


    [ Esta mensagem foi editada por: Danilo_Montagna em 06-03-2003 13:47 ]



  5. #10
    peen-gween
    Valeu Danilo,

    vou pegar esse arquivo script e salva-lo como iptables no /etc/init.d

    Vamos testar... as permissoes posso colocar 777 naum é ?

    Abraços,

    PeenGween






Tópicos Similares

  1. iptables no mandrake
    Por 1c3m4n no fórum Servidores de Rede
    Respostas: 5
    Último Post: 23-01-2003, 23:57
  2. iptables : No chain/target/match by that name
    Por Itise no fórum Servidores de Rede
    Respostas: 2
    Último Post: 22-01-2003, 15:35
  3. Configurar Placa de Video S3 no Cl 8.0
    Por WebMic no fórum Servidores de Rede
    Respostas: 1
    Último Post: 13-01-2003, 14:05
  4. Blanes no Cl 8.0? É possivel???
    Por no fórum Servidores de Rede
    Respostas: 5
    Último Post: 09-01-2003, 04:27
  5. Kylix 3 não funciona no CL 7.0
    Por Wronieri no fórum Linguagens de Programação
    Respostas: 0
    Último Post: 11-12-2002, 20:47

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L