firewall perfeito

[pensador-ce]

galera mais uma vez venho aqui pedir a ajuda dos colegas. Seguinte, montei um linux(suse 8.0) em um link de 128k numa empresa, a rede de lá esta configurada do seguinte modo:
rede1
gateway=192.168.1.1
ips da rede= 192.168.1.2 192.168.1.3 .....
rede2
gateway=192.168.2.1
ips da rede= 192.168.2.2 192.168.2.3 .....
rede3
gateway=192.168.3.1
ips da rede= 192.168.3.2 192.168.3.3 .....
com a ajuda do 1c3_m4n coloquei o dhcp para rodar para trvar o ip pelo mac, funcionou blz(valeu 1c3_m4n <IMG SRC="images/forum/icons/icon_wink.gif"> ).
o q quero fazer é um firewall q proiba uma rede acessar a outra e libere a porta do outlook, do internet explorer, sim e proiba o uso do kaasar. se alguém poder me ajudar ficarei grato, e mais uma vez obrigado pela ajuda q os colegas estão me dando. <IMG SRC="images/forum/icons/icon_wink.gif">

[pensador-ce]

e ai galera, alguém tem alguma dica q possa me ajudar <IMG SRC="images/forum/icons/icon_smile.gif">

[ghenri]

Campeão,
primeiro vc deve fechar tudo depois ir liberando as portas que interessa...
Tente isso:

# FLush Rules
iptables -F

/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

# Enforce default policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# NAT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
.
# Web 80
/sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 80 -j ACCEPT
# Web SSL 443
/sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 443 -j ACCEPT

/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Para travar o roteamento entre redes faz o seguinte:
/sbin/iptables -A FORWARD -p tcp -s 192.168.2.0/24 -d 192.168.3.0/24 -j DROP

Espero ter ajudado.
[]&acute;s,
Gustavo

[pensador-ce]

so q para travar o roteamento eu terei q fazer em todas as redes o mesmo comando, por exemplo:
/sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.2.0/24 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.3.0/24 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.2.0/24 -d 192.168.1.0/24 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.2.0/24 -d 192.168.3.0/24 -j DROP
e assim vai, <IMG SRC="images/forum/icons/icon_frown.gif"> , fica muito grande a linha de comando, não tem um geito q eu trave tudo e eles não tentem invadir um ao outro e só tenha acesso a internet e ao outlook?

[demiurgo]

tenta

/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/16 -d 192.168.0.0/16 -j DROP

assim vc bloqueia tudo da rede 192.168.0.0 para 192.168.0.0

agora se vc quiser ser mais preciso faça como o ghenri
falou, e naum se importe com o tamanho do script, lembre-se: o importante é ser funcional.

t+

[Danilo_Montagna]

so um detalhe..

Para travar o roteamento entre redes faz o seguinte:
/sbin/iptables -A FORWARD -p tcp -s 192.168.2.0/24 -d 192.168.3.0/24 -j DROP

essa regra ae é desnecesaria.. pois por default isso ae ja estaria trancado.. pois a politica padrao do FORWARD ja foi setada como DROP no script..

no uso das politicas em DROP vc so usa o target ACCEPT .. pois todo o resto por default ja esta trancado..