+ Responder ao Tópico



  1. #1
    Speed
    Amigos,

    Estou tentando melhorar me firewall, pois o atual está ruim.
    Montei um script com algumas regras, mas ñ está funcionando.
    Os amigos poderiam me dizer o q está errado?? Se tiverem alguma dica para melhorar, será bem vinda.
    Vejam o script:



    # Script do Firewall.
    # Desenvolvido por Mauricio Bertoli.
    # E-mail: mauricio.bertolin@religiaodedeus.org
    # Desenvolvido em 10/06/2003.


    **************************************************
    # Regras de proteção:
    **************************************************

    # Proteção contra Syn-floods.
    iptables -A FORWARD -p tcp -syn -m limit --limit 1/s -j ACCEPT

    # Proteção de Port Scanners ocultos.
    iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    # Proteção do Ping da morte.
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    # Proteção contra IP Spoofing
    iptables -A INPUT -s 172.168.0.0/24 -i eth0 -j DROP


    **************************************************
    # Regras básicas para o firewall.
    **************************************************

    # Nega a entrada de todos os pacotes e aceita a saida de todos os pacotes.
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    # Navegação e estabilizado a conexão.
    iptables -A OUTPUT -o eth0 -j ACCEPT
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -A FORWARD -i eth0 -j ACCEPT
    iptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPT

    # WWW.
    iptables -t nat -A PREROUTING -s 200.0.0.1 -i eth0 -j DNAT -to 172.168.0.1
    iptables -t nat -A POSTROUTING -s 200.0.0.1 -o eth0 -p tcp --dport 80 -j ACCEPT
    iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -j SNAT -to 200.0.0.1
    iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -p tcp --dport 80 -j ACCEPT

    # Redirecionando a porta 80 para 3128.
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDiRECT --to-port 3128
    iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDiRECT --to-port 3128

    # SMTP.
    iptables -t nat -A PREROUTING -s 200.0.0.1 -i eth0 -j DNAT -to 172.168.0.1
    iptables -t nat -A POSTROUTING -s 200.0.0.1 -o eth0 -p tcp --dport 25 -j ACCEPT
    iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -j SNAT -to 200.0.0.1
    iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -p tcp --dport 25 -j ACCEPT

    # POP3.
    iptables -t nat -A PREROUTING -s 200.0.0.1 -i eth0 -j DNAT -to 172.168.0.1
    iptables -t nat -A POSTROUTING -s 200.0.0.1 -o eth0 -p tcp --dport 110 -j ACCEPT
    iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -j SNAT -to 200.0.0.1
    iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -p tcp --dport 110 -j ACCEPT

    # Liberando a porta 22 (SSH) para os clientes.
    ipatbles -A INPUT -tcp -s 200.0.0.1/25 --dport 22 -j ACCEPT
    ipatbles -A INPUT -tcp -s 200.0.0.1/25 --dport 22 -j ACCEPT

    # Fim do scritp.

    Mauricio <IMG SRC="images/forum/icons/icon21.gif">

  2. #2
    wrochal
    Caro,

    Entre no www.linuxit.com.br que tem vários artigos



  3. #3
    Speed
    Wrochal2002,

    Eu já acessei o site e vi os exemplos e tentei montar o meu, mas eu gostaria da opinião dos amigos.

    Mauricio <IMG SRC="images/forum/icons/icon21.gif">

  4. #4
    Dominum
    Dae, Speed!

    Manda a configuração de sua rede. Pois assim ficara mais facil hehehe



  5. Cara pelo visto voce tem todos os servicos rodando em uma maquina interna atras do seu firewall (todos em uma so, web,pop,smtp)

    mas a sua unica regra de forward eh esta.
    iptables -A FORWARD -i eth0 -j ACCEPT

    entao logo nao passa nada, pelo que eu entendi, jah que eth0 seria sua interface externa (a qual esta sua internet)

    mude essa regra para ->
    iptables -A FOWARD -i eth1 -j ACCEPT
    ou
    iptables -A FOWARD -s ip.da.sua.subnet/netmask -j ACCEPT






Tópicos Similares

  1. Kazaa + firewall
    Por serrato no fórum Servidores de Rede
    Respostas: 3
    Último Post: 10-01-2005, 20:21
  2. Não consigo configurar firewall
    Por buosinet no fórum Servidores de Rede
    Respostas: 5
    Último Post: 29-11-2004, 19:09
  3. Squid + Firewall
    Por serrato no fórum Servidores de Rede
    Respostas: 10
    Último Post: 02-12-2002, 18:54
  4. firewall x webmail ou firewall x php?
    Por eclaudin no fórum Segurança
    Respostas: 3
    Último Post: 23-08-2002, 04:14
  5. Não consigo configurar firewall
    Por buosinet no fórum Servidores de Rede
    Respostas: 1
    Último Post: 28-03-2002, 21:44

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L