+ Responder ao Tópico



  1. #1
    Speed
    Visitante

    Padrão Melhorando o firewall.

    Amigos,

    Estou tentando melhorar me firewall, pois o atual está ruim.
    Montei um script com algumas regras, mas ñ está funcionando.
    Os amigos poderiam me dizer o q está errado?? Se tiverem alguma dica para melhorar, será bem vinda.
    Vejam o script:



    # Script do Firewall.
    # Desenvolvido por Mauricio Bertoli.
    # E-mail: [email protected]
    # Desenvolvido em 10/06/2003.


    **************************************************
    # Regras de proteção:
    **************************************************

    # Proteção contra Syn-floods.
    iptables -A FORWARD -p tcp -syn -m limit --limit 1/s -j ACCEPT

    # Proteção de Port Scanners ocultos.
    iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    # Proteção do Ping da morte.
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    # Proteção contra IP Spoofing
    iptables -A INPUT -s 172.168.0.0/24 -i eth0 -j DROP


    **************************************************
    # Regras básicas para o firewall.
    **************************************************

    # Nega a entrada de todos os pacotes e aceita a saida de todos os pacotes.
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    # Navegação e estabilizado a conexão.
    iptables -A OUTPUT -o eth0 -j ACCEPT
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -A FORWARD -i eth0 -j ACCEPT
    iptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPT

    # WWW.
    iptables -t nat -A PREROUTING -s 200.0.0.1 -i eth0 -j DNAT -to 172.168.0.1
    iptables -t nat -A POSTROUTING -s 200.0.0.1 -o eth0 -p tcp --dport 80 -j ACCEPT
    iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -j SNAT -to 200.0.0.1
    iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -p tcp --dport 80 -j ACCEPT

    # Redirecionando a porta 80 para 3128.
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDiRECT --to-port 3128
    iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDiRECT --to-port 3128

    # SMTP.
    iptables -t nat -A PREROUTING -s 200.0.0.1 -i eth0 -j DNAT -to 172.168.0.1
    iptables -t nat -A POSTROUTING -s 200.0.0.1 -o eth0 -p tcp --dport 25 -j ACCEPT
    iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -j SNAT -to 200.0.0.1
    iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -p tcp --dport 25 -j ACCEPT

    # POP3.
    iptables -t nat -A PREROUTING -s 200.0.0.1 -i eth0 -j DNAT -to 172.168.0.1
    iptables -t nat -A POSTROUTING -s 200.0.0.1 -o eth0 -p tcp --dport 110 -j ACCEPT
    iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -j SNAT -to 200.0.0.1
    iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -p tcp --dport 110 -j ACCEPT

    # Liberando a porta 22 (SSH) para os clientes.
    ipatbles -A INPUT -tcp -s 200.0.0.1/25 --dport 22 -j ACCEPT
    ipatbles -A INPUT -tcp -s 200.0.0.1/25 --dport 22 -j ACCEPT

    # Fim do scritp.

    Mauricio <IMG SRC="images/forum/icons/icon21.gif">

  2. #2
    wrochal
    Visitante

    Padrão Melhorando o firewall.

    Caro,

    Entre no www.linuxit.com.br que tem vários artigos



  3. #3
    Speed
    Visitante

    Padrão Melhorando o firewall.

    Wrochal2002,

    Eu já acessei o site e vi os exemplos e tentei montar o meu, mas eu gostaria da opinião dos amigos.

    Mauricio <IMG SRC="images/forum/icons/icon21.gif">

  4. #4
    Dominum
    Visitante

    Padrão Melhorando o firewall.

    Dae, Speed!

    Manda a configuração de sua rede. Pois assim ficara mais facil hehehe



  5. #5

    Padrão Melhorando o firewall.

    Cara pelo visto voce tem todos os servicos rodando em uma maquina interna atras do seu firewall (todos em uma so, web,pop,smtp)

    mas a sua unica regra de forward eh esta.
    iptables -A FORWARD -i eth0 -j ACCEPT

    entao logo nao passa nada, pelo que eu entendi, jah que eth0 seria sua interface externa (a qual esta sua internet)

    mude essa regra para ->
    iptables -A FOWARD -i eth1 -j ACCEPT
    ou
    iptables -A FOWARD -s ip.da.sua.subnet/netmask -j ACCEPT