Firewall (Pessoal me ajundem mesmo, urgente)

[Bravo]

Pessoal me ajudem:


tenho um firewall com duas placas de rede eth0 - 10.0.0.1 e eth1 - 192.168.1.1

O adsl router 10.0.0.100 ligada na placa eth0

uma estacao 192.168.1.2 ligada na placa eth1


OK? bom é o seguinte, eu quero um script que so entra na internet e receba email e o SSH... porem fiz esse script e o msn, overnet ainda continua conectando...sera que errei alguma coisa no script? outra coisa, gostaria de bloquer alguens sites, mas tente no exemplo abaixo bloquear o goole e nao consegui, sera que estou colocando a regra em lugar errado? Talvez eu esteja colocando a regra pa bloquear o google em lugar errado.


#! /bin/sh

# Regras de Firewall

if [ "$1" = "flush" ] ; then
echo "Flushing"
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F

iptables -t nat -F
iptables -X
iptables -Z
echo "Done"

else

echo "Iniciando regras do Firewall"

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -F
iptables -t nat -F
iptables -X
iptables -Z

# Liberacao do Loopback
iptables -A INPUT -i lo -j ACCEPT

#Ping
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

#Mascaramento
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE



#Rede Interna -> Internet
iptables -A FORWARD -s 192.168.1.0/255.0.0.0 -j ACCEPT #ta #certo essa regra?

iptables -A FORWARD -i eth1 -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 22 -j ACCEPT


#HTTPS
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#Bloqueio de sites
iptables -A FORWARD -s 192.168.1.2/24 -d www.google.com.br -j DROP

#LOGS
iptables -A FORWARD -i eth1 -o eth0 -j LOG --log-level DEBUG --log-prefix "Intra para Internet"

#SSH
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.2/24 -j ACCEPT


#Direcionamnto de portas do firewall para outro computador
iptables -t nat -A PREROUTING -t nat -p tcp -d 10.0.0.1 --dport 22 -j DNAT --to 192.168.1.2




fi

[Driwll]

Kro colega..
Acredito que o problema esteja em:

----------[ voce esta mascarando todo trafego de saida para a internet ]
#Mascaramento
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

----------[ voce esta liberando toda passagem de trafego que tenha origem na rede interna ]
#Rede Interna -> Internet
iptables -A FORWARD -s 192.168.1.0/255.0.0.0 -j ACCEPT #ta #certo essa regra?

---------[nesse ponto o trafego já foi liberado na regra acima]
iptables -A FORWARD -i eth1 -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 22 -j ACCEPT


#########
Acredito eu que vc poderia colocar primeiro as regras de Forward para liberar a passagem da rede interna (se preferir nas portas especificas - acredito que não é necessario pois o que libera é o masquerade) e liberar o Nat para as portas especificas
iptables -t nat -A POSTROUTING -o eth0 --dport PORTAS_LIBERADAS-j MASQUERADE

----
Espero ter ajudado

Um abraço

DriwLL

[Gnuser]

Vc ta usando a politica ACCEPT, tente colocar no local drop e liberar somente o q vc quer tipo assim

iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F

[A-Marcio]

Cara verifica se o Messenger nao esta configurado para proxy tem messenger que nao usa uma porta especifica ele procura o acesso e vai independente da porta.
A Dica de fazer o Masquerade somente das portas que voce quer funciona. legal... eu uso isto aqui Mais seria mais facil se voce usar o Squid para controlar o acesso a determinados sites. e mais facil de controlar.
Ha tenta trocar o nome www.google.com.br para o ip 216.239.41.99 deve resolver seu problema

A Marcio

[osmousf]

Ai carinha
o MSN, usa a porta 1863 para se conectar, e quando não a encontra, utiliza a porta 80 da internet.
Dica, para bloquear os MSN`s da vida, bloqueie pelo nome dele, se não me engano e algo parecido com www.rad.msn.com

DA uma conferida no www.google.com.br/linux
faça uma busca por bloqueio do MSN.

Qualquer coisa poste aqui, fallow

[Bravo]

O firewal esta funcionando , mas nao sei em que linha do script eu coloco pra bloquear um site, qual a regra e em que posicao eu coloco pra bloquera o site www.google.com.br por exemplo, no exeplo que postei nao esta funcionando...nao sei porque

Obrigado

[osmousf]

Entre no site da underlinux no link
http://iptables.under-linux.org/

a sua regra para rejeitar o site esta certa, se a sua classe de IP for aquela mesma
tenta inserir fora do seu script para ver se ele está sendo executado


iptables -A OUTPUT -d www.google.com.br -j DROP