+ Responder ao Tópico



  1. #1
    Cyber_Raven
    Visitante

    Padrão Regras firewall/roteador

    Olá novamente pessoal.
    Como referi no forum criei as regras que achava que seriam boas para a situação.
    Eu queria que os utilizadores pudessem ir à net, pingar para fora qq site mas que o inverso ñ se sucedesse.
    Na rede temos um server windows 2000 exchange que faz a distribuição interna dos mails e por isso tb keria k os pacotes vindos da net pelas portas de mail fossem direccionados para essa máquina.
    Keria também que a partir da minha rede interna pudesse aceder à firewall a partir de ssh.

    IP SERVER EXCHANGE: 192.168.1.50
    eth0:interface rede interna 192.168.1.0
    eth1:interface internet

    REGRAS:

    iptables -t nat -F POSTROUTING
    iptables -t nat -F PREROUTING
    iptables -t nat -F OUTPUT
    iptables -F

    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    # Masquerade and forwarding

    iptables -t nat -A POSTROUTING -s 192.168.1.0 -o eth1 -j MASQUERADE
    iptables -A FORWARD -j ACCEPT -i eth0 -s 192.168.1.0
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    #Open ports on router

    iptables -A INPUT -j ACCEPT -p tcp --dport 110
    iptables -A INPUT -j ACCEPT -p tcp --dport 25
    iptables -A INPUT -j ACCEPT -p tcp --dport 22
    iptables -A INPUT -j ACCEPT -p tcp --dport 53
    iptables -A INPUT -j ACCEPT -p tcp --sport 53
    iptables -A INPUT -j ACCEPT -p udp --dport 53
    iptables -A INPUT -j ACCEPT -p udp --dport 53
    iptables -A INPUT -j ACCEPT -p tcp --dport 80

    #State related for router

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    #Open ports to exchange

    iptables -A FORWARD -j ACCEPT -p tcp --dport 25
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 25 -j DNAT --to 192.168.1.50:25
    iptables -A FORWARD -j ACCEPT -p tcp --dport 110
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 110 -j DNAT --to 192.168.1.50:110

    #Other rules

    iptables -A OUTPUT -p icmp -d ! 192.168.1.0/24 -j ACCEPT

    #Syn-Floods

    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

    #Port scanners ocultos

    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    #Ping da morte

    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    Estas regras vão satisfazer o que pretendia?
    Podiam-me dar uma ajuda para melhorar ou completar estas regras?
    Obrigado

  2. #2
    Cyber_Raven
    Visitante

    Padrão Regras firewall/roteador

    Então? Ninguém me pode dar uma ajuda??