+ Responder ao Tópico



  1. VEJA SE ISSO AJUDA... Fiz algumas alterações para seu caso, agora tente adaptar...

    #!/bin/bash
    IPT='/usr/sbin/iptables'
    MODPROBE='/sbin/modprobe'
    LOCAL=IP DO SERVIDOR
    DNSONE=IP DNS MASTER
    DNSTWO=IP DNS SLAVE

    ## CARREGANDO MODULOS
    $MODPROBE ip_tables
    $MODPROBE iptable_filter
    $MODPROBE ip_conntrack
    $MODPROBE ip_conntrack_ftp
    $MODPROBE iptable_nat
    $MODPROBE ip_nat_ftp
    $MODPROBE ipt_LOG
    $MODPROBE ipt_state
    $MODPROBE ipt_MASQUERADE

    ## DANDO FLUSHING NO FIREWALL, ZERANDO TUDO E DROPANDO TUDO, EXCETO OUTPUT
    $IPT -F
    $IPT -Z
    $IPT -X
    $IPT -t nat -F
    $IPT -P INPUT DROP
    $IPT -P FORWARD DROP
    $IPT -P OUTPUT ACCEPT

    ## HABILITANDO ROTEAMENTO
    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

    ## LIBERANDO INPUT PARA INTERFACE LOOPBACK
    $IPT -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
    $IPT -A INPUT -p ALL -s $LOCAL -i lo -j ACCEPT

    ## LIBERANDO AS RESPOSTAS DOS DNS PARA O FIREWALL
    $IPT -A INPUT -p udp -s $DNSONE --sport 53 -d $LOCAL -j ACCEPT
    $IPT -A INPUT -p udp -s $DNSTWO --sport 53 -d $LOCAL -j ACCEPT
    $IPT -A INPUT -p udp -s $LOCAL --sport 53 -d $LOCAL -j ACCEPT

    ## NADA DE PACOTE FRAGMENTADO NO FIREWALL
    $IPT -A INPUT -i eth0 -f -j LOG --log-prefix "Pacote INPUT fragmentado: "
    $IPT -A INPUT -i eth0 -f -j DROP

    ## REGRAS DE PING
    $IPT -A INPUT -p icmp --icmp-type 8 -i eth0 -j DROP
    $IPT -A INPUT -p icmp --icmp-type 0 -j DROP
    $IPT -A INPUT -p icmp -s $FIREWALL -d $LOCAL -j ACCEPT

    ## LIBERANDO ALGUMAS PORTAS
    $IPT -A INPUT -p TCP -s 0/0 --dport 80 -j ACCEPT
    $IPT -A INPUT -p TCP -s 0/0 --dport 443 -j ACCEPT
    $IPT -A INPUT -p TCP -s 0/0 --dport 25 -j ACCEPT
    $IPT -A INPUT -p TCP -s 0/0 --dport 110 -j ACCEPT
    $IPT -A INPUT -p udp -s 0/0 --dport 53 -j ACCEPT
    $IPT -A INPUT -p TCP -s 0/0 --dport 143 -j ACCEPT

    ## DESCARTANDO PACOTES INVALIDOS
    $IPT -A FORWARD -m state --state INVALID -j DROP

    ## ACEITA CONEXOES ESTABILIZADAS
    $IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

    ## PARA OUTLOOK FUNCIONAR, LIBERA A RESPOSTA E O ACESSO AOS RESOLVEDORES DE NOME
    $IPT -A FORWARD -p udp -s 0/0 -d $DNSONE --dport 53 -j ACCEPT
    $IPT -A FORWARD -p udp -s 0/0 -d $DNSTWO --dport 53 -j ACCEPT
    $IPT -A FORWARD -p udp -s 0/0 -d $LOCAL --dport 53 -j ACCEPT
    $IPT -A FORWARD -p udp -s $DNSONE --sport 53 -d 0/0 -j ACCEPT
    $IPT -A FORWARD -p udp -s $DNSTWO --sport 53 -d 0/0 -j ACCEPT
    $IPT -A FORWARD -p udp -s $LOCAL --sport 53 -d 0/0 -j ACCEPT

    ## DROPANDO TUDO E GRAVANDO
    $IPT -A FORWARD -j LOG --log-prefix "Pacote FORWARD descartado: "
    $IPT -A FORWARD -j DROP

  2. #12
    angkor
    Nossa cara muito loko !!!, valeu !!!

    Como vc deve ter percebido eu não manjo miuto ded firewall, ou melhor, não manjo nada.
    Essas adaptações que fiz estão corretas ?
    Será desse jeito que eu vou roda-lo...

    /*********************************************************/
    #!/bin/bash
    IPT='/usr/sbin/iptables'
    MODPROBE='/sbin/modprobe'
    LOCAL=MEU IP DE INTERNET OU IP DO PROXY ???
    DNSONE=200.183.43.1
    DNSTWO=200.183.43.4

    ## CARREGANDO MODULOS
    $MODPROBE ip_tables
    $MODPROBE iptable_filter
    $MODPROBE ip_conntrack
    $MODPROBE ip_conntrack_ftp
    $MODPROBE iptable_nat
    $MODPROBE ip_nat_ftp
    $MODPROBE ipt_LOG
    $MODPROBE ipt_state
    $MODPROBE ipt_MASQUERADE

    ## DANDO FLUSHING NO FIREWALL, ZERANDO TUDO E DROPANDO TUDO, EXCETO OUTPUT
    $IPT -F
    $IPT -Z
    $IPT -X
    $IPT -t nat -F
    $IPT -P INPUT DROP
    $IPT -P FORWARD DROP
    $IPT -P OUTPUT ACCEPT

    ## HABILITANDO ROTEAMENTO
    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

    ## LIBERANDO INPUT PARA INTERFACE LOOPBACK
    $IPT -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
    $IPT -A INPUT -p ALL -s $LOCAL -i lo -j ACCEPT

    ## LIBERANDO AS RESPOSTAS DOS DNS PARA O FIREWALL
    $IPT -A INPUT -p udp -s $DNSONE --sport 53 -d $LOCAL -j ACCEPT
    $IPT -A INPUT -p udp -s $DNSTWO --sport 53 -d $LOCAL -j ACCEPT
    $IPT -A INPUT -p udp -s $LOCAL --sport 53 -d $LOCAL -j ACCEPT

    ## NADA DE PACOTE FRAGMENTADO NO FIREWALL
    $IPT -A INPUT -i eth0 -f -j LOG --log-prefix "Pacote INPUT fragmentado: "
    $IPT -A INPUT -i eth0 -f -j DROP

    ## REGRAS DE PING
    $IPT -A INPUT -p icmp --icmp-type 8 -i eth0 -j DROP
    $IPT -A INPUT -p icmp --icmp-type 0 -j DROP
    $IPT -A INPUT -p icmp -s $FIREWALL -d $LOCAL -j ACCEPT

    # Protege contra synflood
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies

    ## Desabilita suporte a souce routed packets, este recurso funciona como
    ## um NAT ao contradio, que em certas circunstacias pode permitir que
    ## alguem de fora envie pacotes para micros dentro da rede local.
    echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_source_route
    echo "0" > /proc/sys/net/ipv4/conf/eth1/accept_source_route
    echo "0" > /proc/sys/net/ipv4/conf/ppp0/accept_source_route

    ## Protecao contra ICMP Broadcasting
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

    # Protecoes diversas contra potscaners, ping of death, ataques Dos, etc...
    $IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    $IPT -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
    $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    $IPT -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    $IPT -A FORWARD -m unclean -j DROP
    $IPT -A INPUT -m state --state INVALID -j DROP
    $IPT -N VALID_CHECK
    $IPT -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
    $IPT -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
    $IPT -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
    $IPT -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
    $IPT -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
    $IPT -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
    $IPT -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP


    ## LIBERANDO ALGUMAS PORTAS
    $IPT -A INPUT -p TCP -s 0/0 --dport 80 -j ACCEPT
    $IPT -A INPUT -p TCP -s 0/0 --dport 443 -j ACCEPT
    $IPT -A INPUT -p TCP -s 0/0 --dport 25 -j ACCEPT
    $IPT -A INPUT -p TCP -s 0/0 --dport 110 -j ACCEPT
    $IPT -A INPUT -p udp -s 0/0 --dport 53 -j ACCEPT
    $IPT -A INPUT -p TCP -s 0/0 --dport 143 -j ACCEPT
    $IPT -A INPUT -p TCP --destination-port 22 -j ACCEPT

    ## DESCARTANDO PACOTES INVALIDOS
    $IPT -A FORWARD -m state --state INVALID -j DROP

    ## Abre para uma faixa de enderecos da rede local
    $IPT -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

    ## Libera squid para rede interna
    $IPT -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp --dport 3128 -j ACCEPT

    # Proxy transparente
    $IPT -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    ## ACEITA CONEXOES ESTABILIZADAS
    $IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

    ## PARA OUTLOOK FUNCIONAR, LIBERA A RESPOSTA E O ACESSO AOS RESOLVEDORES DE NOME
    $IPT -A FORWARD -p udp -s 0/0 -d $DNSONE --dport 53 -j ACCEPT
    $IPT -A FORWARD -p udp -s 0/0 -d $DNSTWO --dport 53 -j ACCEPT
    $IPT -A FORWARD -p udp -s 0/0 -d $LOCAL --dport 53 -j ACCEPT
    $IPT -A FORWARD -p udp -s $DNSONE --sport 53 -d 0/0 -j ACCEPT
    $IPT -A FORWARD -p udp -s $DNSTWO --sport 53 -d 0/0 -j ACCEPT
    $IPT -A FORWARD -p udp -s $LOCAL --sport 53 -d 0/0 -j ACCEPT

    ## DROPANDO TUDO E GRAVANDO
    $IPT -A FORWARD -j LOG --log-prefix "Pacote FORWARD descartado: "
    $IPT -A FORWARD -j DROP

    /******************************************************/



  3. #13
    angkor
    alguem conhece algum software para modo texto na qual eu monitore o consumo de manda na minha rede ?
    To querendo pegar um engraçadinho aqui que ta usando muito a internet.

    Atenciosamente
    angkor

  4. para monitoracao acredito que vc pode combinar o iptables com awk e uma ferramenta chanada rddtool... eu acho q tem um artigo aki no under sobre isso.

    [] Dotta :twisted:



  5. #15
    angkor
    Alguem ai sabe como faço pra parar o "worm" de nome COD RED no iptables não ta fazendo efeito nenhum mas seria bom c eu pudesse para-lo antes de chegar nas maquinas rwindows...






Tópicos Similares

  1. conflito com proxy + e-mail
    Por mcyberx no fórum Servidores de Rede
    Respostas: 2
    Último Post: 08-01-2005, 08:27
  2. E-mail com proxy squid limitado.
    Por tonton no fórum Servidores de Rede
    Respostas: 4
    Último Post: 01-10-2003, 17:05
  3. E-mail com horário adiantado
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 28-10-2002, 08:03
  4. E-mail com Sub-Dominio ??
    Por rosauro no fórum Servidores de Rede
    Respostas: 2
    Último Post: 21-10-2002, 10:34
  5. FUNÇÃO MAIL() COM USUARIO ERRADO
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 05-09-2002, 11:45

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L