+ Responder ao Tópico



  1. #1
    quecosuix
    Visitante

    Padrão analise meu firewall

    não tenho muita experiencia em firewalls mas tenho feito alguns rascunhos. o firewall abaixo faz ligação da rede 192.168.1.0(modem)
    e 10.0.0.0(lan)
    no firewall a placa eth0 tem o ip 192.168.1.200
    no firewall a placa eth1 tem o ip 10.0.0.254

    nos clientes o gateway está setado para 10.0.0.254 no IE e os dns 200.215.1.43 e 200.215.1.44 da brasiltelecom nas configurações da rede.

    a route default está setada para 192.168.1.1(modem adsl)

    o problema é que nenhum cliente consegue ter acesso a net a não a ser o próprio firewall.

    se vcs precisarem de mais alguma informação para dar uma sugestão eu responde rapidinho.
    espero que alguém ache algum erro de logica ou qualquer outro tipo de erro na configuração abaixo,
    valeu
    cleiton


    #!/bin/bash
    #
    iptables -F
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle
    #
    echo 1 > /proc/sys/net/ipv4/ip_forward
    #
    modprobe ip_tables
    modprobe iptable_filter
    modprobe iptable_mangle
    modprobe iptable_nat
    modprobe ipt_MASQUERADE
    modprobe ipt_LOG
    modprobe ipt_limit
    modprobe ipt_state
    #
    iptables -A INPUT -i lo -j ACCEPT
    #
    #netip=192.168.0.2
    #netface=eth0
    #lanface=eth1
    #lanip=10.0.0.254
    #
    #
    iptables -P FORWARD DROP
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -A FORWARD -m unclean -j DROP
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    #
    iptables -A INPUT -p tcp --dport 21 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: ftp: "
    iptables -A INPUT -p tcp --dport 23 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: telnet: "
    iptables -A INPUT -p tcp --dport 25 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: smtp: "
    iptables -A INPUT -p tcp --dport 80 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: http: "
    iptables -A INPUT -p tcp --dport 110 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: pop3: "
    iptables -A INPUT -p tcp --dport 443 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: imap: "
    iptables -A INPUT -p tcp --dport 6667:6668 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: irc: "
    iptables -A INPUT -p tcp --dport 3128 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: squid: "
    #
    iptables -A FORWARD -i eth0 -p tcp --dport 20 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --dport 21 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --dport 443 -j ACCEPT
    #
    iptables -A INPUT -p tcp --destination-port 22 -i eth1 -j ACCEPT
    iptables -A INPUT -s 10.0.0.0/8 -i $netface -j DROP
    iptables -A INPUT -s 172.16.0.0/16 -i $netface -j DROP
    iptables -A INPUT -s 192.168.0.0/24 -i $netface -j DROP
    #
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A POSTROUTING -s $faixalan -o $netface -j MASQUERADE

  2. #2
    quecosuix
    Visitante

    Padrão pequenas alterações

    na seção INPUT é eth0 e não $netface

    e a regra
    iptables -t nat -A POSTROUTING -s $faixalan -o $netface -j MASQUERADE

    eh na verdade

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    a linha do REDIRECT que ativa o squid está comentada..
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128



  3. #3

    Padrão analise meu firewall

    nao vejo problema nenhum em ele especificar que ele so vai mascarar o que sair da lan interna dele, nao tem problema nisso. se ele tiver uma DMZ com ip valido, vai sair tudo com o ip do firewall? nao neh.


    e outra voce nao seta o gateway no IE , no ie o maximo que voce faz eh setar o proxy.

    qual eh a default gateway que voce colocou no tcp/ip dos seus clientes? tem que ser o ip do seu firewall, passei o pano rapidamente em suass e elas parecem estar ok.

  4. #4
    quecosuix
    Visitante

    Padrão analise meu firewall

    eh verdade me expressei mal, nos clientes está o ip do proxy. 10.0.0.254
    eh a interface eth1.

    o default gateway tb coloquei o ip 10.0.0.254

    desculpe mais vou ser sincero não sei o que DMZ

    tudo vai sair pelo ip do modem 192.168.1.1 que recebe um ip dinamico da brasiltelecom.

    ajudou?!
    valeu
    cleiton



  5. #5
    quecosuix
    Visitante

    Padrão pergunta paralela

    pergunta paralela

    quando faço a regra abaixo ele libera tanto pros pacotes irem da lan para internet e da internet para a lan?! é necessário apenas uma regra ou uma pra cada sentido?!

    iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT

    no meu firewall percebi que não fiz nenhum regra INPUT ou FORWARD para liberar pacotes de protocolo UDP, mas também em nenhum momento bloquei o mesmo.

    valeu

  6. #6
    muganga
    Visitante

    Padrão firewall

    aconselharia adicionar as seguintes regras

    #Regras para bloquear portas netbios
    iptables -A FORWARD -p tcp --dport 135 -j DROP
    iptables -A FORWARD -p udp --dport 135 -j DROP
    iptables -A FORWARD -p udp --dport 137 -j DROP
    iptables -A FORWARD -p udp --dport 138 -j DROP
    iptables -A FORWARD -p tcp --dport 139 -j DROP
    iptables -A FORWARD -p udp --dport 445 -j DROP
    iptables -A FORWARD -p tcp --dport 445 -j DROP
    iptables -A FORWARD -p tcp --dport 593 -j DROP

    #Regra para bloquear ping
    iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
    #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all


    #Regra para limitar pacotes syn (evita flooding)
    iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT


    abraços

    Muganga
    MSN: [email protected]
    ICQ: 314528019