+ Responder ao Tópico



  1. #1
    eagm
    Olá pessoal,

    Estou com uma dúvida referente ao firewall , eu fiz essa regras que estão aí abaixo mas porém não estão funcionando como eu queria !!!
    Alguém poderia dar uma olhada pra ver no que é que eu tô errando. ]
    Me ajudaria muito, pois não tenho muita experiência no assunto !!!

    #!/bin/bash

    #
    # Script de regras do Firewall na ordem: prerouting, depois postrouting, forward, input e output
    # Este script considera que o squid roda na mesma maquina do firewall
    #

    # Variáveis
    # -------------------------------------------------------
    IPTABLES=/usr/local/sbin/iptables
    ETH_EXTERNA=eth1
    ETH_INTERNA=eth0

    IP_MESA_EXTERNO= xxx.xxx.xxx.xxx
    IP_MESA_INTERNO=
    IP_NYX_EXTERNO=
    IP_NYX_INTERNO=
    IP_CRONOS_EXTERNO=
    IP_CRONOS_INTERNO=
    # Este ip de hermes eh ainda de hades
    IP_HERMES_EXTERNO=
    IP_HERMES_INTERNO=
    IP_HERA_INTERNO=
    IP_HERMES_WEB_INTERNO=
    IP_HERMES_WEB_EXTERNO=
    IP_RAFAEL_INTERNO=
    IP_CONFER_EXTERNO=
    IP_CONFER_INTERNO=
    IP_GTISERVER_INTERNO=
    IP_COINFO_EXTERNO=
    IP_COINFO_INTERNO=
    #IP_COINFO_SUPORTE_EXTERNO=
    #IP_COINFO_SUPORTE_INTERNO=
    IP_DIONISIO_EXTERNO=
    IP_DIONISIO_INTERNO=

    # Rede Interna
    REDE_INTERNA=10.0.0.0/16

    # Ativa módulos
    # -------------------------------------------------------
    /sbin/modprobe iptable_nat
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_REJECT
    /sbin/modprobe ipt_MASQUERADE
    /sbin/modprobe iptable_mangle

    # Ativa roteamento no kernel
    # -------------------------------------------------------
    echo "yes" > /proc/sys/net/ipv4/ip_forward

    # Proteção contra IP spoofing
    # -------------------------------------------------------
    echo "yes" > /proc/sys/net/ipv4/conf/all/rp_filter

    # Zera regras
    # -------------------------------------------------------
    $IPTABLES -F
    $IPTABLES -X
    $IPTABLES -F -t nat
    $IPTABLES -X -t nat
    $IPTABLES -F -t mangle
    $IPTABLES -X -t mangle

    # Determina a política padrão
    # -------------------------------------------------------
    $IPTABLES -P FORWARD DROP



    #################################################
    # Tabela NAT PREROUTING
    #################################################


    #####################
    # ACESSO HERMES_WEB #
    #####################

    $IPTABLES -t nat -A PREROUTING -d $IP_HERMES_WEB_EXTERNO -p icmp -j DNAT --to-destination $IP_HERMES_WEB_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_HERMES_WEB_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_HERMES_WEB_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_HERMES_WEB_EXTERNO -p tcp -m tcp --dport 8080 -j DNAT --to-destination $IP_HERMES_WEB_INTERNO

    #################
    # ACESSO HERMES #
    #################

    $IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p icmp -j DNAT --to-destination $IP_HERMES_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_HERMES_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 8080 -j DNAT --to-destination $IP_HERMES_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 25 -j DNAT --to-destination $IP_HERMES_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p udp -m udp --dport 25 -j DNAT --to-destination $IP_HERMES_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 110 -j DNAT --to-destination $IP_HERMES_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p udp -m udp --dport 110 -j DNAT --to-destination $IP_HERMES_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 143 -j DNAT --to-destination $IP_HERMES_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p udp -m udp --dport 143 -j DNAT --to-destination $IP_HERMES_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 22 -j DNAT --to-destination $IP_HERMES_INTERNO

    #################
    # ACESSO COINFO #
    #################

    #ASTERIX
    #---------------------------------------------------------
    $IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p icmp -j DNAT --to-destination $IP_COINFO_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_COINFO_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p tcp -m tcp --dport 25 -j DNAT --to-destination $IP_COINFO_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p udp -m udp --dport 25 -j DNAT --to-destination $IP_COINFO_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p tcp -m tcp --dport 110 -j DNAT --to-destination $IP_COINFO_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p udp -m udp --dport 110 -j DNAT --to-destination $IP_COINFO_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p tcp -m tcp --dport 22 -j DNAT --to-destination $IP_COINFO_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p tcp -m tcp --dport 143 -j DNAT --to-destination $IP_COINFO_INTERNO

    $IPTABLES -t nat -A POSTROUTING -s $IP_COINFO_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_COINFO_EXTERNO

    #SUPORTE_COINFO
    #----------------------------------------------------------
    #$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_SUPORTE_EXTERNO -p icmp -j DNAT --to-destination $IP_COINFO_SUPORTE_INTERNO

    #$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_SUPORTE_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_COINFO_SUPORTE_INTERNO


    #################
    # ACESSO CRONOS #
    #################

    $IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p icmp -j DNAT --to-destination $IP_CRONOS_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p tcp -m tcp --dport 21 -j DNAT --to-destination $IP_CRONOS_INTERNO
    $IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p tcp -m tcp --dport 20 -j DNAT --to-destination $IP_CRONOS_INTERNO

    # Servidor http do Cronos
    $IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_CRONOS_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p tcp -m tcp --dport 3306 -j DNAT --to-destination $IP_CRONOS_INTERNO
    $IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p udp -m udp --dport 3306 -j DNAT --to-destination $IP_CRONOS_INTERNO

    $IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p tcp -m tcp --dport 3389 -j DNAT --to-destination $IP_CRONOS_INTERNO

    ##############
    # ACESSO NYX #
    ##############

    $IPTABLES -t nat -A PREROUTING -d $IP_NYX_EXTERNO -p icmp -j DNAT --to-destination $IP_NYX_INTERNO
    $IPTABLES -t nat -A PREROUTING -d $IP_NYX_EXTERNO -p tcp -m tcp --dport 53 -j DNAT --to-destination $IP_NYX_INTERNO

    ##################
    # ACESSO DIONSIO #
    ##################

    $IPTABLES -t nat -A PREROUTING -d $IP_DIONISIO_EXTERNO -p icmp -j DNAT --to-destination $IP_DIONISIO_INTERNO
    $IPTABLES -t nat -A PREROUTING -d $IP_DIONISIO_EXTERNO -p tcp -m tcp --dport 22 -j DNAT --to-destination $IP_DIONISIO_INTERNO
    $IPTABLES -t nat -A PREROUTING -d $IP_DIONISIO_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_DIONISIO_INTERNO

    ##################
    # ACESSO AQUILES #
    ##################


    # Proxy transparente
    # -------------------------------------------------------
    $IPTABLES -t nat -A PREROUTING -i $ETH_INTERNA -s $REDE_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 3128
    $IPTABLES -t nat -A PREROUTING -i $ETH_INTERNA -s $REDE_INTERNA -p tcp --dport 8080 -j REDIRECT --to-port 3128



    #################################################
    # Tabela NAT POSTROUTING
    #################################################

    $IPTABLES -t nat -A POSTROUTING -s $IP_HERMES_WEB_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_HERMES_WEB_EXTERNO
    $IPTABLES -t nat -A POSTROUTING -s $IP_HERMES_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_HERMES_EXTERNO
    $IPTABLES -t nat -A POSTROUTING -s $IP_COINFO_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_COINFO_EXTERNO
    #$IPTABLES -t nat -A POSTROUTING -s $IP_COINFO_SUPORTE_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_COINFO_SUPORTE_EXTERNO
    $IPTABLES -t nat -A POSTROUTING -s $IP_CRONOS_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_CRONOS_EXTERNO
    $IPTABLES -t nat -A POSTROUTING -s $IP_NYX_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_NYX_EXTERNO
    $IPTABLES -t nat -A POSTROUTING -s $IP_DIONISIO_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_DIONISIO_EXTERNO


    #################################################
    # Tabela NAT POSTROUTING MASQUERADE
    #################################################

    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 20:995 -j MASQUERADE
    # dns/udp
    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p udp --dport 53 -j MASQUERADE
    # tomcat
    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 8080 -j MASQUERADE
    # icmp (ping, traceroute, etc)
    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p icmp -j MASQUERADE

    ########################################
    # programas que utilizam outras portas #


    # emulador do JavaNet (PORTA 3001) - Recursos Humanos
    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 3001 -j MASQUERADE

    # emulador do SERPRO (PORTA 23000) - Financeiro
    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 23000 -j MASQUERADE

    # COB-CAIXA (PORTA 3005) - de IP 10.0.2.53
    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 3005 -j MASQUERADE

    # Receitanet (PORTAS 1027, 1186, 1288) - COPERCRED
    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1027 -j MASQUERADE
    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1186 -j MASQUERADE
    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1288 -j MASQUERADE

    # Terminal Service (PORTA 3389) - Rafael da Qualidata
    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 3389 -j MASQUERADE

    # Conectividade Social - CEF (PORTA 2631) - COPERCRED
    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 2631 -j MASQUERADE

    # SISBACEN (PORTAS 5024, 1024) - COPERCRED
    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 5024 -j MASQUERADE
    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1024 -j MASQUERADE

    # servidor de e-mail SICOOBNE (1599) - COPERCRED
    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1599 -j MASQUERADE

    # CAIXA-FOLHA (PORTAS 1035, 1693:1697, 1700, 3563:3569) -
    # 2 computadores da embratel respondem pelo sistema: 200.244.109.83 e 172.165.157.64(porta 1035)
    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1035 -j MASQUERADE
    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1693:1697 -j MASQUERADE
    $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1700 -j MASQUERADE
    $IPTABLES -t nat -A POSTROUTING -d 200.244.109.83 -o $ETH_EXTERNA -p tcp --dport 3563:3569 -j MASQUERADE
    ########################################


    ###########
    # FORWARD #
    ###########

    # resposta do HERA a requisicao de DHCP
    $IPTABLES -A FORWARD -p udp -s $IP_HERA_INTERNO --sport 67 -j ACCEPT

    #http

    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 80 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 80 -d $REDE_INTERNA -j ACCEPT

    $IPTABLES -A FORWARD -p udp -s $REDE_INTERNA --dport 80 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -s ! $REDE_INTERNA --sport 80 -d $REDE_INTERNA -j ACCEPT

    # Mandar smtp (hermes)
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_HERMES_INTERNO --dport 25 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s $IP_HERMES_INTERNO --dport 25 -j ACCEPT

    # Mandar smtp (coinfo)
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_COINFO_INTERNO --dport 25 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s $IP_COINFO_INTERNO --dport 25 -j ACCEPT

    # Receber smtp (hermes)
    $IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 25 -d $IP_HERMES_INTERNO -j ACCEPT

    # Receber smtp (coinfo)
    $IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 25 -d $IP_COINFO_INTERNO -j ACCEPT

    # Para usuarios usarem os emails da instituição com outlook:
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --sport 25 -d $IP_HERMES_INTERNO -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --sport 25 -d $IP_COINFO_INTERNO -j ACCEPT

    # smtp de outro provedor somente para Rafael
    $IPTABLES -A FORWARD -p tcp -s $IP_RAFAEL_INTERNO --dport 25 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 25 -d $IP_RAFAEL_INTERNO -j ACCEPT
    # Fim - Quando ele for embora, comentar estas linhas

    # pop3 (hermes)
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_HERMES_INTERNO --dport 110 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp --sport 110 -d $IP_HERMES_INTERNO -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s $IP_HERMES_INTERNO --sport 110 -j ACCEPT

    # pop3 (coinfo)
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_COINFO_INTERNO --dport 110 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp --sport 110 -d $IP_COINFO_INTERNO -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s $IP_COINFO_INTERNO --sport 110 -j ACCEPT

    # pop3 de outro provedor somente para Rafael
    $IPTABLES -A FORWARD -p tcp -s $IP_RAFAEL_INTERNO --dport 110 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp --sport 110 -d $IP_RAFAEL_INTERNO -j ACCEPT
    # Fim - Quando ele for embora, comentar estas linhas

    # ssl - https
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 443 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 443 -d $REDE_INTERNA -j ACCEPT

    # mysql de hermes_web para cronos (acesso as mensagens da pagina da isntituicão)
    $IPTABLES -A FORWARD -p tcp -d $IP_CRONOS_INTERNO -s $IP_HERMES_WEB_INTERNO --dport 3306 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -d $IP_CRONOS_EXTERNO -s $IP_HERMES_WEB_EXTERNO --dport 3306 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -d $IP_CRONOS_INTERNO -s $IP_HERMES_WEB_INTERNO --dport 3306 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -d $IP_CRONOS_EXTERNO -s $IP_HERMES_WEB_EXTERNO --dport 3306 -j ACCEPT

    # mysql de cronos para hermes_web (acesso as mensagens da pagina da instituição)
    $IPTABLES -A FORWARD -p tcp -s $IP_CRONOS_INTERNO -d $IP_HERMES_WEB_INTERNO --sport 3306 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -s $IP_CRONOS_INTERNO -d $IP_HERMES_WEB_EXTERNO --sport 3306 -j ACCEPT

    # dns - tcp e udp
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 53 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 53 -d $REDE_INTERNA -j ACCEPT

    $IPTABLES -A FORWARD -p udp -s $REDE_INTERNA --dport 53 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -s ! $REDE_INTERNA --sport 53 -d $REDE_INTERNA -j ACCEPT

    # dns - para hera responder a consulta dns interno
    $IPTABLES -A FORWARD -p tcp -s $IP_HERA_INTERNO --sport 53 -d $REDE_INTERNA -j ACCEPT
    $IPTABLES -A FORWARD -p udp -s $IP_HERA_INTERNO --sport 53 -d $REDE_INTERNA -j ACCEPT

    # tomcat - 8080
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 8080 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 8080 -d $REDE_INTERNA -j ACCEPT

    # ssh
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 22 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 22 -d $REDE_INTERNA -j ACCEPT

    # ftp - portas 20 e 21
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 20 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 20 -d $REDE_INTERNA -j ACCEPT

    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 21 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 21 -d $REDE_INTERNA -j ACCEPT

    # imap
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 143 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 143 -d $REDE_INTERNA -j ACCEPT

    # imap4 sobre TSL/SSL
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 993 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 993 -d $REDE_INTERNA -j ACCEPT

    # pop3 sobre TSL/SSL (hermes)
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_HERMES_INTERNO --dport 995 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp --sport 995 -d $IP_HERMES_INTERNO -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s $IP_HERMES_INTERNO --sport 995 -j ACCEPT

    # pop3 sobre TSL/SSL (coinfo)
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_COINFO_INTERNO --dport 995 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp --sport 995 -d $IP_COINFO_INTERNO -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s $IP_COINFO_INTERNO --sport 995 -j ACCEPT

    # icmp (ping, traceroute, etc)
    $IPTABLES -A FORWARD -p icmp -s $REDE_INTERNA -j ACCEPT
    $IPTABLES -A FORWARD -p icmp -s ! $REDE_INTERNA -d $REDE_INTERNA -j ACCEPT


    ########################################
    # programas que utilizam outras portas #

    # emulador do JavaNet - Recursos Humanos
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 3001 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 3001 -d $REDE_INTERNA -j ACCEPT

    # emulador do SERPRO - Financeiro
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 23000 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 23000 -d $REDE_INTERNA -j ACCEPT

    # COB-CAIXA -
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d 200.231.155.65 --dport 3005 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s 200.231.155.65 --sport 3005 -d $REDE_INTERNA -j ACCEPT

    # Receitanet - COPERCRED
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 1027 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 1186 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 1288 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp --sport 1027 -d $REDE_INTERNA -j ACCEPT
    $IPTABLES -A FORWARD -p tcp --sport 1186 -d $REDE_INTERNA -j ACCEPT
    $IPTABLES -A FORWARD -p tcp --sport 1288 -d $REDE_INTERNA -j ACCEPT

    # Terminal Service - Rafael da Qualidata
    $IPTABLES -A FORWARD -p tcp -s $IP_RAFAEL_INTERNO --dport 3389 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp --sport 3389 -d $IP_RAFAEL_INTERNO -j ACCEPT

    # Conectividade Social - COPERCRED
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 2631 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp --sport 2631 -d $REDE_INTERNA -j ACCEPT

    # SISBACEN - COPERCRED
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 5024 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 1024 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp --sport 5024 -d $REDE_INTERNA -j ACCEPT
    $IPTABLES -A FORWARD -p tcp --sport 1024 -d $REDE_INTERNA -j ACCEPT

    # servidor de e-mail SICOOBNE - COPERCRED
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 1599 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp --sport 1599 -d $REDE_INTERNA -j ACCEPT

    # Protecoes

    # Dropa pacotes TCP indesejáveis
    $IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FWALL:NEW semsyn: "
    $IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

    # contra worms
    $IPTABLES -A FORWARD -p tcp --dport 135 -i $ETH_INTERNA -j REJECT

    # syn-flood
    $IPTABLES -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT

    # contra ping da morte
    $IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT


    # Aceita os pacotes que realmente devem entrar
    $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT


    #########
    # INPUT #
    #########
    # ssh de dentro
    $IPTABLES -A INPUT -i $ETH_INTERNA -p tcp --dport 22 -j ACCEPT

    # ssh de fora negado - tem que entrar de fora por dionisio
    $IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 22 -j DROP

    # icmp (pings...)
    $IPTABLES -A INPUT -i $ETH_INTERNA -p icmp -j ACCEPT
    $IPTABLES -A INPUT -i $ETH_EXTERNA -p icmp -j ACCEPT

    # telnet
    $IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 23 -j DROP

    # 3128 - Squid
    $IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 3128 -j DROP
    $IPTABLES -A INPUT -i $ETH_EXTERNA -p udp --dport 3128 -j DROP

    # Telnet
    $IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 23 -j DROP

    # 8080 - Squid em outras configuracoes
    $IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 8080 -j DROP
    $IPTABLES -A INPUT -i $ETH_EXTERNA -p udp --dport 8080 -j DROP

    # 1080 - Socks
    $IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 1080 -j DROP
    $IPTABLES -A INPUT -i $ETH_EXTERNA -p udp --dport 1080 -j DROP

    # netbios - bloquear conexoes pelas portas 137, 138 e 139 atraves da
    # interface externa - netbios
    $IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --sport 137 -j DROP
    $IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 137 -j DROP
    $IPTABLES -A INPUT -i $ETH_EXTERNA -p udp --sport 137 -j DROP
    $IPTABLES -A INPUT -i $ETH_EXTERNA -p udp --dport 137 -j DROP

    # Proteção contra port scanners
    $IPTABLES -N SCANNER
    $IPTABLES -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FWALLortscanner:"
    $IPTABLES -A SCANNER -j DROP
    $IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $ETH_EXTERNA -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -i $ETH_EXTERNA -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -i $ETH_EXTERNA -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $ETH_EXTERNA -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $ETH_EXTERNA -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $ETH_EXTERNA -j SCANNER
    $IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $ETH_EXTERNA -j SCANNER

    # Dropa pacotes mal formados
    #$IPTABLES -A INPUT -i $ETH_EXTERNA -m unclean -j LOG --log-level 6 --log-prefix "FWALLacote malformado:"
    #$IPTABLES -A INPUT -i $ETH_EXTERNA -m unclean -j DROP

    # Aceita os pacotes que realmente devem entrar
    $IPTABLES -A INPUT -i ! $ETH_EXTERNA -j ACCEPT
    $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # Protecao contra trinoo
    $IPTABLES -N TRINOO
    $IPTABLES -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FWALL: trinoo: "
    $IPTABLES -A TRINOO -j DROP
    $IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 27444 -j TRINOO
    $IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 27665 -j TRINOO
    $IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 31335 -j TRINOO
    $IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 34555 -j TRINOO
    $IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 35555 -j TRINOO

    # Protecao contra tronjans
    $IPTABLES -N TROJAN
    $IPTABLES -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FWALL: trojan: "
    $IPTABLES -A TROJAN -j DROP
    $IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 666 -j TROJAN
    $IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 666 -j TROJAN
    $IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 4000 -j TROJAN
    $IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 6000 -j TROJAN
    $IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 6006 -j TROJAN
    $IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 16660 -j TROJAN

    #########
    # OUTPUT #
    ##########

    # Aceita pacotes que realmente podem sair
    $IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT


    Desde de já agradeço pela atenção prestada

  2. #2
    muganga
    e como e o que voce queria que o seu firewall fizesse?
    Posta ai o que vc pretende com esse firewall

    Abraço



  3. #3
    eagm
    A minha principal dificuldade é saber se essa sequência de regras está ok, tipo: primeiro vem as regras de NAT ( prerouting e depois postrouting) e depois as regras de ( input, output e forward) !!! E outro problema era com a página que tenho hospedada aqui, quando mudei para essas regras o acesso fora a página ficou lento, em certos lugares dava até time out. Vc poderia dá uma olhada pra ver se as regras referentes a http estão ok !!!!

    Agradeço novamente






Tópicos Similares

  1. firewall duvida
    Por fmcjunior no fórum Mikrotik
    Respostas: 8
    Último Post: 24-02-2016, 12:11
  2. redhat 9 firewall duvida
    Por rlucatto no fórum Servidores de Rede
    Respostas: 2
    Último Post: 06-02-2004, 14:39
  3. redhat 9 firewall duvida
    Por rlucatto no fórum Servidores de Rede
    Respostas: 1
    Último Post: 04-02-2004, 10:05
  4. Dúvida em Firewall iptables
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 28-07-2003, 09:32
  5. DUVIDA FIREWALL DNS
    Por Kernel_Panic no fórum Servidores de Rede
    Respostas: 1
    Último Post: 20-01-2003, 17:00

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L