Página 1 de 4 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    muganga
    seguinte galera..
    tenho um firewall que esta no /etc/rc.local quando executo o comando ./rc.local minha internet para de funcionar ai tenho que reiniciar o server entretando as regras que fazem o OUTLOOK funcionar nao sao levantadas. Vejam as permissoes do rc.local

    ls -lia rc.local
    212217 -rwxr-xr-x 1 root root 7808 Out 18 17:23 rc.local

    Se quiserem que posto o conteudo do rc.local é so falarem

    Abraço a todos

  2. #2
    guardian_metal
    Acharia legal você colocar as regras de firewall em um outro arquivo. Eu coloquo dentro dum arquivo chamado ipt que fica em /etc/firewall e depois rodo ./ipt.



  3. #3
    muganga
    guardian_metal...segui sua sugestao e mesmo assim qdo dou
    ./ipt a internet para...nao consigo pingar em lugar nenhum...

    Abraço

  4. #4
    guardian_metal
    Como estão suas regras?



  5. #5
    muganga
    guardian_metal..segue anexo conteudo do meu rc.local


    #!/bin/sh
    #
    # This script will be executed *after* all the other init scripts.
    # You can put your own initialization stuff in here if you don't
    # want to do the full Sys V style init stuff.

    touch /var/lock/subsys/local

    route add default gw 172.16.2.1

    /sbin/modprobe ip_tables
    /sbin/modprobe iptables_nat
    /sbin/modprobe iptables_filter

    #Regras para conseguir usar FTP
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp

    echo "1" > /proc/sys/net/ipv4/ip_forward

    #REGRA PARA LIMPEZA DAS REGRAS (FLUSH)
    iptables -F
    iptables -Z
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t nat -Z


    #REGRA PARA BLOQUEAR(POR MAC)DETERMINADA MAQUINA DE ACESSAR INTERNET (OK)
    iptables -t nat -A PREROUTING -m mac --mac-source 00:07:95:CD:AA:58 -j DROP

    #Regra para fazer REDIRECIONAMENTO para a porta 8080 (PROXY)(OK)
    iptables -t nat -A PREROUTING -i eth0 -s 10.1.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
    iptables -t nat -A PREROUTING -s localhost -p tcp --dport 80 -j REDIRECT --to-port 8080


    #Regra para fazer OUTLOOK funcionar (OK)
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT


    #Regras para bloquear entradas netbios e outras portas (OK)
    iptables -t filter -A INPUT -p udp --dport 137 -j DROP
    iptables -t filter -A INPUT -p udp --sport 138 -j DROP
    iptables -t filter -A INPUT -p udp --dport 138 -j DROP
    iptables -t filter -A INPUT -p udp --sport 139 -j DROP
    iptables -t filter -A INPUT -p udp --dport 139 -j DROP
    iptables -t filter -A INPUT -p udp --sport 445 -j DROP
    iptables -t filter -A INPUT -p udp --dport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --sport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --dport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --sport 1025 -j DROP
    iptables -t filter -A INPUT -p tcp --dport 1025 -j DROP
    iptables -t filter -A INPUT -p udp --sport 1025 -j DROP
    iptables -t filter -A INPUT -p udp --dport 1025 -j DROP

    #Regras para bloquear saida netbios e outras portas (OK)
    iptables -t filter -A OUTPUT -p udp --dport 137 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 138 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 138 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 139 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 139 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 445 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --sport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --dport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --sport 1025 -j DROP
    iptables -t filter -A OUTPUT -p tcp --dport 1025 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 1025 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 1025 -j DROP

    #Regra para aceitar ping da minha maquina
    iptables -A INPUT -s 10.1.1.50/32 -p icmp -j ACCEPT
    iptables -A INPUT -p icmp -j DROP

    #Regra para bloquear ping
    #iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
    #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

    #Regra para bloquear TRACEROUTE (NO)
    iptables -A INPUT -p udp --dport 3345:33525 -j DROP

    #Regra para bloquear Back Orifice (YES)
    iptables -A INPUT -p tcp -i eth0 --dport 31337 -j DROP
    iptables -A INPUT -p udp -i eth0 --dport 31337 -j DROP


    #Regra para bloquear accesso pelas portas do X Server(interface grafica) (YES)
    iptables -A INPUT -p tcp -i eth0 --dport 5999:6003 -j DROP
    iptables -A INPUT -p udp -i eth0 --dport 5999:6003 -j DROP
    iptables -A INPUT -p tcp -i eth0 --dport 7100 -j DROP

    #Regra para limitar pacotes syn (evita flooding) (YES)
    iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

    #Regra para bloquear socks tunneling (YES)
    iptables -t filter -A FORWARD -s 64.83.28.77 -j DROP
    iptables -t filter -A FORWARD -d 64.83.28.77 -j DROP
    iptables -t filter -A FORWARD -d 200.221.7.2 -j DROP
    iptables -t filter -A FORWARD -d 63.219.179.196 -j DROP

    #Regra para proteger contra Spoofing (pacotes entram na rede com ip falsificado)(YES)
    iptables -A INPUT -s 10.1.1.0/24 -i eth0 -j DROP
    echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

    #Regra para proteger contra syn-floods (YES)
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

    #Regra para proteger contra port scanners
    iptables -N SCANNER
    iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner:"
    iptables -A SCANNER -j DROP
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL NONE -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL ALL -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth0 -j SCANNER


    #Regra para proteger contra ping da morte
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    #Regra para proteger contra pacotes danificados ou suspeitos (ataque DOS)
    iptables -A FORWARD -m unclean -j DROP

    #Regra para bloquear NFS
    iptables -A INPUT -p tcp -i eth1 --syn --dport 111 -j DROP

    #Regra para proteger contra Trojans
    iptables -N TROJAN
    iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL:trojan:"
    iptables -A TROJAN -j DROP
    iptables -A INPUT -p TCP -i eth0 --dport 666 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 4000 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 6000 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 6006 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 16660 -j TROJAN


    #Regra para proteger contra worms
    iptables -A FORWARD -p tcp --dport 135 -i eth1 -j REJECT
    iptables -A FORWARD -p tcp --dport 1025 -i eth1 -j REJECT
    iptables -A FORWARD -p udp --dport 1025 -i eth1 -j REJECT


    Abraços






Tópicos Similares

  1. Problemas com rc.local
    Por infinnitum no fórum Sistemas Operacionais
    Respostas: 14
    Último Post: 06-11-2007, 08:28
  2. Problemas com sniffers na rede local!
    Por alanvictorjp no fórum Redes
    Respostas: 9
    Último Post: 23-03-2007, 01:14
  3. Problemas com locales
    Por gil.petrilo no fórum Sistemas Operacionais
    Respostas: 1
    Último Post: 08-03-2006, 08:03
  4. problemas com perfil local no samba
    Por perdiga no fórum Servidores de Rede
    Respostas: 0
    Último Post: 07-12-2005, 10:52
  5. problemas com o IMP
    Por marlonfuchs no fórum Servidores de Rede
    Respostas: 0
    Último Post: 27-06-2002, 08:13

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L