Página 2 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. #6
    guardian_metal
    Tenta por assim:

    #REGRA PARA LIMPEZA DAS REGRAS (FLUSH)
    iptables -F
    iptables -Z
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t nat -Z

    #Ativa Módulos
    modprobe ip_tables
    modprobe iptables_nat
    modprobe iptables_filter
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp

    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
    #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

    #Regra para proteger contra Spoofing (pacotes entram na rede com ip falsificado)(YES)
    iptables -A INPUT -s 10.1.1.0/24 -i eth0 -j DROP

    #Regra para bloquear ping
    #iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

    #Regras para bloquear entradas netbios e outras portas (OK)
    iptables -t filter -A INPUT -p udp --dport 137 -j DROP
    iptables -t filter -A INPUT -p udp --sport 138 -j DROP
    iptables -t filter -A INPUT -p udp --dport 138 -j DROP
    iptables -t filter -A INPUT -p udp --sport 139 -j DROP
    iptables -t filter -A INPUT -p udp --dport 139 -j DROP
    iptables -t filter -A INPUT -p udp --sport 445 -j DROP
    iptables -t filter -A INPUT -p udp --dport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --sport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --dport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --sport 1025 -j DROP
    iptables -t filter -A INPUT -p tcp --dport 1025 -j DROP
    iptables -t filter -A INPUT -p udp --sport 1025 -j DROP
    iptables -t filter -A INPUT -p udp --dport 1025 -j DROP

    #Regras para bloquear saida netbios e outras portas (OK)
    iptables -t filter -A OUTPUT -p udp --dport 137 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 138 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 138 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 139 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 139 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 445 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --sport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --dport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --sport 1025 -j DROP
    iptables -t filter -A OUTPUT -p tcp --dport 1025 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 1025 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 1025 -j DROP

    #Regra para aceitar ping da minha maquina
    iptables -A INPUT -s 10.1.1.50/32 -p icmp -j ACCEPT
    iptables -A INPUT -p icmp -j DROP

    #Regra para bloquear TRACEROUTE (NO)
    iptables -A INPUT -p udp --dport 3345:33525 -j DROP

    #Regra para bloquear Back Orifice (YES)
    iptables -A INPUT -p tcp -i eth0 --dport 31337 -j DROP
    iptables -A INPUT -p udp -i eth0 --dport 31337 -j DROP

    #Regra para bloquear accesso pelas portas do X Server(interface grafica) (YES)
    iptables -A INPUT -p tcp -i eth0 --dport 5999:6003 -j DROP
    iptables -A INPUT -p udp -i eth0 --dport 5999:6003 -j DROP
    iptables -A INPUT -p tcp -i eth0 --dport 7100 -j DROP

    #Regra para limitar pacotes syn (evita flooding) (YES)
    iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

    #Regra para bloquear socks tunneling (YES)
    iptables -t filter -A FORWARD -s 64.83.28.77 -j DROP
    iptables -t filter -A FORWARD -d 64.83.28.77 -j DROP
    iptables -t filter -A FORWARD -d 200.221.7.2 -j DROP
    iptables -t filter -A FORWARD -d 63.219.179.196 -j DROP

    #Regra para proteger contra syn-floods (YES)
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

    #Regra para proteger contra port scanners
    iptables -N SCANNER
    iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner:"
    iptables -A SCANNER -j DROP
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL NONE -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL ALL -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth0 -j SCANNER

    #Regra para proteger contra ping da morte
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    #Regra para proteger contra pacotes danificados ou suspeitos (ataque DOS)
    iptables -A FORWARD -m unclean -j DROP

    #Regra para bloquear NFS
    iptables -A INPUT -p tcp -i eth1 --syn --dport 111 -j DROP

    #Regra para proteger contra Trojans
    iptables -N TROJAN
    iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL:trojan:"
    iptables -A TROJAN -j DROP
    iptables -A INPUT -p TCP -i eth0 --dport 666 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 4000 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 6000 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 6006 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 16660 -j TROJAN

    #Regra para proteger contra worms
    iptables -A FORWARD -p tcp --dport 135 -i eth1 -j REJECT
    iptables -A FORWARD -p tcp --dport 1025 -i eth1 -j REJECT
    iptables -A FORWARD -p udp --dport 1025 -i eth1 -j REJECT

    #Regra para fazer OUTLOOK funcionar (OK)
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT

    #REGRA PARA BLOQUEAR(POR MAC)DETERMINADA MAQUINA DE ACESSAR INTERNET (OK)
    iptables -t nat -A PREROUTING -m mac --mac-source 00:07:95:CD:AA:58 -j DROP

    #Regra para fazer REDIRECIONAMENTO para a porta 8080 (PROXY)(OK)
    iptables -t nat -A PREROUTING -i eth0 -s 10.1.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
    iptables -t nat -A PREROUTING -s localhost -p tcp --dport 80 -j REDIRECT --to-port 8080

  2. #7
    muganga
    guardian_metal...fiz o que vc sugeriu e mesmo assim nao funcionou...ai tirei praticamente todas as regras do firewall....e ficou assim...

    route add default gw 172.16.2.1

    #REGRA PARA LIMPEZA DAS REGRAS (FLUSH)
    iptables -F
    iptables -Z
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t nat -Z

    #Ativa Mprobe iptables_nat
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp

    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

    #Regras para bloquear entradas netbios e outras portas (OK)
    iptables -t filter -A INPUT -p udp --dport 137 -j DROP
    iptables -t filter -A INPUT -p udp --sport 138 -j DROP
    iptables -t filter -A INPUT -p udp --dport 138 -j DROP
    iptables -t filter -A INPUT -p udp --sport 139 -j DROP
    iptables -t filter -A INPUT -p udp --dport 139 -j DROP
    iptables -t filter -A INPUT -p udp --sport 445 -j DROP
    iptables -t filter -A INPUT -p udp --dport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --sport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --dport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --sport 1025 -j DROP
    iptables -t filter -A INPUT -p tcp --dport 1025 -j DROP
    iptables -t filter -A INPUT -p udp --sport 1025 -j DROP
    iptables -t filter -A INPUT -p udp --dport 1025 -j DROP

    #Regras para bloquear saida netbios e outras portas (OK)
    iptables -t filter -A OUTPUT -p udp --dport 137 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 138 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 138 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 139 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 139 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 445 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --sport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --dport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --sport 1025 -j DROP
    iptables -t filter -A OUTPUT -p tcp --dport 1025 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 1025 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 1025 -j DROP

    #Regra para proteger contra port scanners
    iptables -N SCANNER
    iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner:"
    iptables -A SCANNER -j DROP
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL NONE -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL ALL -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth0 -j SCANNER

    #Regra para proteger contra Trojans
    iptables -N TROJAN
    iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL:trojan:"
    iptables -A TROJAN -j DROP
    iptables -A INPUT -p TCP -i eth0 --dport 666 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 4000 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 6000 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 6006 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 16660 -j TROJAN

    #Regra para fazer OUTLOOK funcionar (OK)
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT

    #Regra para fazer REDIRECIONAMENTO para a porta 8080 (PROXY)(OK)
    iptables -t nat -A PREROUTING -i eth0 -s 10.1.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
    iptables -t nat -A PREROUTING -s localhost -p tcp --dport 80 -j REDIRECT --to-port 8080

    Agora o OUTLOOK nao esta funcionando

    Abraços



  3. Coloca no inicio do seu fire essas regras padrao caso nenhum pacote ache uma regra para o iptables.:



    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP

  4. #9
    muganga
    oyama...coloquei as regras que vc me disse e quando dei um ./rc.local perdi minha conexao ssh e tb conexao com internet...e o OUTLOOK continua sem funfar

    Abracos



  5. #10
    guardian_metal
    O oyama te passou regras de bloqueio em todas as portas para INPUT e FORWARD. Se você quiser acesso ao ssh, troque o DROP pelo ACCEPT no que o oyama passou. Se quiser deixar como está e acessar o ssh, adicione:

    # Para somente sua máquina acessar via ssh
    iptables -A INPUT -s 10.1.1.50/32 -p tcp --dport 22 -j ACCEPT

    ou

    # Para somente sua rede interna acessar via ssh
    iptables -A INPUT -s 10.1.1.0/24 -p tcp --dport 22 -j ACCEPT

    ou

    # Para todos de qq lugar acessar via ssh
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT






Tópicos Similares

  1. Problemas com rc.local
    Por infinnitum no fórum Sistemas Operacionais
    Respostas: 14
    Último Post: 06-11-2007, 08:28
  2. Problemas com sniffers na rede local!
    Por alanvictorjp no fórum Redes
    Respostas: 9
    Último Post: 23-03-2007, 01:14
  3. Problemas com locales
    Por gil.petrilo no fórum Sistemas Operacionais
    Respostas: 1
    Último Post: 08-03-2006, 08:03
  4. problemas com perfil local no samba
    Por perdiga no fórum Servidores de Rede
    Respostas: 0
    Último Post: 07-12-2005, 10:52
  5. problemas com o IMP
    Por marlonfuchs no fórum Servidores de Rede
    Respostas: 0
    Último Post: 27-06-2002, 08:13

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L