+ Responder ao Tópico



  1. #6
    nao ta funcionando pq ele uso -P OUTPUT DROP eh ainda por cima nao fez uma regra de FORWARD eficiente
    cara na boa apaga tudo eh comeca denovo

  2. #7
    mas assim ele pego o sentido da coisa so q ele entro meio q em "paranoia" nao tem necessidade de se tao restritivo assim... quero dizer... voce pode faze esse controle loco q vc ta querendo ai mas vc tem q ter em mente o "caminho dos pacotes" por exemplo...

    #$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
    vc ta dropando conexoes novas...

    #$iptables -A INPUT -p TCP -s 192.168.1.0/24 -m multiport --dport 8,11,21,22,3128,25,110,1041,1863,443,80,2222,10000,9024,35000 -j ACCEPT
    eh depois vc quer liberar as portas... entao vc primeiro dropa seu cliente pra depois dar acesso? nao faz sentido...

    me passa seu email vou te mandar meu script pra vc dar uma estudada



  3. #8
    detalhe peguei a regra errada nao sei se alguem percebeu mas nao eh essa
    #$iptables -A INPUT -p TCP -s 192.168.1.0/24 -m multiport --dport 8,11,21,22,3128,25,110,1041,1863,443,80,2222,10000,9024,35000 -j ACCEPT


    eh essa
    #$iptables -A FORWARD -p TCP -s 192.168.1.0/24 -m multiport --dport 8,11,21,22,3128,80,25,110,443,1041,1863,10000,9024,35000 -j ACCEPT

    oque eh pior ainda pq se vc especifica no INPUT abrir essas portas todas vc esta abrindo todas essas portas no IP do firewall!!!
    INPUT filho so eh pra propria maquina!! tipo assim o INPUT so escuta o IP do firewall eo loopback

  4. #9
    dB
    Citação Postado originalmente por Anonymous
    detalhe peguei a regra errada nao sei se alguem percebeu mas nao eh essa
    #$iptables -A INPUT -p TCP -s 192.168.1.0/24 -m multiport --dport 8,11,21,22,3128,25,110,1041,1863,443,80,2222,10000,9024,35000 -j ACCEPT


    eh essa
    #$iptables -A FORWARD -p TCP -s 192.168.1.0/24 -m multiport --dport 8,11,21,22,3128,80,25,110,443,1041,1863,10000,9024,35000 -j ACCEPT

    oque eh pior ainda pq se vc especifica no INPUT abrir essas portas todas vc esta abrindo todas essas portas no IP do firewall!!!
    INPUT filho so eh pra propria maquina!! tipo assim o INPUT so escuta o IP do firewall eo loopback
    Caros desculpe, nao pude ver o meu proprio post antes, seguinte essa "regra" de bloqear pra depois liberar eu achei mais seguro, gostaria q vc pudesse entao me enviar seu script pra eu dar um olhada.

    diogoborsoi@yahoo.com.br

    Grato a todas as criticas e sugestoes q foram e q serao dadas...



  5. #10
    felco
    Pega esse eh bem simples:

    -----------------------------------------------
    #!/bin/bash

    #Variaveis
    INT="eth1"
    EXT="eth0"
    LAN="192.168.0.0/16"
    iptables="/sbin/iptables"

    inicia () {
    #Ativa repasse de pacotes
    echo "Iniciando..."
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #Zerar regras
    $iptables -F
    $iptables -X
    $iptables -t nat -F
    $iptables -t nat -X

    #Politca padrao
    $iptables -P INPUT DROP
    $iptables -P FORWARD DROP
    $iptables -P OUTPUT ACCEPT

    #Regras de NAT
    #
    #Regra para o Squid
    #$iptables -t nat -A PREROUTING -i $INT -s 192.168.0.0/16 -p tcp --dport 80 -j REDIRECT --to-port 3128

    #Regras basicas de INPUT
    $iptables -A INPUT -i $INT -s 0/0 -p tcp --dport 22 -j ACCEPT
    $iptables -A INPUT -i $EXT -s 0/0 -p tcp --dport 22 -j ACCEPT
    $iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    $iptables -A INPUT -i $INT -s $LAN -p tcp --dport 3128 -j ACCEPT
    $iptables -A INPUT -i lo -j ACCEPT
    $iptables -A INPUT -j DROP

    #Regras basicas de FORWARD
    $iptables -A FORWARD -p tcp --dport 135 -j DROP
    $iptables -A FORWARD -p udp -m multiport --dports 137,138 -j DROP
    $iptables -A FORWARD -p tcp --dport 139 -j DROP
    $iptables -A FORWARD -p tcp --dport 445 -j DROP
    $iptables -A FORWARD -p udp --dport 445 -j DROP
    $iptables -A FORWARD -p udp --dport 500 -j DROP
    $iptables -A FORWARD -p tcp --dport 1039 -j DROP
    $iptables -A FORWARD -p udp --dport 1050 -j DROP
    $iptables -A FORWARD -p udp --dport 1065 -j DROP
    $iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
    $iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
    $iptables -A FORWARD -j DROP

    #Masquerade
    $iptables -t nat -A POSTROUTING -o $EXT -s $LAN -j MASQUERADE
    }

    para () {
    echo "Parando..."
    $iptables -F
    $iptables -F -t nat
    $iptables -X
    $iptables -X -t nat
    $iptables -P INPUT ACCEPT
    $iptables -P FORWARD ACCEPT
    $iptables -P OUTPUT ACCEPT
    echo 0 > /proc/sys/net/ipv4/ip_forward
    }

    case $1 in

    start)
    inicia
    ;;
    stop)
    para
    ;;
    *)
    echo "Uso: $0 (start|stop)"
    ;;
    esac
    --------------------------------------------






Tópicos Similares

  1. Respostas: 2
    Último Post: 23-12-2010, 12:46
  2. Respostas: 2
    Último Post: 03-06-2008, 00:53
  3. Estações pingam IP e Nome, mas não navegam!
    Por capgaiotto no fórum Servidores de Rede
    Respostas: 2
    Último Post: 06-07-2006, 19:31
  4. Nome das Estacoes nao aparecem no Ambiente de Rede
    Por Rurouni_Kenshin no fórum Servidores de Rede
    Respostas: 5
    Último Post: 02-06-2004, 09:09
  5. Minha internet nao funciona no Mandrake 9.0
    Por dcopp no fórum Servidores de Rede
    Respostas: 4
    Último Post: 15-04-2004, 13:35

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L