+ Responder ao Tópico



  1. Olá pessoal!

    Estou tentando montar um script para meu firewall baseado na Politica de DROP para "INPUT,OUTPUT,FORWARD" , mas após ter colocado esta police tudo parou, Obvio!
    Mas ai comecei a liberar o loopback depois ping entre minha maquina (rede local) e meu server, dai pra frente não consegui liberar mais nada...ja tentei varias regras mas não funciona, estrei colocando o que escrevi ate agora para que possam me ajudar a descobrir o que esta havendo...

    Observem que a Police de FORWARD esta ACCEPT , senão não estarria escrevendo este......:-) , mas logo ela tera de ficar DROP...


    #!/bin/bash
    ANY=0.0.0.0/0
    NET=Meu ip valido
    LOCAL=192.168.0.0/30
    NETLINK=eth1
    LOCALLINK=eth0

    #### LIMPANDO AS TABELAS ####
    iptables -F
    iptables -t nat -F
    iptables -t mangle -f

    #### LIMPANDO AS CHAINS ####
    iptables -X
    iptables -t nat -X
    iptables -t mangle -X

    #### POLITICA DE CONTROLE ####
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD ACCEPT

    #### LIBERANDO O LOOPBACK ####
    iptables -A INPUT -d 127.0.0.1 -j ACCEPT
    iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT

    #### LIBERANDO SSH PARA O SERVER ####
    iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    #Obs: Tentei tb com estas regras!
    iptables -A OUTPUT -p tcp -s ${NET} --sport 1024:65535 -d 0/0 --dport 22 -j ACCEPT
    iptables -A OUTPUT -p udp -s ${NET} --sport 1024:65535 -d 0/0 --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d ${NET} --dport 22 -j ACCEPT
    iptables -A INPUT -p udp -s 0/0 --sport 1024:65535 -d ${NET} --dport 22 -j ACCEPT

    #### LIBERANDO PING PARA A MAQUINA DA REDE LOCAL ####
    # LEMBRANDO QUE AS REGRAS DE PING PARA A REDE LOCAL E #SERVIDOR E A REGRA PARA O LOOPBACK, SÃO AS UNICAS QUE #ESTÃO FUNCIONANDO.

    iptables -A OUTPUT -s ${LOCAL} -p icmp --icmp-type 8 -d 0/0 -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d ${LOCAL} -j ACCEPT

    iptables -A OUTPUT -s ${NET} -p icmp --icmp-type 8 -d 0/0 -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d ${NET} -j ACCEPT

    iptables -A INPUT -s 192.168.0.2 -p icmp --icmp-type 8 -d 192.168.0.1 -j ACCEPT

    iptables -A OUPUT -s 192.168.0.1-p icmp --icmp-type 0 -d 192.168.0.2 -j ACCEPT

    iptables -A FORWARD -s 0/0 -p icmp --icmp-type 0 -d 192.168.0.2 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.2 -p icmp --icmp-type 8 -d 0/0 -j ACCEPT

    #### LIBERANDO SSH ENTRE REDE LOCAL E SERVIDOR ###
    # ESTA REGRA NÃO FUNCIONOU
    iptables -A OUTPUT -s 192.168.0.1 -p tcp -d 192.168.0.2 --dport 22 -j ACCEPT
    iptables -A INPUT -s 192.168.0.2 -p tcp -d 192.168.0.1 --dport 22 -j ACCEPT

    #### LIBERANDO SSH DA REDE LOCAL PARA FORA ####
    # ESTA REGRA NÃO FUNCIONOU
    iptables -A FORWARD -s 0/0 -p tcp -d 192.168.0.2 --dport 22 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.2 -p tcp -d 0/0 --dport 22 -j ACCEPT

    #### COMPARTILHAMENTO DE INTERNET ####
    modprobe iptable_nat
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    ### ENTÃO FOI ATE AQUI QUE INSERI AS REGRAS###

    Olha gostaria de conseguir liberar a navegacao, dns, telnet, pop3,smtp, ssh e outros tando entre a rede local e servidor, servidor internet, e rede local internet.

    A todos que lerem este meus sinceros agradecimentos, e aqueles que tirarem um pouco de seu precioso tempo pra tentar me ajudar lhes agradeço ainda mais.


    VaLeu!

    S.O = Slackware 10 + kernel 2.4.26

  2. Quem sabe isso venha a te ajudar!!! Se mesmo assim nao der post ai damos um jeito!!!
    #!/bin/bash

    #### LIMPANDO AS TABELAS ####

    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X

    #Variáveis do firewall
    CONFIAVEL1=192.168.0.10
    CONFIAVEL2=192.168.0.11
    REDEMASQ=192.168.0.0/24

    #### POLITICA DE CONTROLE ####
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD ACCEPT

    #### LIBERANDO O LOOPBACK ####
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state ESTABILISHED,RELATED -j ACCEPT

    # Criando perfil de acesso administrativo
    iptables -N ADMIN
    iptables -A ADMIN -i eth1 -p tcp --dport 22 --syn -j LOG --log-level info /
    --log-prefix "[Acesso Admin]:"
    iptables -A ADMIN -i eth1 -p tcp --dport 22 --syn -j ACCEPT

    # Aplicando a permissao de acesso ssh a CONFIAVEL1 e 2
    iptables -A INPUT -i eth1 -s $CONFIAVEL1 -j ADMIN
    iptables -A INPUT -i eth1 -s $CONFIAVEL2 -j ADMIN

    #### LIBERANDO PING PARA A MAQUINA DA REDE LOCAL ####
    # LEMBRANDO QUE AS REGRAS DE PING PARA A REDE LOCAL E #SERVIDOR E A REGRA PARA O LOOPBACK, SÃO AS UNICAS QUE #ESTÃO FUNCIONANDO.

    iptables -A OUTPUT -s ${LOCAL} -p icmp --icmp-type 8 -d 0/0 -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d ${LOCAL} -j ACCEPT

    iptables -A OUTPUT -s ${NET} -p icmp --icmp-type 8 -d 0/0 -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d ${NET} -j ACCEPT

    iptables -A INPUT -s 192.168.0.2 -p icmp --icmp-type 8 -d 192.168.0.1 -j ACCEPT

    iptables -A OUPUT -s 192.168.0.1-p icmp --icmp-type 0 -d 192.168.0.2 -j ACCEPT

    iptables -A FORWARD -s 0/0 -p icmp --icmp-type 0 -d 192.168.0.2 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.2 -p icmp --icmp-type 8 -d 0/0 -j ACCEPT

    #### COMPARTILHAMENTO DE INTERNET ####
    modprobe iptable_nat
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward



  3. Citação Postado originalmente por gatoseco
    Quem sabe isso venha a te ajudar!!! Se mesmo assim nao der post ai damos um jeito!!!
    #!/bin/bash

    #### LIMPANDO AS TABELAS ####

    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X

    #Variáveis do firewall
    CONFIAVEL1=192.168.0.10
    CONFIAVEL2=192.168.0.11
    REDEMASQ=192.168.0.0/24

    #### POLITICA DE CONTROLE ####
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD ACCEPT

    #### LIBERANDO O LOOPBACK ####
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state ESTABILISHED,RELATED -j ACCEPT

    # Criando perfil de acesso administrativo
    iptables -N ADMIN
    iptables -A ADMIN -i eth1 -p tcp --dport 22 --syn -j LOG --log-level info /
    --log-prefix "[Acesso Admin]:"
    iptables -A ADMIN -i eth1 -p tcp --dport 22 --syn -j ACCEPT

    # Aplicando a permissao de acesso ssh a CONFIAVEL1 e 2
    iptables -A INPUT -i eth1 -s $CONFIAVEL1 -j ADMIN
    iptables -A INPUT -i eth1 -s $CONFIAVEL2 -j ADMIN

    #### LIBERANDO PING PARA A MAQUINA DA REDE LOCAL ####
    # LEMBRANDO QUE AS REGRAS DE PING PARA A REDE LOCAL E #SERVIDOR E A REGRA PARA O LOOPBACK, SÃO AS UNICAS QUE #ESTÃO FUNCIONANDO.

    iptables -A OUTPUT -s ${LOCAL} -p icmp --icmp-type 8 -d 0/0 -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d ${LOCAL} -j ACCEPT

    iptables -A OUTPUT -s ${NET} -p icmp --icmp-type 8 -d 0/0 -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d ${NET} -j ACCEPT

    iptables -A INPUT -s 192.168.0.2 -p icmp --icmp-type 8 -d 192.168.0.1 -j ACCEPT

    iptables -A OUPUT -s 192.168.0.1-p icmp --icmp-type 0 -d 192.168.0.2 -j ACCEPT

    iptables -A FORWARD -s 0/0 -p icmp --icmp-type 0 -d 192.168.0.2 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.2 -p icmp --icmp-type 8 -d 0/0 -j ACCEPT

    #### COMPARTILHAMENTO DE INTERNET ####
    modprobe iptable_nat
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward
    Ola caro gatoseco!
    Infelizmente não foi desta vez, quando coloquei sua regra de loop por exemplo ate deixei de pingar na lo, e as demais naum surtiram efeito algum, mas muito obrigado pela força.....Ah e vc trocou o nome ESTABLISHED por ESTABILISHED....OK!


    VAleu!

  4. Que pena que nao deu certo, tenho esse script publicado em outro site que nao gostaria de citar, comigo e para outros usuarios funciona por que sera que pra vc nao, sera que ta fazendo a coisa certa???

    Se sabe tao bem aonde estao os meus erros de digitaçao, como nao consegue nem fazer um script tao simples quanto o que vc esta tentando fazer!!!

    Valeu e ate mais!!! Desculpe por nao ter ajudado!!!



  5. Citação Postado originalmente por gatoseco
    Que pena que nao deu certo, tenho esse script publicado em outro site que nao gostaria de citar, comigo e para outros usuarios funciona por que sera que pra vc nao, sera que ta fazendo a coisa certa???

    Se sabe tao bem aonde estao os meus erros de digitaçao, como nao consegue nem fazer um script tao simples quanto o que vc esta tentando fazer!!!

    Valeu e ate mais!!! Desculpe por nao ter ajudado!!!

    Olha meu rei vc disse tudo naum ha nada de anormal e dificil neste script, mas o invocado que aqui naum funciona.
    Ate onde eu sei esta regra libera o loopback
    iptables -A INPUT -i lo -j ACCEPT
    Mas aqui quando eu coloco eu paro de me enxergar, so funciona como no meu primeiro exemplo logo acima.....entaum um problema simples acabou ficando complicado.....Mas meu muito obrigado pela forca....Acho que se naum conseguir hoje a noite comeco do zero novamente.....desde a instalacao.

    Abracos....






Tópicos Similares

  1. esse firewall é seguro?
    Por dandan26 no fórum Servidores de Rede
    Respostas: 7
    Último Post: 25-07-2007, 15:59
  2. Como saber se meu FIREWALL esta seguro?
    Por no fórum Servidores de Rede
    Respostas: 18
    Último Post: 24-08-2005, 14:58
  3. IPTABLES e realmente seguro como firewall ?
    Por no fórum Servidores de Rede
    Respostas: 2
    Último Post: 05-09-2003, 12:58
  4. firewall x webmail ou firewall x php?
    Por eclaudin no fórum Segurança
    Respostas: 3
    Último Post: 23-08-2002, 04:14
  5. Não consigo configurar firewall
    Por buosinet no fórum Servidores de Rede
    Respostas: 1
    Último Post: 28-03-2002, 21:44

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L