- Script DROP FORWARD
+ Responder ao Tópico
-
Script DROP FORWARD
Amigos,
Aqui esta meu script.
Alguém pode me ajudar a ver por eu não consigo sair para internet.
Só funciona se eu colocar a politica padrão da chain Forward como ACCEPT.
Mas eu quero que a padrão seja DROP e depois eu libero.
#!/bin/bash
#
. /etc/rc.d/init.d/functions
#
# Funções criadas para mostrar o Status das chains
#
# Setar variaveis
#
IPTABLES="/sbin/iptables"
MODPROBE="/sbin/modprobe"
#
# Alterar os dados abaixo de acordo com a rede do cliente
#
lo="127.0.0.1"
if_loc="200.168.100.235" #Interface externa
if_loc2="192.168.254.236" #Interface Interna
redemasq="192.168.254.0/24"
ns2="192.168.100.2"
#
# Carregar Modulos
#
echo "1" > /proc/sys/net/ipv4/ip_forward &&
$MODPROBE ip_tables &&
$MODPROBE iptable_filter &&
$MODPROBE ip_conntrack &&
$MODPROBE ip_conntrack_ftp &&
$MODPROBE ip_nat_ftp &&
$MODPROBE ip_conntrack_irc
$MODPROBE ip_nat_irc
$MODPROBE ipt_unclean
$MODPROBE ipt_limit
# Polices Default
#
$IPTABLES -P INPUT DROP # política default para filter
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT # política default para filter
#$IPTABLES -A FORWARD -j ACCEPT -d 0/0 -p tcp --dport 80 -s 200.168.100.235 --sport 1024:
# Permitindo requicisões DNS
$IPTABLES -A INPUT -s 200.168.100.235 -p tcp --dport 53 -j ACCEPT
# Habiltando Roteamento
$IPTABLES -t nat -A POSTROUTING -s $redemasq -o eth0 -j MASQUERADE
# Habilitando Proteçãcontra TCP SYN Cookie
#
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
#
# Permissões de Acesso ao firewall
$IPTABLES -A INPUT -i lo -j ACCEPT
#$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-
Script DROP FORWARD
Consegui ficou maneiro !!!!!!
O MICRO é o Proprio servidor DNS.
Agora esta fazendo NAT na moral.
# Polices Default
#
#
$IPTABLES -P INPUT DROP # política default para filter
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP # política default para filter
# DNS
#
$IPTABLES -A OUTPUT -p tcp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p udp --dport 53 -j ACCEPT
# INTERNET
$IPTABLES -A FORWARD -p tcp --sport 1024: --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 80 --dport 1024: -j ACCEPT
# Habiltando Roteamento
$IPTABLES -t nat -A POSTROUTING -s $redemasq -o eth0 -j MASQUERADE