+ Responder ao Tópico



  1. #6
    Alexandre_Catanduva
    Valeu pelo interesse em me ajudar pessoal. Aqui está meu script de firewall, to achando que ele está totalmente furado, vocês com mais experiência podem me dar umas dicas valiosas. Obrigado!

    Com relação ao registro na Fapesp, para registrar meu dominio faoi realmente necessário dois servidores DNS para respoder a requisição, um colega meu configurou nos servidores dele, mas to querendo colocar o meu como primario e deixar um dele como secundário.

    -------------------------- Aqui começa o script --------------------------------
    #!/bin/bash
    #modprobe iptable
    #modprobe ipt_filter
    modprobe iptable_nat
    modprobe ipt_conntrack
    #modprobe ipt_mangle
    modprobe ipt_TOS
    modprobe ipt_MASQUERADE
    modprobe ipt_LOG

    ##### Zera todas as regras anteriores #####
    iptables -t filter -F
    iptables -t nat -F
    iptables -t mangle -F

    ##### Definicao de politicas #####
    ## Tabela filter
    iptables -t filter -P INPUT DROP
    iptables -t filter -P OUTPUT ACCEPT
    iptables -t filter -P FORWARD DROP

    ## Tabela nat
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P OUTPUT ACCEPT
    iptables -t nat -P POSTROUTING DROP

    ## Tabela mangle
    iptables -t mangle -P PREROUTING ACCEPT
    iptables -t mangle -P OUTPUT ACCEPT

    ##### Protecoes #####
    ## IP Spoofing ##
    for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 >$i
    done

    ## Ping da morte ##
    #iptables -t filter -A ping-chain -p icmp --icmp-type echo-request -m limit --li
    mit 1/s -j ACCEPT
    #iptables -t filter -A ping-chain -j DROP

    ## Syn Flood ##
    #iptables -t filter -A syn-chain -p tcp --syn -m limit --limit 2/s -j ACCEPT
    #iptables -t filter -A syn-chain -j DROP

    ##### Ativa o redirecionamento de pacotes #####
    echo "1" >/proc/sys/net/ipv4/ip_forward

    ##### Numero maximo de conexoes simultaneas #####
    echo "8192" > /proc/sys/net/ipv4/ip_conntrack_max

    #################################################
    ### Tabela Filter ###
    #################################################
    ##### Chain INPUT #####
    ## Usado para tratar o trafego vindo da net ##
    iptables -N internet

    ## Aceita todo trafego vindo/indo para loopback ##
    iptables -A INPUT -i lo -j ACCEPT

    ## Todo trafego vindo da rede interna tbm eh aceito ##
    iptables -A INPUT -s 192.168.1.0/24 -i eth2 -j ACCEPT

    ## Conexoes vindas de fora (eth0) saum tratadas pelo chain "internet" ##
    iptables -A INPUT -i eth0 -j internet

    ## Qualquer outra conexaum desconhecida eh registrada e derrubada ##
    iptables -A INPUT -j LOG --log-prefix "FIREWALL: INPUT "
    iptables -A INPUT -j DROP

    ##### Chain FORWARD #####
    ## Permite redirecionamento de conexoes entre as interfaces locais. ##
    ## Qualquer trafego vindo/indo para outras interfaces serah bloqueada ##
    iptables -A FORWARD -d 192.168.1.0/24 -i eth0 -o eth2 -j ACCEPT
    iptables -A FORWARD -d 192.168.1.0/24 -i eth2 -o eth0 -j ACCEPT
    iptables -A FORWARD -d 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT
    iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT

    iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
    iptables -A FORWARD -j DROP

    ##### Chain internet #####
    ## Aceitamos todas as mensagens icmp vindas da internet com certa limitacao ##
    iptables -A internet -p icmp -m limit --limit 2/s -j ACCEPT

    ## Aceitamos o trafego vindo da internet para os servicos WEB e DNS (portas 80/53) ##
    iptables -A internet -p tcp --dport 80 -j ACCEPT
    iptables -A internet -p udp --dport 53 -j ACCEPT

    ## Esses servicos serao registrados e bloqueados ##
    iptables -A internet -p tcp --dport 21 -j LOG --log-prefix "FIREWALL: ftp "
    iptables -A internet -p tcp --dport 25 -j LOG --log-prefix "FIREWALL: smtp "
    iptables -A internet -p tcp --dport 110 -j LOG --log-prefix "FIREWALL: pop3 "
    iptables -A internet -p tcp --dport 113 -j LOG --log-prefix "FIREWALL: identd "
    iptables -A internet -p udp --dport 111 -j LOG --log-prefix "FIREWALL: rpc "
    iptables -A internet -p tcp --dport 111 -j LOG --log-prefix "FIREWALL: rpc "
    iptables -A internet -p udp --dport 137:139 -j LOG --log-prefix "FIREWALL: samba "
    iptables -A internet -p tcp --dport 137:139 -j LOG --log-prefix "FIREWALL: samba "

    ## Bloqueia qualquer tentativa de acesso de fora para essa maquina ##
    iptables -A internet -m state --state ! ESTABLISHED,RELATED -j LOG --log-prefix "FIREWALL: ppp-in "
    iptables -A internet -m state --state ! ESTABLISHED,RELATED -j DROP

    ## Qualquer outro tipo de trafego eh aceito ##
    iptables -A internet -j ACCEPT

    #################################################
    ### Tabela NAT ###
    #################################################
    ##### Chain POSTROUTING #####
    ## Permite qualquer conexao vinda com destino ao lo e rede local para eth1 ##
    iptables -t nat -A POSTROUTING -o lo -j ACCEPT
    iptables -t nat -A POSTROUTING -o eth1 -j ACCEPT

    ## Direciona conexoes para WebServer e DNS (portas 80/53) ##
    iptables -t nat -A PREROUTING -i 200.x.x.x -p tcp --dport 80 -j DNAT --to 192.168.1.1:80
    iptables -t nat -A PREROUTING -i 200.x.x.x -p udp --dport 53 -j DNAT --to 192.168.1.1:53

    iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.0/24 --sport 80 -j SNAT --to 200.x.x.x
    iptables -t nat -A POSTROUTING -p udp -s 192.168.1.0/24 --sport 53 -j SNAT --to 200.x.x.x

    ## Eh feito o masquerading ##
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    ## Registra e bloqueia qualquer outro tipo de trafego desconhecido ##
    iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL: SNAT "
    iptables -t nat -A POSTROUTING -j DROP

    #################################################
    ### Tabela magle ###
    #################################################
    iptables -t mangle -A OUTPUT -o eth2 -p tcp --dport 21 -j TOS --set-tos 0x10
    iptables -t mangle -A OUTPUT -o eth2 -p tcp --dport 23 -j TOS --set-tos 0x10
    iptables -t mangle -A OUTPUT -o eth2 -p tcp --dport 6665:6668 -j TOS --set-tos 0x10
    iptables -t mangle -A OUTPUT -o eth2 -p udp --dport 53 -j TOS --set-tos 0x10

  2. Cara assim de firewall nao sei mto, mas se prescisar ajuda no bind eh so postar que tento ajudar.

    falows



  3. #8
    Citação Postado originalmente por ruyneto
    Citação Postado originalmente por SerAntSou
    Citação Postado originalmente por ruyneto
    So uma coisinha nao esqueça que tem de ter 2 servidores dns para a fapesp habilitar seu dominio.

    falows
    hummmm.... discordo Ruy... aqui eu rodo DNS configurado em um server apenas atraves de NAT (meu server DNS, Apache, E-mail nao tem numero IP real e nao responde icmp, mas responde as consultas do registro.br e qq outro).
    So uma coisa como o registro aceitou a configuração de um dominio sem dois servidores dns?? pois sempre que vou registrar nomes no registro.br ele nao aceita se so por 1 servidor dns respondendo por aquele dominio.

    falows
    Na verdade meu NAT eh para 2 nros IPs validos... e no registro.br eu configuro os 2.

  4. #9
    Alexandre, a principio suas regras estao corretas a nao ser pelo synflood e ping da morte que deveriam estar descomentados...
    Talvez o problema seja no seu DNS mesmo.

    No masquerade coloque assim e ve se funciona:

    ipatbles -t nat -A POSTROUNTING -s 192.168.1.0/24 -j MASQUERADE -o eth0



  5. Citação Postado originalmente por Anonymous
    Alexandre, a principio suas regras estao corretas a nao ser pelo synflood e ping da morte que deveriam estar descomentados...
    Talvez o problema seja no seu DNS mesmo.

    No masquerade coloque assim e ve se funciona:

    ipatbles -t nat -A POSTROUNTING -s 192.168.1.0/24 -j MASQUERADE -o eth0
    ops: sou eu...






Tópicos Similares

  1. Respostas: 4
    Último Post: 13-11-2015, 03:12
  2. puts, to ficando careca com o dansguardin, uma ajudinha por favor....
    Por fisiconuclear18 no fórum Servidores de Rede
    Respostas: 0
    Último Post: 28-03-2006, 15:31
  3. Uma ajudinha, por favor...
    Por agent_smith no fórum Assuntos não relacionados
    Respostas: 5
    Último Post: 26-01-2006, 15:39
  4. Cbq com problemas, por favor uma ajuda....
    Por fisiconuclear18 no fórum Servidores de Rede
    Respostas: 2
    Último Post: 05-01-2006, 18:28
  5. ME DEÊM UMA SOLUÇÃO !!! POR FAVOR !!!
    Por raphaelcm no fórum Servidores de Rede
    Respostas: 7
    Último Post: 16-03-2004, 17:55

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L