+ Responder ao Tópico



  1. #1
    Atos
    Boa tarde

    Estou com uma dificuldade muito grande para criar um firewall que faça o seguinte:

    - Bloqueio todo o trafedo de entrada e saida
    - Libere o Squid para a rede interna
    - Regra que eu consiga liberar apenas algumas maquinas para navegar sem proxy

    Achei um monte de coisa, mas nada funciona inteiro, quando funciona uma parte naum funciona outra, se puderem me ajudar agradeço.

  2. #2
    Atos
    Tirando um pouco de cada lugar consegui fazer o seguinte:

    #eth0 - rede local
    #eth1 - internet


    #Carga de Modulos
    modprobe ip_tables
    modprobe iptable_filter
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ipt_LOG
    modprobe ipt_state
    modprobe ipt_MASQUERADE


    #Flushing - Saida e Entrada Fechada
    iptables -F
    iptables -Z
    iptables -X
    #iptables -t nat -F
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    #Negando Broadcast
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

    ##Tabela INPUT

    #Liberar input para loopback
    iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
    iptables -A INPUT -p ALL -s 191.161.10.250 -i lo -j ACCEPT
    iptables -A INPUT -p ALL -s 200.x.x.x -i lo -j ACCEPT

    #Regra para manter conexoes que ja fora estabilizadas
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    #Negando pacote fragmentado
    iptables -A INPUT -i eth1 -f -j LOG --log-prefix "Pacote INPUT fragmentado: "
    iptables -A INPUT -i eth1 -f -j DROP

    #Evitando Spoofing
    iptables -A INPUT -i eth1 -s 10.0.0.0/24 -j DROP
    iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
    iptables -A INPUT -i eth1 -s 191.161.10.0/16 -j DROP
    iptables -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
    iptables -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP

    #Regras para PING
    iptables -A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT


    #Libera acesso ao SQUID para rede interna
    iptables -A INPUT -p TCP -i eth0 -s 191.161.10.0/24 --dport 3128 -j ACCEPT

    #Libera o acesso ao ssh
    iptables -A INPUT -p TCP -i eth0 -s 191.161.10.100 --dport 22 -j ACCEPT


    #Descartando recursos desnecessarios
    iptables -A INPUT -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
    iptables -A INPUT -j LOG --log-prefix "Pacote input descartado: "
    iptables -A INPUT -j DROP

    Com isso consigo navegar atraves de proxy nos clientes, agora preciso e uma regra que libere acesso sem proxy a alguns terminais. Alguem pod eme ajudar?



  3. acl maqliberada src 192.168.0.0/255.255.255.255
    http_access maqliberada allow






Tópicos Similares

  1. Kazaa + firewall
    Por serrato no fórum Servidores de Rede
    Respostas: 3
    Último Post: 10-01-2005, 20:21
  2. Não consigo configurar firewall
    Por buosinet no fórum Servidores de Rede
    Respostas: 5
    Último Post: 29-11-2004, 19:09
  3. Squid + Firewall
    Por serrato no fórum Servidores de Rede
    Respostas: 10
    Último Post: 02-12-2002, 18:54
  4. firewall x webmail ou firewall x php?
    Por eclaudin no fórum Segurança
    Respostas: 3
    Último Post: 23-08-2002, 04:14
  5. Não consigo configurar firewall
    Por buosinet no fórum Servidores de Rede
    Respostas: 1
    Último Post: 28-03-2002, 21:44

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L