+ Responder ao Tópico



  1. #1
    Atos
    Visitante

    Padrão Firewall Simplificado

    Boa tarde

    Estou com uma dificuldade muito grande para criar um firewall que faça o seguinte:

    - Bloqueio todo o trafedo de entrada e saida
    - Libere o Squid para a rede interna
    - Regra que eu consiga liberar apenas algumas maquinas para navegar sem proxy

    Achei um monte de coisa, mas nada funciona inteiro, quando funciona uma parte naum funciona outra, se puderem me ajudar agradeço.

  2. #2
    Atos
    Visitante

    Padrão Firewall Simplificado

    Tirando um pouco de cada lugar consegui fazer o seguinte:

    #eth0 - rede local
    #eth1 - internet


    #Carga de Modulos
    modprobe ip_tables
    modprobe iptable_filter
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ipt_LOG
    modprobe ipt_state
    modprobe ipt_MASQUERADE


    #Flushing - Saida e Entrada Fechada
    iptables -F
    iptables -Z
    iptables -X
    #iptables -t nat -F
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    #Negando Broadcast
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

    ##Tabela INPUT

    #Liberar input para loopback
    iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
    iptables -A INPUT -p ALL -s 191.161.10.250 -i lo -j ACCEPT
    iptables -A INPUT -p ALL -s 200.x.x.x -i lo -j ACCEPT

    #Regra para manter conexoes que ja fora estabilizadas
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    #Negando pacote fragmentado
    iptables -A INPUT -i eth1 -f -j LOG --log-prefix "Pacote INPUT fragmentado: "
    iptables -A INPUT -i eth1 -f -j DROP

    #Evitando Spoofing
    iptables -A INPUT -i eth1 -s 10.0.0.0/24 -j DROP
    iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
    iptables -A INPUT -i eth1 -s 191.161.10.0/16 -j DROP
    iptables -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
    iptables -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP

    #Regras para PING
    iptables -A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT


    #Libera acesso ao SQUID para rede interna
    iptables -A INPUT -p TCP -i eth0 -s 191.161.10.0/24 --dport 3128 -j ACCEPT

    #Libera o acesso ao ssh
    iptables -A INPUT -p TCP -i eth0 -s 191.161.10.100 --dport 22 -j ACCEPT


    #Descartando recursos desnecessarios
    iptables -A INPUT -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
    iptables -A INPUT -j LOG --log-prefix "Pacote input descartado: "
    iptables -A INPUT -j DROP

    Com isso consigo navegar atraves de proxy nos clientes, agora preciso e uma regra que libere acesso sem proxy a alguns terminais. Alguem pod eme ajudar?



  3. #3

    Padrão Firewall Simplificado

    acl maqliberada src 192.168.0.0/255.255.255.255
    http_access maqliberada allow