Página 6 de 6 PrimeiroPrimeiro ... 23456
+ Responder ao Tópico



  1. Bom dia,
    Se eu começa o FW assim como está Abaixo, depois tem q vir abrindo porta a porta q vou usar??? tipo abrir a 3128, 22, 21, 25, 110 etc...
    OBS: No final eu abri a porta 22 terei q fazer o mesmo com a 3128 para o squid funcionar ou a regra q está já basta...??????
    Grato pela atenção.

    #!/bin/sh

    #Internet=eth1
    #Rede Interna=eth0

    # Ativa módulos
    modprobe ip_tables
    modprobe iptable_nat
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    modprobe ipt_REJECT
    modprobe ipt_MASQUERADE

    # Zera regras
    iptables -F
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle

    # Determina a política padrão
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    # Compartilha a conexão
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Rede Interna
    iptables -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT

    # Proxy transparente
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    # Abre SSH
    iptables -A INPUT -p tcp -dport 22 -j ACCEPT

    # Abre VNC
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5900 -j DNAT --to 192.168.0.100

  2. nossa vc fechou tudo mesmo hein heheheh, eh vc vai ter que abrir uma por uma, e nao se esqueca de usar a regra
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    tanto pra forward como output



  3. Citação Postado originalmente por 1c3_m4n
    nossa vc fechou tudo mesmo hein heheheh, eh vc vai ter que abrir uma por uma, e nao se esqueca de usar a regra
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    tanto pra forward como output
    1c3_m4n desculpe abusar do seu tempo mas aonde eu coloco está regra q vc citou acima e quais portas eu tenho a abrir para ter um trafego transparente para o usuário sei que o FW ta meio drástico mas hj em dia sabe como é né...A ideia e não barra nada para o usuário da rede interna, quero q ele tenha passe livre em tudo...pode usar Kazaa, Emule, MSN, Skype, email...tudo tudo como se ele estivesse em casa, pq aqui temos Proxy de 10 Gigas e controle de banda, ai oq ele faz com a fatia de banda dele eu não ligo..rsrs. A ideia é apenas barrar os ataques vindos da web, agora o usuário não pode nem perceber nada nem ser barrado pelo FW em momento algum e a unica coisa q gostaria que fosse aberto para a internet é o SSH e VNC q ambos mudarei o numero da porta para dar uma dificultada nos ataques...rsrs. Sou novato com iptables e ainda me enrolo um pouco com a posição das regras. Pesso desculpas novamente pelo abuso mas já venho tentando fazer algo assim a algum tempo e não tenho obtido sucesso e sei de sua competência com o iptables por isso gostaria da sua ajudar.
    Grato e um abraço

  4. #29
    pablito
    O problema do tamanho do log é resolvido com o logrotate.






Tópicos Similares

  1. Respostas: 23
    Último Post: 24-05-2012, 11:00
  2. Monitorar Rede na procura de virus
    Por gilmarcabral no fórum Servidores de Rede
    Respostas: 1
    Último Post: 17-03-2008, 02:13
  3. duvida sobre redes de acesso
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 12-02-2004, 00:44
  4. duvida em redes de acesso
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 12-02-2004, 00:42
  5. Redes de Computadores .
    Por Hacker no fórum Servidores de Rede
    Respostas: 1
    Último Post: 21-05-2003, 09:09

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L