Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    DarkSide
    E aeee galera !!

    Bom, seguinte... A empresa aki eh uma softwarehouse e temos um link dedicado da embratel com 2 classes de 64 ips e um servidor completo. Iremos trabalhar em conjunto com a VISA e a MasterCard, autenticando cartões de compras efetuadas nos sites de e-commerce gerenciado por nós. Preciso implementar um firewall forte para que nossa rede seja aprovada pela VISA e MasterCard.

    Então vamos conhecer minha rede:

    - Recebo o link em um CISCO 2500 e jogo ele em cabo cross para meu firewall
    - O firewall possui 3 placas de redes, sendo elas:

    eth0 - rede interna da empresa com IPs frios mascarados
    eth1 - classe de rede dos servidores
    eth2 - recebe o link que vem do roteador

    Estou tentando usar a seguinte estratégia no firewall:

    - blokear todas as Entradas, Repasses e Saídas
    - mascarar rede interna (fria)
    - fazer proteções básicas (portscan, ping, etc...)
    - liberar repasse das portas desejadas somente para as maquinas desejadas
    - liberar somente entrada de SSH para o firewall

    O problema é que se a politica de repasse for DROP, então NADA funciona, evidentemente está faltando alguma coisa no meu script ai de firewall (logo abaixo), mas não sei o que é que pode ser.

    Ajuda eu ai galera :wink:

    []'s

    Script do Firerwall:

    [root@Firewall /etc/rc.d]# cat firewall
    ##############################################################################
    # Limpando regras
    ##############################################################################

    iptables -t nat -F
    iptables -F

    ##############################################################################
    # Impedir passagem de tudo de qualker lugar para qualker lugar
    ##############################################################################

    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT

    ##############################################################################
    # Fazer NAT para a rede interna
    ##############################################################################

    modprobe ipt_conntrack
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    iptables -t nat -F
    iptables -t nat -I POSTROUTING -s 10.0.0.0/24 -o eth2 -j MASQUERADE

    ##############################################################################
    # Protecoes basicas
    ##############################################################################

    # Ping
    iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
    iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP

    # Ping da morte
    iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    # Syn-flood
    iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

    # Portscan
    iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

    # Bugs em traducao NAT
    iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP

    ##############################################################################
    # Liberar REPASSE das portas para o servidor 200.200.200.201 (Server1)
    ##############################################################################

    # DNS
    iptables -A FORWARD -o eth2 -d 200.200.200.201 -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -o eth2 -d 200.200.200.201 -p udp --dport 53 -j ACCEPT

    # SMTP
    iptables -A FORWARD -o eth2 -d 200.200.200.201 -p tcp --dport 25 -j ACCEPT

    # POP
    iptables -A FORWARD -o eth2 -d 200.200.200.201 -p tcp --dport 110 -j ACCEPT

    # IMAP
    iptables -A FORWARD -o eth2 -d 200.200.200.201 -p tcp --dport 143 -j ACCEPT

    # FTP
    iptables -A FORWARD -o eth2 -d 200.200.200.201 -p tcp --dport 20 -j ACCEPT
    iptables -A FORWARD -o eth2 -d 200.200.200.201 -p tcp --dport 21 -j ACCEPT

    # HTTP
    iptables -A FORWARD -o eth2 -d 200.200.200.201 -p tcp --dport 80 -j ACCEPT

    # HTTPS
    iptables -A FORWARD -o eth2 -d 200.200.200.201 -p tcp --dport 443 -j ACCEPT

    # Liberar repasse para pacotes vindos do servidor Server1
    iptables -A FORWARD -s 200.200.200.201 -j ACCEPT


    ##############################################################################
    # Liberar REPASSE das portas para o servidor 200.200.200.202 (Server2)
    ##############################################################################

    # DNS
    iptables -A FORWARD -o eth2 -d 200.200.200.202 -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -o eth2 -d 200.200.200.202 -p udp --dport 53 -j ACCEPT

    # FTP
    iptables -A FORWARD -o eth2 -d 200.200.200.202 -p tcp --dport 20 -j ACCEPT
    iptables -A FORWARD -o eth2 -d 200.200.200.202 -p tcp --dport 21 -j ACCEPT

    # HTTP
    iptables -A FORWARD -o eth2 -d 200.200.200.202 -p tcp --dport 80 -j ACCEPT

    # HTTPS
    iptables -A FORWARD -o eth2 -d 200.200.200.202 -p tcp --dport 443 -j ACCEPT

    # Liberar repasse para pacotes vindos do servidor Server2
    iptables -A FORWARD -s 200.200.200.202 -j ACCEPT

    ##############################################################################
    # Liberar REPASSE das portas para o servidor 200.200.200.203 (Windows 2000)
    ##############################################################################

    # VNC
    iptables -A FORWARD -o eth2 -d 200.200.200.203 -p tcp --dport 5900:5999 -j ACCEPT

    ##############################################################################
    # Liberar acesso para SSH no firewall
    ##############################################################################

    iptables -I INPUT -p tcp --dport 22 -j ACCEPT
    iptables -I INPUT -p udp --dport 22 -j ACCEPT

  2. #2
    charadaa
    por favor me diga amigo, o que não esta funcionando, vc esqueceu defazer o nat é isso

    iptables -t nat -A PREROUTING -p tcp -s ip_de_onde_vem_a_conexao -d seu_ip_valido_na_internet --dport xxxx -j DNAT --to 192.168.0.x:xxxx

    depois é só liberar o forward.

    aqualquer coisa posta ae



  3. #3
    DarkSide
    Citação Postado originalmente por charadaa
    por favor me diga amigo, o que não esta funcionando, vc esqueceu defazer o nat é isso

    iptables -t nat -A PREROUTING -p tcp -s ip_de_onde_vem_a_conexao -d seu_ip_valido_na_internet --dport xxxx -j DNAT --to 192.168.0.x:xxxx

    depois é só liberar o forward.

    aqualquer coisa posta ae
    Tipo... o meu problema está nessa liberação do FORWARD, ou seja, observe que no inicio do script está:

    iptables -P FORWARD ACCEPT

    Isso faz com que ele repasse tudo, logicamente todas as regras que eu colokei são inúteis, eu preciso utilizar essa política como DROP ou seja:

    iptables -P FORWARD DROP

    Soh que ai, fazendo dessa forma nada funciona ! nem o nat e nem as portas liberadas para os servidores. :cry:

    A minha intenção é fechar todo o repasse e liberar apenas o que eu quiser, que no caso são determinadas portas apenas para determinados servidores.

    A detalhe... creio que seja informação irrelevante, mas axo bom dizer.... também vou utilizar no firewall o SNORT com guardian e estou pensando em colocar também o Portsentry junto.

    []'s

  4. #4
    frpaes
    Amigo

    Da uma olhada nisso aqui: http://www.clubedasredes.eti.br/rede0023.htm

    Drop em sua chain forward

    e inclua isso aqui:
    $IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
    $IPTABLES -A FORWARD -j LOG

    Felipe Rafael
    FWD# 543406



  5. #5
    Visitante
    caro amigo, vc cometeu, uns dos erros, mais grave na administração de redes, publicar o seu ip e como sabemos qual regra de firewall vc usa, cara vou hackear o seus servers.
    hauhauhauhauhauh.






Tópicos Similares

  1. Respostas: 3
    Último Post: 08-12-2010, 05:40
  2. mik como firewall pra minha rede
    Por ederamboni no fórum Redes
    Respostas: 1
    Último Post: 11-09-2007, 20:47
  3. Liberando todas as portas no firewall pra um ip
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 26-08-2003, 09:17
  4. Firewall - Colocando todas as maquinas pra dentro
    Por peen-gween no fórum Servidores de Rede
    Respostas: 2
    Último Post: 22-05-2003, 10:19
  5. Qual unix uso pra servidor Proxy e firewall e qual uso pra w
    Por Brastemp no fórum Servidores de Rede
    Respostas: 4
    Último Post: 27-03-2003, 14:58

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L