+ Responder ao Tópico



  1. #1
    Visitante

    Padrão analise de script e possviel correção

    Caríssimos,

    Sei que é chato ficar postando scripts no forum, mas acredito que apartir desses, pessoas que estao começando podem toma-los como um pontapé inicial.
    Bem, gostaria que analisassem esse script me alertando sobre falhas, e respondessem pq mesmo comentando a forward de DNS, ainda assim é possivel resolver nome pra fora?

    Obrigado.

    #Ativar modulos
    modprobe iptable_nat

    #Zerar regras
    iptables -F

    #Compartilhar a conexao
    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    ##### Regras de INPUT #####

    #Aceitar os pacotes que devem entrar
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    #SSH de dentro da rede
    iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --syn --dport 22 -j ACCEPT

    #FTP de dentro da rede
    iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT

    #Ping de dentro da rede
    iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p icmp -j ACCEPT

    #Fechar o resto
    iptables -A INPUT -j DROP

    ##### Regras de FORWARD #####

    #Deixar somente os pacotes que devem passar
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    #Permitir requisicao de DNS externo
    iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT

    #Permitir https
    iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 443 -j ACCEPT

    #Permitir web
    iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT

    #Permitir ftp
    iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT

    #Fechar as portas restantes
    iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 0:49151 -j DROP

  2. #2

    Padrão analise de script e possviel correção

    altera uma coisinha d eisso:
    #Fechar as portas restantes
    iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 0:49151 -j DROP

    pra isso
    #Fechar as portas restantes
    iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -j DROP



    e explica melhor esse do dns que nao entendi oq vc ta querendo



  3. #3
    Visitante

    Padrão analise de script e possviel correção

    mas quando vc adiciona essa ultima regra

    iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -j DROP

    num barra tudo inclusive as portas altas utilizadas pra estabelecer uma conexao??

  4. #4

    Padrão analise de script e possviel correção

    caro,

    nao barra as portas altas, tambem chamadas de dinamicas ou aleatorias (49151:65535), pq a regra

    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    permite!!! :good:



  5. #5

    Padrão analise de script e possviel correção

    caro visitante

    essa do DNS é o seguinte: nas suas regras, caso vc comente as linhas

    iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT

    e depois execute seu script novamente, nao funciona de imediato para o windows. Acho q ele guarda alguma tabela com o DNS durante um determinado periodo. Mas se apos comentar essas linha e vc reiniciar sua maquina windows e tentar acessar novamente, vera que nao é possivel resolver nome. Apos o boot ele limpa essa "tabela" q falei.

    :good:

  6. #6

    Padrão analise de script e possviel correção

    Citação Postado originalmente por 1c3_m4n
    e explica melhor esse do dns que nao entendi oq vc ta querendo
    pelo que entendi eh para q maquinas na rede interna possam se comunicar com um dns.



  7. #7

    Padrão Dica Windows

    Aew,

    Dica rapida do windows,

    Ele tem mania de nao assumir as alteracoes do server DNS duma vez,
    Se for XP, entra no prompt do DOS e roda

    Código :
    C:\> ipconfig /flushdns

    flws,

  8. #8

    Padrão analise de script e possviel correção

    Citação Postado originalmente por Anonymous
    mas quando vc adiciona essa ultima regra

    iptables -A FORWARD -o ppp0 -s 192.168.0.0/24 -j DROP

    num barra tudo inclusive as portas altas utilizadas pra estabelecer uma conexao??
    se vc tem as regras --state junto nao barra nao, soh vai barrar conexoes novas



  9. #9
    Visitante

    Padrão Re: analise de script e possviel correção

    Citação Postado originalmente por Anonymous
    ##### Regras de INPUT #####

    #Aceitar os pacotes que devem entrar
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    #SSH de dentro da rede
    iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --syn --dport 22 -j ACCEPT

    #FTP de dentro da rede
    iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT

    #Ping de dentro da rede
    iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p icmp -j ACCEPT

    #Fechar o resto
    iptables -A INPUT -j DROP
    Como essas regras sao de tudo que entra, porque caso eu tenha um dhcp no firewall nao é bloqueado a porta 68?? A regra

    iptables -A INPUT -j DROP

    num bloqueia o resto??

    Obrigado.

  10. #10
    Visitante

    Padrão analise de script e possviel correção

    alguem explica??



  11. #11

    Padrão analise de script e possviel correção

    A CHAIN INPUT trata os pacotes que chegam ao firewall. Como o dhcp esta rodando na msm maquina que o firewall, os pacotes dele nao passam pela CHAIN INPUT, e sim pela CHAIN FORWARD.

    Espero ter ajudado

  12. #12

    Padrão analise de script e possviel correção

    Citação Postado originalmente por Skorpyon
    A CHAIN INPUT trata os pacotes que chegam ao firewall. Como o dhcp esta rodando na msm maquina que o firewall, os pacotes dele nao passam pela CHAIN INPUT, e sim pela CHAIN FORWARD.

    Espero ter ajudado
    Nao nao, ela passa na INPUT mesmo, deve ter alguma outra coisa liberando antes pra ele continuar funcionando (tipo uma regra liberando tudo pra rede interna)



  13. #13
    Visitante

    Padrão Re: analise de script e possviel correção

    Citação Postado originalmente por Anonymous
    ##### Regras de INPUT #####

    #Aceitar os pacotes que devem entrar
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    #SSH de dentro da rede
    iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --syn --dport 22 -j ACCEPT

    #FTP de dentro da rede
    iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT

    #Ping de dentro da rede
    iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p icmp -j ACCEPT

    #Fechar o resto
    iptables -A INPUT -j DROP
    Não há nenhuma outra regra que libere pra interna. As regras sao apenas essas.