Página 3 de 3 PrimeiroPrimeiro 123
+ Responder ao Tópico



  1. Galera, seguindo a ideia acima, de um firewall simples, mas com NAT, como faço pra bloquear tudo e ir liberando aos poucos?
    Fiz conforme abaixo, mas nao funfa... alguma coisa estou fazendo errado, tipo, bloqueia tudo no próprio firewall, mas numa estacao ruindows, ta tudo liberado:
    Código :
    # Ativa Roteamento via Kernel
    # -------------------------------------------------------------------------------------------
    echo "1" > /proc/sys/net/ipv4/ip_forward
     
    # Limpa as Regras
    # -------------------------------------------------------------------------------------------
    iptables -F
    iptables -t nat -F   # Flush no NAT
    iptables -X       # Flush nas CHAINS PERSONALIZADAS
    iptables -Z       # Zera regras especificas. Qdo nao houver argumentos, zera todas as regras. Idem ao -f.
     
    # Politicas
    # ------------------------------------------------------------------------------------------
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT DROP
     
    # Mascaramento e Roteamento
     iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
     iptables -A FORWARD -i eth0 -j ACCEPT
     iptables -A FORWARD -i eth1 -j ACCEPT
    # iptables -A FORWARD -i eth2 -j ACCEPT
     
    # Stateful
     iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
     iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
     
    # Liberando SSH
     iptables -A INPUT -p tcp --dport ssh -j ACCEPT
     
    # Liberando acesso DHCPD - Para que as estacoes possam receber IP dinamicamente
     iptables -A INPUT -p udp --dport 67 -j ACCEPT
     iptables -A INPUT -p udp --dport 137 -j ACCEPT
     
    # FTP
     modprobe ip_conntrack_ftp
     modprobe ip_nat_ftp
     
    # WWW
     iptables -A OUTPUT -p TCP -o eth0 --dport 80 -j ACCEPT
     iptables -A OUTPUT -p UDP -o eth0 --dport 80 -j ACCEPT

  2. #12
    TheMage
    Bem logo no começo vc tem o firewall pra propria maquina,.. fica faltando apenas a parte firewall do gateway,... Segue abaixo,...

    # modprobe ip_nat_ftp
    # este é para caso vc queira permitir ftp ativo atravez do nat;


    # Liberar todos os pacores de retornos,
    $ipt -A FORWARD -m state --state ESTABELISHED,RELATED -i ${IFEXT} -o ${IFINT} -j ACCEPT


    #opção 1 ,... liberar tudo que vier da rede interna indo pra externa com inicio de coneção
    $ipt -A FORWARD -m state --state NEW -o ${IFEXT} -i ${IFINT} -p tcp --syn -j ACCEPT
    $ipt -A FORWARD -m state --state NEW -o ${IFEXT} -i ${IFINT} -p udp -j ACCEPT

    #opção 2 ... Liberar apenas o que se quer deixar sair
    $ipt -A FORWARD -m state --state NEW -o ${IFEXT} -i ${IFINT} -p tcp --dport 80 --syn -j ACCEPT
    $ipt -A FORWARD -m state --state NEW -o ${IFEXT} -i ${IFINT} -p udp --dport 53 -j ACCEPT
    # Note que se vc usa proxy, server dns no firewall ou na rede interna vc nao precisa da porta 53 liberada

    _____ Esta era a parte do firewall,.. agora vem a parte do nat ____
    # Mascaramento e Roteamento
    iptables -t nat -A POSTROUTING -o ${IFEXT} -i ${IFINT} -s xxx.xxx.xxx.xxx/xx -j MASQUERADE



    NOTA: Seria interesante ainda fazer bloqueios para evitar spoofing e outros incovenientes,...
    Estes eu aconselho ir antes de todas as regras exeto a liberação do loop back do sistema 'lo'

    NOTA: Nas regras acima poderia ainda ser especificada a rede interna tipo,... -s 10.8.3.0/28 e -d 10.8.3.0/28 ,... em saida e entrada dos pacotes respectivamente

    ASS: Anderson J. de Souza.
    -> www.kserv.com.br




  3. o -s (sorce) no mascaramento é o IP da rede interna?

  4. outro detalhe que me dei conta agora, opcao -i no POSTROUTING ???



  5. #15
    TheMage
    Tipo,.. sim o ip eh a rede que vc quer que seja mascarada,... e só quando sair na interface externa ${IFEXT}, para que quando um ip interno acessar algo interno os registros nao apontem como sendo o do seu 'firewall', ... um erro que ja vi algumas vezes,.. :

    maquina interna 1: 192.168.4.1
    maquina interna 2: 192.168.4.2

    servidor interno 3: 10.0.0.3

    firewall 'GW':
    eth0 200.200.200.20 # ista eh a saida para a internet
    eth1 10.0.0.5 # ista eh a saida servidores internos
    eth2 192.168.4.3 # interface da rede interna

    com uma regra que faz mascaramento de tudo da rede interna invalida o que acenteceria no caso do cliente 2 fazer acesso indevidos ao server 3 ?? em quando o cliente 1 eh um user bem comportado. ! ,.. como vc saberia qual deles eh o bem comportado e o que merece um puxão de orelhas ?


    Bem eh algo que eu nao preciso explicar muito né,.. olhem e analizem,..


    quando a segunda questao do -i ,.. vou deixar ai,... afinal usar um man devez em quando faz bem !

    se precisarem de algo,... estamos ai,.. !






Tópicos Similares

  1. é possivel mais de um linux no mesmo hd?
    Por chn no fórum Servidores de Rede
    Respostas: 8
    Último Post: 07-07-2005, 08:03
  2. Um help basico dos mais experientes!
    Por Rawgen no fórum Redes
    Respostas: 6
    Último Post: 18-04-2005, 11:56
  3. PHP.ini , é possivel ter mais de um arquivo de config.
    Por no fórum Linguagens de Programação
    Respostas: 1
    Último Post: 19-10-2004, 14:04
  4. basico em firewall
    Por no fórum Servidores de Rede
    Respostas: 2
    Último Post: 08-10-2004, 17:18
  5. Meu firewall me bloqueou.. não faço mais nada
    Por guardian_metal no fórum Servidores de Rede
    Respostas: 15
    Último Post: 02-09-2004, 21:09

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L