+ Responder ao Tópico



  1. #1
    Visitante

    Padrão Está correto está maneira de montar um servidor internet ?

    Bom Dia !
    Tenho um servidor de internet, fiz um firewall aqui em um arquivo texto.
    Na verdade é uma dúvida que não encontrei em apostilas.
    Quando libero uma porta FORWARD, para rede interna,a mesmo deve ser liberada como INPUT no servidor certo ?

    No caso abaixo, está certo ?
    liberei o servidor a 80, que o servidor internet usa para conectar... e as máquinas da rede interna vao usar a porta 3128 no caso o proxy, e a porta 443 que é https, no qual o squid não suporta.

    Também liberei a porta 25 e 110 (pop, e smtp).

    Está certo a maneira que eu estou fazendo ?
    Só montei para ter uma nossao de como estou fazendo, e se estou fazendo da maneira correta...

    Obrigado
    Código :
    #Interfaces
    IF_INTERNA="eth0"
    IF_EXTERNA="eth1"
    #Rede Interna
    REDE_INTERNA="10.0.0.0/24"
     
     
    #roteamento
    echo "1"> /proc/sys/net/ipv4/ip_forward 
     
    #Limpando iptables
    iptables -F 
    iptables -Z 
    iptables -X 
    iptables -F -t nat 
    iptables -X -t nat 
    iptables -F -t mangle 
    iptables -X -t mangle 
     
    # Conexão estabelida não é verificada novamente
    iptables -A OUTPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT 
    iptables -A FORWARD -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT 
     
    #Regras IF_EXTERNA
    iptables -A INPUT -i $IF_EXTERNA -p tcp --syn --dport 22 -j ACCEPT 
    iptables -A INPUT -i $IF_EXTERNA -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -i $IF_EXTERNA -p tcp --dport 3128 -j ACCEPT
    iptables -A INPUT -i $IF_EXTERNA -p udp --dport 43 -j ACCEPT
    iptables -A INPUT -i $IF_EXTERNA -p tcp --dport 110 -j ACCEPT
    iptables -A INPUT -i $IF_EXTERNA -p tcp --dport 25 -j ACCEPT
    iptables -A INPUT -i $IF_EXTERNA -p tcp --dport 443 -j ACCEPT
     
    #Rede Interna
    iptables -A INPUT -i $IF_INTERNA -p tcp --dport 3128 -j ACCEPT
    iptables -A INPUT -i $IF_INTERNA -p tcp --dport 110 -j ACCEPT
    iptables -A INPUT -i $IF_INTERNA -p tcp --dport 25 -j ACCEPT
    iptables -A INPUT -i $IF_INTERNA -p tcp --dport 443 -j ACCEPT
     
     
     
     
    #Fecha o resto
    iptables -P INPUT DROP 
    iptables -P OUTPUT DROP 
    iptables -P FORWARD DROP

  2. #2

    Padrão Re: Está correto está maneira de montar um servidor internet

    Qual e a finalidade desse micro ??? Que serviços vc vai rodar nele???



  3. #3
    robsonzornitta
    Visitante

    Padrão kr na boa!!!

    eu posso estar erradu mas pra que tua ativa todas as regras e depois fecha tudu denovo? no meu ponto de vista eh a mesma coisa de executar um flush!!!!!

  4. #4
    Visitante

    Padrão Está correto está maneira de montar um servidor internet ?

    galera, podem apagar este tópico...

    1000 Desculpas, eu postei novamente aqui.

    https://under-linux.org/modules.php?...wtopic&t=31004



  5. #5
    unix_all
    Visitante

    Padrão Está correto está maneira de montar um servidor internet ?

    Está errado esse fechamento teria que ser assim:
    iptables -A INPUT -j DROP
    iptables -A FORWARD -j DROP
    iptables -A OUTPUT -j DROP


    Mas eu aconselho primeiro fechar o firewall e depois liberar o que acessam mas é bem mais trabalhoso exemplo:

    iptables -F
    iptables -t nat -F
    iptables -t mangle -F
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP


    # liberando acesso da rede interna nos serviço SSH
    iptables -A INPUT -s 10.0.0.0/255.0.0.0 -t tcp --dport 22 -j ACCEPT
    iptables -A OUTPUT -d 10.0.0/255.0.0.0 -t tcp --sport 22 -j ACCEPT

    # realizando NAT/MASQUERADE para rede interna acessar internet
    iptables -t nat -A POSTROUTING -s 10.0.0.0/255.0.0.0 -j MASQUERADE
    iptables -A FORWARD -s 10.0.0.0/255.0.0.0 -j ACCEPT
    iptables -A FORWARD -d 10.0.0.0/255.0.0.0 -j ACCEPT
    echo "1" > /proc/net/sys/ipv4/ip_forward

    # o resto já é fechado mas vale a pena logar os pacotes que não seguem essa regra para ter um maior controle
    iptables -A INPUT -j LOG
    iptables -A OUTPUT -j LOG

    # apos abre outro terminal e digite tail -f /var/log/messages
    # para verificar os logs ;] falowz

    # Leandro da S. B
    # [email protected]
    # Linux Administrator

  6. #6
    Visitante

    Padrão Está correto está maneira de montar um servidor internet ?

    -A fecha mas escuta os pacotes !
    pode gerar logs com o -A

    está correto fechar com -P sim...



  7. #7
    unix_all
    Visitante

    Padrão Está correto está maneira de montar um servidor internet ?

    Relembrando os conceitos amigo:
    -P = Policy política do firewall ou seja, deseja que o firewall fique todo fechado e depois usa regras para abrir as portas ou coloque -P ACCEPT que é, libere todas as portas e deixe que eu feche com as minhas regras.
    portanto o melhor é dropar tudo pela Policy e depois liberar -A INPUT e -A OUTPUT.

  8. #8
    Visitante

    Padrão Está correto está maneira de montar um servidor internet ?

    ah sim, realmente eu entendi mau...

    é que eu estava achando que você escreveu que o -A fecha tudo...

    é para logar...


    dai sim 100%!

    porque já fechou tudo no inicio.. :clap: