Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Leo_Tech
    Visitante

    Padrão rc.firewall

    Gente, estou com o seguinte problema, estou configurando um servidor proxy.. squid...
    aparentemente esta tudo ok.. mas qd inicio o micro, a minha net so funciona qd eu rodo o rc.firewall manualmente...
    ./rc.firewall
    e assim que faço isso ele me retorna a mensagem
    ip_conntrack version 2.1 (1023buckets, 8184max) - 292bytes per conntrack

    ai a minha net funciona, mas so apos ./rc.firewall

    ja configurei outros proxy's com esse mesmo rc.firewall e squid.conf e estava blz...

    o que sera que esta acontecendo...??
    Se alguem puder ajudar... desde ja agradeço...

  2. #2
    X-LOGAN
    Visitante

    Padrão rc.firewall

    comenete a linha do modulo ip_conntrack.



  3. #3
    X-LOGAN
    Visitante

    Padrão rc.firewall

    coloca o rc.firewall par iniciar junto ao sistema!!!!

  4. #4
    Leo_Tech
    Visitante

    Padrão olá...

    eu ja fiz isso amigo...

    mas nao sei se estou fazendo certo...

    qual a melhor maneira de fazer isso???

    desculpe a pergunta meio boba... é que estou em aprendizado com firewall e proxy.. e se puder ajudar...



  5. #5
    Leo_Tech
    Visitante

    Padrão oi..

    so mais uma coisa... nao consegui achar onde esta esse modulo para comentar a linha...

  6. #6
    X-LOGAN
    Visitante

    Padrão rc.firewall

    o mesmo aconteceu comigo e acho melhor vc dar uma lida e entender o codigo do seu firewall.
    vc pegou ele pronto?
    qual distro vc usa?



  7. #7
    X-LOGAN
    Visitante

    Padrão rc.firewall

    quais serviços vc quer bloquear ou liberar no seu firewall?

  8. #8
    Leo_Tech
    Visitante

    Padrão ola

    esse firewall eu ja peguei pronto...
    e a unica coisa que é liberado nele é um acesso externo por ssh

    uso o Red Hat 9.0



  9. #9
    X-LOGAN
    Visitante

    Padrão rc.firewall

    Eu tbm uso o RH9 como Proxy e não tenho probelmas com o firewall, esse modulo tambem dava erro aqui no meu, ai eu comentei a linha e funciona normal, tente achar o a linha e comentar ela, se não achar posta o texto do firewall ai pra gente dar uma olhada!!!!

    Um toque procure saber primeiro o que vc quer com esse firewall e monte o seu numa boa!!!!!

  10. #10

    Padrão rc.firewall

    Posta aí o seu script de firewall (rc.firewall)...



  11. #11
    Leo_Tech
    Visitante

    Padrão Ola

    Segue abaixo meu rc.firewall

    #!/bin/bash
    # Flush
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X

    # Variaveis do firewall
    nosso_ip=. XXX.XXX.XXX.XXX
    ext_ip=`ifconfig eth1 | grep inet | awk '{ print $3 }'`
    int_ip=`cat /root/tab_ip | grep VNC | awk '{ print $2 }'`
    REDEMASQ=192.168.X.X/24

    iptables -A INPUT -s $REDEMASQ -p tcp --dport 3128 -j ACCEPT
    iptables -A INPUT -s $nosso_ip -p tcp --dport 5900 -j ACCEPT


    # Politica de acesso
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    # Habilitando a protecoes contra "TCP SYN Cookie"
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies

    # Ocultando a rota de origem dos pacotes (evita spoof)
    for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
    echo 0 > $f
    done

    # Evita ataques de spoof (na rede interna)
    # Em casos de roteamento esta linha devera ser desativada
    for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 > $f
    done

    # Permissoes de acesso ao firewall
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # Trocando o intervalo de portas locais
    PORT_INI=61000
    PORT_FIM=65095
    echo $PORT_INI $PORT_FIM > /proc/sys/net/ipv4/ip_local_port_range

    iptables -A FORWARD -s $nosso_ip -d $int_ip -j ACCEPT
    # Criando perfil de acesso administrativo (apenas por ssh)
    iptables -N ADMIN
    iptables -A ADMIN -i eth1 -p tcp --dport 22 --syn -j LOG --log-level info --log-prefix "--->ACESSO SSH EXTERNO: "
    iptables -A ADMIN -i eth1 -p tcp --dport 5900 --syn -j LOG --log-level info --log-prefix "--->ACESSO VNC: "
    iptables -A ADMIN -i eth0 -p tcp --dport 22 --syn -j ACCEPT
    iptables -A ADMIN -i eth1 -p tcp --dport 22 --syn -j ACCEPT
    iptables -A ADMIN -i eth1 -p tcp --dport 5900 --syn -j ACCEPT

    # Aplicando a permissao de acesso ssh a CONFIAVEL1 e CONFIAVEL2
    iptables -A INPUT -i eth0 -s $REDEMASQ -j ADMIN
    iptables -A INPUT -i eth1 -s $nosso_ip -j ADMIN

    # Para tratar as quedas dos roteadores ADSL
    GW=`ifconfig eth1 | grep inet | awk '{ print $3 }'`
    iptables -A INPUT -i eth1 -s $GW -p tcp ! --syn -j ACCEPT

    # Compartilhando o acesso a internet
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A PREROUTING -s $REDEMASQ -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.X.X:3128
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s $REDEMASQ -o eth1 -j MASQUERADE
    iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10
    iptables -t mangle -A PREROUTING -s $REDEMASQ -p tcp -m tcp --sport 80 -j TOS --set-tos 0x08
    iptables -t nat -A PREROUTING -p tcp -s $nosso_ip -d $ext_ip --dport 5900 -j DNAT --to $int_ip
    iptables -t nat -A POSTROUTING -p tcp -d $nosso_ip -s $int_ip --sport 5900 -j SNAT --to $ext_ip

    # Permitindo requisicoes de DNS
    #iptables -A FORWARD -o eth1 -s $REDEMASQ -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -o eth1 -s $REDEMASQ -p udp --dport 53 -j ACCEPT

    # Bloquear pacotes com estado "novo/invalido" que saiam pela eth1
    # Permitir pacotes com estado "estabelecido/reincidente"
    iptables -A FORWARD -o eth0 -m state --state NEW,INVALID -j DROP
    iptables -A FORWARD -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

    # Permitindo qualquer solicitacao de Internet que parta da rede 192.168.1.0/24
    iptables -A FORWARD -i eth0 -s $REDEMASQ -j ACCEPT

    # Bloqueia qualquer pacote (forward) que nao liberado por regras anteriores
    iptables -A FORWARD -j DROP

    # Bloqueando e logando sinais de ping ao firewall
    #iptables -N LPI
    #iptables -A LPI -m limit --limit 5/hour --limit-burst 3 -p icmp --icmp-type echo-request -j LOG --log-level info --log-prefix "--->TENTATIVA DE PING: "
    #iptables -A LPI -j REJECT --reject-with icmp-port-unreachable
    #iptables -A INPUT -p icmp --icmp-type echo-request -j LPI
    iptables -A INPUT -p icmp -j DROP

    # Bloqueia qualquer pacote (input) que nao liberado por regras anteriores
    iptables -A INPUT -j DROP

  12. #12
    X-LOGAN
    Visitante

    Padrão rc.firewall

    Estou usando o seguinte firewall.

    #!/bin/bash

    #************************************************************************************
    # SCRIPT FIREWALL *
    # *
    # CRIADO POR FABIO LIMA DE OLIVIERA *
    # *
    # DATA: 28/06/2005 *
    #************************************************************ #
    iptables -F #

    modprobe iptable_nat #

    #Ativando o repasse dos pacotes
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE #

    #Protecao contra Syn-Floods iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

    #Protecao contra scanners ocultos
    iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    #Ping da Morte iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT #

    iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT
    iptables -A FORWARD -o eth0 -s 100.100.100.0/24 -d 0/0 -j ACCEPT

    echo 1 > /proc/sys/net/ipv4/ip_forward



  13. #13
    X-LOGAN
    Visitante

    Padrão rc.firewall

    O unico problema que estou tendo com ele é quanto ao envie ao recebimento de arquivos pelo messenger, mas ainda não tive tempo de testar isso, tente usar ele e ai vc pode incrementar regras, essas que estão postadas são um perfil que se encaixa nesta empresa!!!

  14. #14
    X-LOGAN
    Visitante

    Padrão rc.firewall

    O unico problema que estou tendo com ele é quanto ao envie ao recebimento de arquivos pelo messenger, mas ainda não tive tempo de testar isso, tente usar ele e ai vc pode incrementar regras, essas que estão postadas são um perfil que se encaixa nesta empresa!!!



  15. #15
    Leo_Tech
    Visitante

    Padrão ola

    mas no meu rc.firewall...

    como é como se ele nao inicializasse...

    qual a melhor forma de eu resolver isso...???

    uso o Red Hat 9.0

  16. #16
    X-LOGAN
    Visitante

    Padrão rc.firewall

    se vc fala junto com o sistema ai vc vai ter que editar o arquivo

    vi /etc/rc.d/rc.local

    e inserir o caminho do seu script!!!

    Vc tentou o script que te passei?



  17. #17
    Leo_Tech
    Visitante

    Padrão Olá..

    Kro X-Logan...
    Deu certo... acrescentei o caminho do meu rc.firewall no rc.local e funcionou...
    valew kra...

    So mais uma coisa, onde encontro um bom tutorial sobre iptables, firewall..?

    mais uma vez obrigado....

  18. #18

    Padrão rc.firewall

    Pegar as coisas prontas nunca é bom.

    De uma lida no guia foca e monte o seu.
    http://focalinux.cipsga.org.br/

    qualquer duvida posta ae novamente.

    =)



  19. #19
    X-LOGAN
    Visitante

    Padrão rc.firewall

    Ai cara segue o toque do nosso amigo e pegue o guia focalinux é muito bom mesmo.
    Tenho outro que me ajudou muito: www.zago.eti.br/firewall/iptables.txt

    Blz!!!!

  20. #20
    Kablu
    Visitante

    Padrão firewall

    x-logan, certeza que seu firewall funciona???

    pq seu script ai nao tem nenhuma regra de bloqueio, só liberação!

    Até :good: