+ Responder ao Tópico



  1. #1
    gaboni
    Visitante

    Padrão iptables dropando tudo

    Bom dia pessoal, sou iniciante e estou com problemas para configurar o firewall,
    basicamente meu problema é implementar segurança pois como voces veem esta todo liberado

    meu firewall tem 3 placas de rede:
    eth0 = 192.168.0.0/24 -> Rede 1
    eth1 = 192.168.1.0/24 -> Rede 2
    eth2 = 200.XXX.XXX.XXX -> Speed

    Os serviços que preciso acessar fora são ftp, skype e internet, nessas redes internamente tenho
    apenas um serviço que há necessidade de abrir a porta 1024.

    esse é meu script

    #!/bin/bash

    /usr/sbin/iptables -F
    /usr/sbin/iptables -t nat -F
    /sbin/insmod ip_conntrack_ftp
    /sbin/insmod ip_nat_ftp
    /usr/sbin/iptables -P INPUT ACCEPT
    /usr/sbin/iptables -P FORWARD ACCEPT
    /usr/sbin/iptables -P OUTPUT ACCEPT
    /etc/rc.d/rc.ip_forward start
    /usr/sbin/iptables -t nat -A POSTROUTING -o eth2 -s 192.168.1.0/24 -d 0/0 -j MASQUERADE
    /usr/sbin/iptables -t nat -A POSTROUTING -o eth2 -s 192.168.0.0/24 -d 0/0 -j MASQUERADE
    /usr/sbin/iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
    /usr/sbin/iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
    /usr/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    /usr/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
    /usr/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    /usr/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
    /usr/sbin/iptables -A FORWARD -p tcp --dport 1863 -j REJECT
    /usr/sbin/iptables -A FORWARD -d 64.4.13.4/24 -j REJECT
    /usr/sbin/iptables -A INPUT -p tcp --syn -s 192.168.0.0/24 -j ACCEPT
    /usr/sbin/iptables -A INPUT -p tcp --syn -s 192.168.1.0/24 -j ACCEPT
    /usr/sbin/iptables -A INPUT -p tcp --syn -j DROP


    Até aqui funciona, mas qdo insiro uma regra no fim para aumentar a segurança do tipo,

    /usr/sbin/iptables -P INPUT DROP
    /usr/sbin/iptables -P FORWARD DROP

    ferra tudo e não consigo acessar mais nada,

    Alguem tem alguma dica de como fazer para usar os serviços nas portas 80, 21, 3128 e skype com DROP em INPUT e FORWARD.

    Já vi varios exemplos no google utilizei mas não tive sucesso.

    Obrigado a todos.

  2. #2
    maverick_cba
    Visitante

    Padrão iptables dropando tudo

    Seguinte amigo nesse caso você tem que fazer um firewall bem mais planejado, algo com umas 50 linhas ou mais.

    Se você quiser eu passo um script que eu recem desenvolvi justamente para atender essa demanda que tinhamos aqui na empresa. Ele ainda não tá 100% testado mas os principais serviços já estão funcionando nele.

    Basta fazer uma adaptação para o que você quer.

    Abraços,

  3. #3

    Padrão Re: iptables dropando tudo

    Vc ta se perdendo na ordem das regras !!!

    Vc tem que saber exatamente o que quer pra poder montar tudo direitinho !!!

    Valeu !!!

  4. #4
    gaboni
    Visitante

    Padrão iptables dropando tudo

    Valeu pessoal,
    oque puder me passar será muito util e eu ja agradeço.

  5. #5

    Padrão iptables dropando tudo

    Pelo visto você não entendeu bem como funciona algumas coisas no iptables.
    De uma lida no guia-foca, assim tudo ficara mais esclarecido e mais facil para você montar seu firewall.

    http://focalinux.cipsga.org.br/