Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    icefox
    pessoal nao estou conseguindo resolver o problema com minhas regras, eu ja li muito tutorial e estou querendo resolver o problema, minha intencao é bloquear tudo e abrir o q preciso, mas nao esta funcionando, alguem poderia me informar onde estou errando ?

    #!/bin/sh
    # carrega os modulos de ip
    modprobe ip_tables
    modprobe iptable_nat
    # limpa todas as regras de firewall
    iptables -F
    iptables -t nat -F

    # fecha tudo
    # -P diz que se o firewall receber um pacote de rede e nao tem regra setada para ele, o firewall
    # deve nega-lo por causa da politica padrao, que e o -P....-j DROP
    #iptables -P INPUT -j DROP nao funcionou
    #iptables -P OUTPUT -j DROP nao funcionou
    #iptables -P FORWARD -j DROP nao funcionou

    # assim dessa forma eu consigo navegar se eu trocar ACCEPT por DROP eu nao navego
    iptables -A INPUT -j ACCEPT
    iptables -A OUTPUT -j ACCEPT
    iptables -A FORWARD -j ACCEPT

    # compartilha a conexao
    modprobe iptable_nat
    iptables -t nat -A POSTROUTING -s 10.30.26.0/24 -o wlan0 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s 10.100.21.0/24 -o wlan0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward



    # abre porta
    # 1222 é para o ssh q foi alterado de 22
    iptables -A INPUT -p tcp --destination-port 1222 -j ACCEPT
    #Habilitando porta de SSH
    iptables -A INPUT -p tcp --syn -s 10.30.26.80 --dport 1222 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 10.100.16.1 --dport 1222 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 10.100.21.1 --dport 1222 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 200.199.36.219 --dport 1222 -j ACCEPT

    # 1863 msn
    iptables -A INPUT -p tcp --destination-port 1863 -j ACCEPT
    iptables -A OUTPUT -p tcp --destination-port 1863 -j ACCEPT
    iptables -A FORWARD -p tcp --destination-port 1863 -j ACCEPT

    # porta do squid mudou de 3128 para 3000
    iptables -A INPUT -p tcp --destination-port 3000 -j ACCEPT

    # abre para rede local, por ordem (CASA FCO, ESCRITORIO, CASA TUPI)
    iptables -A INPUT -p tcp --syn -s 10.100.21.0/24 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 10.30.26.0/24 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 10.100.16.0/24 -j ACCEPT
    iptables -A OUTPUT -p tcp --syn -s 10.100.21.0/24 -j ACCEPT
    iptables -A OUTPUT -p tcp --syn -s 10.30.26.0/24 -j ACCEPT
    iptables -A OUTPUT -p tcp --syn -s 10.100.16.0/24 -j ACCEPT
    iptables -A FORWARD -p tcp --syn -s 10.100.21.0/24 -j ACCEPT
    iptables -A FORWARD -p tcp --syn -s 10.30.26.0/24 -j ACCEPT
    iptables -A FORWARD -p tcp --syn -s 10.100.16.0/24 -j ACCEPT

    # redireciona a pora para o squid
    #iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 80 -j REDIRECT --to-port 3000

    # rede local receber e-mails
    iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

    #Libera o loopback
    iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

    #Habilitando porta de SMTP, para rede local
    iptables -A INPUT -p tcp -s 10.30.26.0/24 --dport 25 -j ACCEPT
    iptables -A INPUT -p tcp -s 10.100.21.0/24 --dport 25 -j ACCEPT

    #Habilitando porta de FTP para rede local
    iptables -A INPUT -p tcp -s 10.30.26.0/24 --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp -s 10.100.21.0/24 --dport 21 -j ACCEPT

    #Habilitando porta de DNS
    iptables -A INPUT -p tcp -s 10.30.26.0/24 --dport 53 -j ACCEPT
    iptables -A INPUT -p tcp -s 10.100.21.0/24 --dport 53 -j ACCEPT

    #Habilitando porta de POP3
    iptables -A INPUT -p tcp -s 10.100.21.0/24 --dport 110 -j ACCEPT
    iptables -A INPUT -p tcp -s 10.30.26.0/24 --dport 110 -j ACCEPT

    #Habilitando porta de DNS (UDP)
    iptables -A INPUT -p udp -s 10.100.21.0/24 --source-port 53 -j ACCEPT
    iptables -A INPUT -p udp -s 10.30.26.0/24 --source-port 53 -j ACCEPT

    #######PROTECOES##############################

    # protecao contra pacotes danificados ou suspeitos, essa opcao nao funcionou
    iptables -A FORWARD -m unclean -j DROP

    # protecao contra syn-floods
    iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

    #Bloquear Back Orifice:
    iptables -A INPUT -p tcp --dport 31337 -j DROP
    iptables -A INPUT -p udp --dport 31337 -j DROP

    #Bloquear NetBus:
    iptables -A INPUT -p tcp --dport 12345:12346 -j DROP
    iptables -A INPUT -p udp --dport 12345:12346 -j DROP

    # protecao contra port scanners ocultos
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    # Bloquear ping malicioso
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    # Bloqueia programas P2P
    #iMesh
    iptables -A FORWARD -d 216.35.208.0/24 -j REJECT
    #BearShare
    iptables -A FORWARD -p TCP --dport 6346 -j REJECT
    #ToadNode
    iptables -A FORWARD -p TCP --dport 6346 -j REJECT
    #WinMX
    iptables -A FORWARD -d 209.61.186.0/24 -j REJECT
    iptables -A FORWARD -d 64.49.201.0/24 -j REJECT
    #Napigator
    iptables -A FORWARD -d 209.25.178.0/24 -j REJECT
    #Morpheus
    iptables -A FORWARD -d 206.142.53.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT
    #KaZaA
    iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT
    #Limewire
    iptables -A FORWARD -p TCP --dport 6346 -j REJECT
    #Audiogalaxy
    iptables -A FORWARD -d 64.245.58.0/23 -j REJECT

    #Bloqueando traceroute
    iptables -A INPUT -p udp -s 0/0 -i wlan0 --dport 33435:33525 -j DROP

    #Protecoes contra ataques
    iptables -A INPUT -m state --state INVALID -j DROP

    #Bloqueando pacotes fragmentados, essa regra nao funcionou
    #iptables -A INPUT -i wlan0 -m unclean -j log_unclean
    #iptables -A INPUT -f -i wlan0 -j log_fragment

    # o computador nao vai responder a pings
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

  2. voce fez quase tudo certo, exceto por:

    iptables -P CHAIN POLITICA

    nao tem o -j que voce colocou, é : iptables -P FORWARD DROP

    nao de DROP na output porque facilita muita coisa. e no final das suas regras falta por o state para poder funcionar com as suas regras (do jeito que voce usa usando o --syn)

    iptables -A CHAIN -m state --state RELATED,ESTABLISHED -j ACCEPT

    so falta isso pelo visto.

    # assim dessa forma eu consigo navegar se eu trocar ACCEPT por DROP eu nao navego
    iptables -A INPUT -j ACCEPT
    iptables -A OUTPUT -j ACCEPT
    iptables -A FORWARD -j ACCEPT
    e quando voce poem isso aqui voce libera tudo 100% sem passar pelas regras debaixo



  3. Uma dúvida.
    Li que o ideal é por a seguinte regra:

    $ iptables -P INPUT DROP

    E em seguida ir abrindo o necessário.
    Mas sempre que eu faço isso, eu não consigo fazer nada, nem navegar.

    Como contornar isso?

  4. De cara... Não precisa bloquear o que sai a partir de seu firewall. Se não, vai ter criar regras espećificas para tudo que é output.

    :good: :good: :good:

    Até...

    mtec



  5. Estas são minhas regras padrões.

    #Por padrão tudo será bloqueado
    #Depois eu liberarei o que preciso

    echo -n "Definindo as regras padrões..."

    #Bloqueando toda a entrada
    iptables -t filter -P INPUT DROP

    #Bloqueando o redirecionamento
    iptables -t filter -P FORWARD DROP

    #A saida por padrão será liberada
    iptables -t filter -P OUTPUT ACCEPT

    #Bloquando POSTROUTING
    iptables -t nat -P POSTROUTING DROP

    #Bloqueando PREROUTING
    iptables -t nat -P PREROUTING DROP

    echo "[OK]"

    Dai, quando preciso liberar algo, eu preciso liberar tanto no INPUT, FORWARD e PREROUTING, se não ele não funciona.






Tópicos Similares

  1. Problemas com regras de Firewall
    Por Felipe_ no fórum Servidores de Rede
    Respostas: 9
    Último Post: 24-08-2004, 18:54
  2. Vejam as minhas regras de firewall
    Por Abutre no fórum Servidores de Rede
    Respostas: 4
    Último Post: 12-09-2003, 14:33
  3. regras de firewall
    Por roggy no fórum Servidores de Rede
    Respostas: 1
    Último Post: 17-05-2003, 10:47
  4. Respostas: 3
    Último Post: 27-03-2003, 12:17
  5. Regras de firewall
    Por Skill no fórum Servidores de Rede
    Respostas: 1
    Último Post: 26-02-2003, 10:49

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L