+ Responder ao Tópico



  1. #1
    thiagog
    ola a todos,
    tenho uma rede normal com 03 SEGMENTOS que encontram-se assim:

    [internet]-------[FW-iptables]------------(dmz-100.100.100.0/16)
    |__________(lan-172.16.0.0/16)

    na DMZ estao servidores de Terminal Service, SMTP, pop3, imap etc
    todos tem NAT 1:1 declarados e CADA IP VALIDO tem um ALIAS na interface eth0 (sendo eth0:0, eth0:1, eth0:2 e assim por diante)

    01. como faco para liberar soh as portas necessarias e bloquear as outras e logar as tentativas de acesso?

    02. e por que nao consigo filtrar por interface do TIPO ALIAS ? ethx:y ?

    Ex: em uma das regras abaixo eu preciso liberar apenas SMTP e POP3 e o resto irei negar e logar (onde tem o srvmail )

    minhas regras

    #!/bin/bash

    #limpando tabelas
    iptables -F &&
    iptables -X &&
    iptables -t nat -F &&
    iptables -t nat -X &&

    #variaveis de ambiente

    int_ext="200.200.200.162"
    int_dmz="100.100.100.30"
    int_interna="172.16.0.1"

    #Libera o loopback
    iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

    #liberando acesso interno da rede

    #iptables -A FORWARD -s 200.254.254.251 -d 200.200.200.162/32 -p tcp --dport 4899 -j ACCEPT

    #iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    #iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    #iptables -A FORWARD -p tcp --dport 80 -s 0/0 -i eth0 -o eth1 -j ACCEPT
    #iptables -A FORWARD -p tcp --dport 10000 -s 0/0 -i eth0 -o eth1 -j ACCEPT

    #iptables -A INPUT -j ACCEPT &&
    #iptables -A OUTPUT -j ACCEPT &&
    #iptables -A FORWARD -j ACCEPT &&

    #iptables -A INPUT -p tcp --syn -s 172.16.0.0/255.255.0.0 -j ACCEPT &&
    #iptables -A OUTPUT -p tcp --syn -s 172.16.0.0/255.255.0.0 -j ACCEPT &&
    #iptables -A FORWARD -p tcp --syn -s 172.16.0.0/255.255.0.0 -j ACCEPT &&

    #nat 1:1

    #iptables -t nat -A PREROUTING -s 172.16.0.10/32 -i eth2 -d 0/0 -p tcp --dport 80 -j DNAT --to 172.16.0.4:3128

    #iptables -t nat -A PREROUTING -p tcp -d 200.200.200.165 -i eth2 -j DNAT --to 100.100.100.50
    #iptables -t nat -A PREROUTING -p tcp -d 200.200.200.165 -i eth2 -j DNAT --to 100.100.100.50

    #iptables -t nat -A PREROUTING -d $srvmail -p tcp --dport 11000 -j DNAT --to $srvmail_int:10000

    #iptables -A PREROUTING -t nat -d 200.200.200.163 -j DNAT --to 100.100.100.2
    #iptables -A POSTROUTING -t nat -s 100.100.100.2 -j SNAT --to 200.200.200.163

    iptables -A PREROUTING -t nat -d 200.200.200.163 -j DNAT --to 100.100.100.50
    iptables -A POSTROUTING -t nat -s 100.100.100.50 -j SNAT --to 200.200.200.163

    iptables -A PREROUTING -t nat -d 200.200.200.167 -j DNAT --to 100.100.100.46
    iptables -A POSTROUTING -t nat -s 100.100.100.46 -j SNAT --to 200.200.200.167

    iptables -A PREROUTING -t nat -d 200.200.200.168 -j DNAT --to 100.100.100.47
    iptables -A POSTROUTING -t nat -s 100.100.100.47 -j SNAT --to 200.200.200.168

    #iptables -A PREROUTING -t nat -d 200.200.200.165 -j DNAT --to 100.100.100.10
    #iptables -A POSTROUTING -t nat -s 100.100.100.10 -j SNAT --to 200.200.200.165

    iptables -A PREROUTING -t nat -d 200.200.200.165 -j DNAT --to 100.100.100.50
    #iptables -A POSTROUTING -t nat -s 100.100.100.50 -j SNAT --to 200.200.200.165

    #iptables -A PREROUTING -t nat -d 200.200.200.172 -j DNAT --to 100.100.100.35
    #iptables -A POSTROUTING -t nat -s 100.100.100.35 -j SNAT --to 200.200.200.172

    #compartilhando a web na rede interna
    iptables -t nat -A POSTROUTING -s 172.16.0.0/255.255.0.0 -o eth0 -j MASQUERADE &&
    iptables -t nat -A POSTROUTING -s 100.100.0.0/255.255.0.0 -o eth0 -j MASQUERADE &&
    echo 1 > /proc/sys/net/ipv4/ip_forward &&

    # Protecao contra port scanners ocultos
    #iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    # Bloqueando tracertroute
    #iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP

    #Protecoes contra ataques
    #iptables -A INPUT -m state --state INVALID -j DROP

    #Configura aliases
    /etc/sysconfig/aliases.sh &&
    #termina
    echo "Iptables Pronto"

    Obrigado,

  2. #2
    thiagog
    alguem pode dar uma força ai .... ?
    valeus, :? :toim:



  3. #3
    charadaa
    para logar as tentativas de acesso aconselho você a usar o snort agora realmente o iptables não trabalha com as interfaces virtuais, declare as regras com ips ao inves de interfaces tire o -i de suas regras






Tópicos Similares

  1. Regra de bloqueio iptables! arquivo com lista
    Por francispaulinely no fórum Servidores de Rede
    Respostas: 2
    Último Post: 14-07-2009, 07:58
  2. dúvida sobre regra de bloqueio iptables
    Por jotacekm no fórum Servidores de Rede
    Respostas: 3
    Último Post: 20-03-2006, 09:24
  3. Regra iptables para ftp.
    Por AndrewAmorimdaSilva no fórum Servidores de Rede
    Respostas: 8
    Último Post: 07-08-2003, 14:52
  4. regras iptables
    Por nopp_lnx no fórum Servidores de Rede
    Respostas: 2
    Último Post: 09-05-2003, 10:54
  5. APÓS AS REGRAS IPTABLES
    Por NoiseMaster no fórum Servidores de Rede
    Respostas: 4
    Último Post: 19-11-2002, 16:25

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L