+ Responder ao Tópico



  1. #1

    Padrão Desenvolvimento de Firewall

    Opa pessoal,

    Estou querendo montar um firewall onde a politica padrão é DROP e na medidade que
    for necessário eu libero as portas, porém tenho um servidor DNS na rede que consulta
    outros servidores DNS externo, porém não funciona com a politica padrão DROP, alguém pode
    me ajudar ?

    Meu firewall está assim:

    =======================================
    #!/bin/sh

    # Variaveis
    IPTABLES="/usr/sbin/iptables"
    REDEINT="192.168.0.0/24"

    # Reconfigurando as rotas
    /sbin/route add default ppp0

    # Carregando modulos

    /sbin/modprobe ipt_mac

    # Fazendo o flushing no Firewall

    $IPTABLES -F
    $IPTABLES -Z
    $IPTABLES -X
    $IPTABLES -t nat -F

    # Politicas

    $IPTABLES -P INPUT DROP
    $IPTABLES -P FORWARD DROP
    $IPTABLES -P OUTPUT ACCEPT

    # Habilitar o roteamento e demais coisas

    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

    # Liberando o INPUT para a interface de loopback

    $IPTABLES -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
    $IPTABLES -A INPUT -p ALL -s 192.168.0.0/24 -i lo -j ACCEPT

    # Toda conexao RELATED e ESTABLISHED com o meu firewall deve ser mantida
    $IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    # Libero resposta de DNS para meu firewall

    $IPTABLES -A INPUT -p udp -s 200.189.80.10 --sport 53 -j ACCEPT
    $IPTABLES -A INPUT -p udp -s 200.246.46.132 --sport 53 -j ACCEPT

    # LIbero DNS para meu Servidores internos

    $IPTABLES -A FORWARD -p udp -s 192.168.0.1 -d 200.189.80.10 --dport 53 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -s 192.168.0.1 -d 200.246.46.132 --dport 53 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -s 200.189.80.10 -d 192.168.0.1 --dport 53 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -s 200.246.46.132 -d 192.168.0.1 --dport 53 -j ACCEPT

    ========================

    Obrigado

  2. #2

    Padrão Desenvolvimento de Firewall

    Amigo, primeiro nunca poste seu endereço IP.

    Apesar da galera aqui ser gente boa, tem outros que visitam o site que não são e a partir do momento que conhecem seu firewall podem derrubar.

    use sempre IPS de ficticios.

    Outra, cade suas regras TCP?

    Abraços.

    Ta dado a dica.

  3. #3

    Padrão Desenvolvimento de Firewall

    Opa, esses IPs não sãoda minha rede e sim do DNS que eu consulto externo.

    Você disse que está faltando as regras TCP é ai que está o problema eu não sei como fazer, estou procurando na net e testando regras que estou achando porém não está funcionando.

    Obrigado

  4. #4
    Visitante

    Padrão Desenvolvimento de Firewall

    aproveitando o topico, quero liberar uma maquina para receber e enviar dados em todas as portas como faço isso ja fiz forward para ele.

  5. #5

    Padrão Desenvolvimento de Firewall

    Meu caro amigo Visitante !!!!!!!!!
    Você é administrador de rede ???
    Desculpe-me, mas isso está parecendo aqueles tópicos onde algum usuário quer liberar orkut, kazaa, emule, msn's da vida, etc, etc ....
    Desculpe-me, mas sem querer criar polêmica, você parece estar querendo fazer com que uma máquina tenha o acesso totalmente liberado.
    É isso ??? Não sei se o pessoal aqui vai te responder isso.
    Inté + ......... :roll: