- meu FW ajuda
+ Responder ao Tópico
-
meu FW ajuda
ola pessoal
tenho a seguinte estrutura de rede
internet====>firewall====>dmz
|================>lan
um firewall com tres interfaces (Internet, Dmz, Lan) eth0, eth1 e eth2 respectivamente
01. como faco fazer os NATs 1:1 corretamente com as regras de filtragem para os servicos especificos (www, ftp, smtp e pop3)?
02. como faco para liberar tudo entre rede DMZ e rede LAN ?
03. onde no meu Script tem :
iptables -A INPUT -j ACCEPT &&
iptables -A OUTPUT -j ACCEPT &&
iptables -A FORWARD -j ACCEPT &&
como faco para usar regra padrao? coloco tudo nas ultimas linhas com DROP ?
Obrigado,
e tenho NATs 1:1 publicados e um arquivo de aliases que roda no RC.LOCAL
###### aliases ##########
ifconfig eth0:0 200.200.200.166 netmask 255.255.255.255
ifconfig eth0:1 200.200.200.173 netmask 255.255.255.255
ifconfig eth0:2 200.200.200.167 netmask 255.255.255.255
ifconfig eth0:3 200.200.200.168 netmask 255.255.255.255
ifconfig eth0:4 200.200.200.165 netmask 255.255.255.255
ifconfig eth0:5 200.200.200.163 netmask 255.255.255.255
ifconfig eth0:6 200.200.200.162 netmask 255.255.255.255
>>> me falaram que os aliases estao incorretos pq estao com MASCARA FECHADA e deveria ser o MASK da minha rede INTERNET VALIDA que é /27
com as seguintes regras
########### regras ###############
#!/bin/bash
#limpando tabelas
iptables -F &&
iptables -X &&
iptables -t nat -F &&
iptables -t nat -X &&
#variaveis de ambiente
int_ext="200.200.200.162"
int_dmz="100.100.100.30"
int_interna="172.16.0.1"
#Libera o loopback
iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
#liberando acesso interno da rede
iptables -A INPUT -j ACCEPT &&
iptables -A OUTPUT -j ACCEPT &&
iptables -A FORWARD -j ACCEPT &&
#nat 1:1
iptables -A PREROUTING -t nat -d 200.200.200.163 -j DNAT --to 100.100.100.50
iptables -A POSTROUTING -t nat -s 100.100.100.50 -j SNAT --to 200.200.200.163
iptables -A PREROUTING -t nat -d 200.200.200.167 -j DNAT --to 100.100.100.46
iptables -A POSTROUTING -t nat -s 100.100.100.46 -j SNAT --to 200.200.200.167
iptables -A PREROUTING -t nat -d 200.200.200.168 -j DNAT --to 100.100.100.47
iptables -A POSTROUTING -t nat -s 100.100.100.47 -j SNAT --to 200.200.200.168
#iptables -A PREROUTING -t nat -d 200.200.200.165 -j DNAT --to 100.100.100.10
#iptables -A POSTROUTING -t nat -s 100.100.100.10 -j SNAT --to 200.200.200.165
iptables -A PREROUTING -t nat -d 200.200.200.165 -j DNAT --to 100.100.100.50
#iptables -A POSTROUTING -t nat -s 100.100.100.50 -j SNAT --to 200.200.200.165
iptables -A PREROUTING -t nat -d 200.200.200.173 -j DNAT --to 100.100.100.51
iptables -A POSTROUTING -t nat -s 100.100.100.51 -j SNAT --to 200.200.200.173
iptables -A PREROUTING -t nat -d 200.200.200.166 -j DNAT --to 100.100.100.48
iptables -A POSTROUTING -t nat -s 100.100.100.48 -j SNAT --to 200.200.200.166
#compartilhando a web na rede interna
iptables -t nat -A POSTROUTING -s 172.16.0.0/255.255.0.0 -o eth0 -j MASQUERADE &&
iptables -t nat -A POSTROUTING -s 10.70.0.0/255.255.0.0 -o eth0 -j MASQUERADE &&
echo 1 > /proc/sys/net/ipv4/ip_forward &&
# Protecao contra port scanners ocultos
#iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Bloqueando tracertroute
#iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP
#Protecoes contra ataques
#iptables -A INPUT -m state --state INVALID -j DROP
#Configura aliases
/etc/sysconfig/aliases.sh &&
#termina
echo "Iptables Pronto"
-
parte II
com as seguintes regras
########### regras ###############
#!/bin/bash
#limpando tabelas
iptables -F &&
iptables -X &&
iptables -t nat -F &&
iptables -t nat -X &&
#variaveis de ambiente
int_ext="200.200.200.162"
int_dmz="100.100.100.30"
int_interna="172.16.0.1"
#Libera o loopback
iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
#liberando acesso interno da rede
iptables -A INPUT -j ACCEPT &&
iptables -A OUTPUT -j ACCEPT &&
iptables -A FORWARD -j ACCEPT &&
#nat 1:1
iptables -A PREROUTING -t nat -d 200.200.200.163 -j DNAT --to 100.100.100.50
iptables -A POSTROUTING -t nat -s 100.100.100.50 -j SNAT --to 200.200.200.163
iptables -A PREROUTING -t nat -d 200.200.200.167 -j DNAT --to 100.100.100.46
iptables -A POSTROUTING -t nat -s 100.100.100.46 -j SNAT --to 200.200.200.167
iptables -A PREROUTING -t nat -d 200.200.200.168 -j DNAT --to 100.100.100.47
iptables -A POSTROUTING -t nat -s 100.100.100.47 -j SNAT --to 200.200.200.168
#iptables -A PREROUTING -t nat -d 200.200.200.165 -j DNAT --to 100.100.100.10
#iptables -A POSTROUTING -t nat -s 100.100.100.10 -j SNAT --to 200.200.200.165
iptables -A PREROUTING -t nat -d 200.200.200.165 -j DNAT --to 100.100.100.50
#iptables -A POSTROUTING -t nat -s 100.100.100.50 -j SNAT --to 200.200.200.165
iptables -A PREROUTING -t nat -d 200.200.200.173 -j DNAT --to 100.100.100.51
iptables -A POSTROUTING -t nat -s 100.100.100.51 -j SNAT --to 200.200.200.173
iptables -A PREROUTING -t nat -d 200.200.200.166 -j DNAT --to 100.100.100.48
iptables -A POSTROUTING -t nat -s 100.100.100.48 -j SNAT --to 200.200.200.166
#compartilhando a web na rede interna
iptables -t nat -A POSTROUTING -s 172.16.0.0/255.255.0.0 -o eth0 -j MASQUERADE &&
iptables -t nat -A POSTROUTING -s 10.70.0.0/255.255.0.0 -o eth0 -j MASQUERADE &&
echo 1 > /proc/sys/net/ipv4/ip_forward &&
# Protecao contra port scanners ocultos
#iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Bloqueando tracertroute
#iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP
#Protecoes contra ataques
#iptables -A INPUT -m state --state INVALID -j DROP
#Configura aliases
/etc/sysconfig/aliases.sh &&
#termina
echo "Iptables Pronto"
Citação