+ Responder ao Tópico



  1. #1
    fisiconuclear18
    Pessoal segue meu script de firewall que vou implementar, alguém poderia dar uma olhada, algumas sugestoes e afins para que ele não de pau e tudo possa ocorrer bem?
    Pois temos aqui na escola o Suse rodando com o firewall dele pré definido, mas vamos mudar para o fedora core e colocar o script abaixo.
    A eth0 é a interface de entrada e a eth1 e a interface da rede interna
    A idéia é bloquear todas as portas menos a 80 e a 25
    Desde já eu agradeço a atenção

    #Firewall_cefet
    #Abre rede local
    iptables -A INPUT -p tcp --syn -s 192.168.2.0/24 -j ACCEPT
    #compartilhar conexão
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo"1">/proc/sys/net/ipv4/ip_forward
    #Entrar o que deve
    iptables -A INPUT -m state --state ESTABILISHED, RELATED -j ACCEPT
    #Passar o que prescisa
    iptables -A FORWARD -m state --state ESTABILISHED, RELATED -j ACCEPT
    #Liberando a porta 80 para a rede 192.168.2.0/24
    iptables -I INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
    iptables -I INPUT -i eth1 -p udp --dport 80 -j ACCEPT
    #Liberando SMTP para a rede 192.168.2.0/24
    iptables -A FORWARD -o eth0 -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -o eth0 -p udp --dport 25 -j ACCEPT
    #Bloqueando o resto
    iptables -A INPUT -p tcp --syn -s 192.168.2.0/24 -j DROP
    iptables -A OUTPUT -p tcp --syn -s 192.168.2.0/24 -j DROP
    iptables -A FORWARD -p tcp --syn -s 192.168.2.0/24 -j DROP

  2. #2
    felco
    iptables -A INPUT -p tcp --syn -s 192.168.2.0/24 -j ACCEPT
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo"1">/proc/sys/net/ipv4/ip_forward
    iptables -A INPUT -m state --state ESTABILISHED, RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABILISHED, RELATED -j ACCEPT
    iptables -I INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
    iptables -I INPUT -i eth1 -p udp --dport 80 -j ACCEPT
    Se vc nao tem servidor web(Ex. Apache) nessa maquina nao precisa dessa regra
    iptables -A FORWARD -o eth0 -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -o eth0 -p udp --dport 25 -j ACCEPT
    O protocolo SMTP utiliza apenas TCP
    iptables -A INPUT -p tcp --syn -s 192.168.2.0/24 -j DROP
    iptables -A OUTPUT -p tcp --syn -s 192.168.2.0/24 -j DROP
    iptables -A FORWARD -p tcp --syn -s 192.168.2.0/24 -j DROP
    Vc precisa tirar o DROP --syn do OUTPUT e FORWARD, porque vc irá abrir conexoes externas.

    Faltou vc criar uma regra no FORWARD para a porta 53 UDP porque vc vai precisar fazer consultas DNS de alguma maquina da sua rede.
    Alem disso a primeira regra no INPUT vc deveria colocar as policas de DROP e depois uma regra para abrir a porta ssh para administracao remota.
    Procure nao usar police DROP no OUTPUT e tambem em nenhuma chain da tabela NAT.

    http://focalinux.cipsga.org.br/guia/...w-iptables.htm
    Otimo documento sobre o assunto



  3. #3
    fisiconuclear18
    ja coloquei o DNS, valeu pela ajuda...
    Voce acha que so liberando essas portas, o msn e o emule nao irá mais conectar, dispensando outras coisas?

  4. #4
    felco
    Na verdade esses programas costumam usar a porta 80 na falta de uma outra porta disponivel, existem patchs para o kernel que dao uma funcionalidade extra para o iptables controlar esse tipo de trafego da uma olhada aqui:
    https://under-linux.org/wiki/Tutoriais/Layer7






Tópicos Similares

  1. ALguém pode dar uma força com PPPOE ?
    Por Reinan no fórum Redes
    Respostas: 12
    Último Post: 16-09-2013, 19:54
  2. Problemas com meu script de firewall alguem pode por favor olhar?
    Por fisiconuclear18 no fórum Servidores de Rede
    Respostas: 4
    Último Post: 09-02-2006, 16:12
  3. script do htb, alguém pode dar uma olhada por favor?
    Por fisiconuclear18 no fórum Sistemas Operacionais
    Respostas: 0
    Último Post: 02-01-2006, 08:45
  4. Mensagem quando executo meu script de firewall
    Por Wal no fórum Servidores de Rede
    Respostas: 8
    Último Post: 09-11-2003, 02:13
  5. Instalacao da USR3594a Alguem pode dar uma Mão
    Por CELL no fórum Servidores de Rede
    Respostas: 3
    Último Post: 20-01-2003, 00:33

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L