+ Responder ao Tópico



  1. #1

    Padrão Duvida firewall linux

    Uso o slackware junto com o iptables como firewall de uma empresa....primeiro eu liberei as portas padrao..80, 110, 25, 443, 53...e no final bloqueei tudo usando drop em forward e imput.

    Bom...eu fiz um teste pra conectar outras portas...exemplo a 22, e nao tive sucesso...significa que o firewall esta funcionando. Mas um dias desse eu instalei o Skype e pra minha surpresa ele conectou normalmente. Pq isso acontesse se eu liberei so as portas que precisei e dropei o restante....teoricamente teria que bloquear, no skype eu desabilitei aquela opcao pra conectar usando a porta 80. Mesmo assim ele passa normal pelo firewalll.....gostaria de sabe como bloquear e qual 'e a logica do iptables de ter que criar uma regra especifica pra bloquear o skype sendo que as regras drop forward e drop imput bloquea tudo?

  2. #2

    Padrão Duvida firewall linux

    Seguinte voce criou regras para fazer nat pra sua rede interna?? provavelmente voce ta com a regra que abre as portas para conexões estabeleciadas da rede interna, se for assim voce tem de bloquear um por um mesmo.

    falows



  3. #3

    Padrão Duvida firewall linux

    tenho regra de nat so pra acessar o servidor da empresa..usando ssh....mas as estacoes nao tem nat pra nada....no iptales esta liberado a rede pra acessar pra fora as portas 53, 25 110, 80, 443....e dei drop no restante

  4. #4

    Padrão Duvida firewall linux

    ABAIXO COMO ESTA MINHA REGRA DO IPTABLES


    #!/bin/sh
    #
    # /etc/rc.d/rc.firewall: Local system initialization script.
    #
    # Put any local setup commands in here:i

    # Linpando Regras
    iptables --flush
    iptables -t nat --flush

    #filtragem especiais
    #iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
    #iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    #iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
    #iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT

    # Liberando Loopback
    iptables -A INPUT -i lo -j ACCEPT

    # Mascaramento
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    #Rede interna -> Internet
    iptables -A FORWARD -s 192.168.0.1/32 -j ACCEPT # Computador Sidnei (webcam)
    iptables -A FORWARD -s 192.168.0.12/32 -j ACCEPT #Computador Financeiro
    iptables -A FORWARD -s 192.168.0.13/32 -j ACCEPT #Computador Financeiro
    iptables -A FORWARD -s 192.168.0.11/32 -j ACCEPT #Computador Marcio
    iptables -A FORWARD -s 192.168.0.10/32 -j ACCEPT #Computador Roberto

    #rede interna dos notebooks --> Internet
    iptables -A FORWARD -s 192.168.0.50/32 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.51/32 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.52/32 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.53/32 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.54/32 -j ACCEPT

    # rede interna visitante com acesso total --> Internet
    iptables -A FORWARD -s 192.168.0.60/32 -j ACCEPT

    # Liberando portas necessarias
    iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 8080 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 21 -j ACCEPT

    # Libera PcAnywhere
    iptables -A FORWARD -p tcp --dport 4899 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -p udp --dport 4899 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

    # Liberando replicador do sistema no servidor
    iptables -A FORWARD -p tcp --dport 3050 -s 192.168.0.90/32 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 3050 -s 200.146.225.9/32 -d 192.168.0.90/32 -j ACCEPT

    # Librando acesso ao Squid
    iptables -A INPUT -i eth1 -p tcp --dport 3128 -s 192.168.0.0/24 -j ACCEPT
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

    iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


    # Libera porta pra acesso local
    iptables -A INPUT -i eth1 -p tcp --dport 22 -s 192.168.0.0/24 -j ACCEPT
    iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

    # Redirecionando pcanywhere p/ dentro da rede
    iptables -t nat -A PREROUTING -t nat -p tcp -d 200.245.113.2 --dport 4899 -j DNAT --to 192.168.0.90:4899
    iptables -t nat -A PREROUTING -t nat -p udp -d 200.245.113.2 --dport 4899 -j DNAT --to 192.168.0.90:4899
    iptables -t nat -A PREROUTING -t nat -p tcp -d 200.245.113.2 --dport 3050 -j DNAT --to 192.168.0.90:3050

    # Bloqueia tudo que passa pelo firewall
    iptables -A FORWARD -j DROP
    iptables -A INPUT -j DROP

    echo "------------- REGRAS DO FIREWALL ATIVADA ------------"



  5. #5

    Padrão Duvida firewall linux

    as linhas comentadas que tem o nome de funcionarios na frentes esta liberados geral...sao autorizados: mas o restante da rede nao era pra estar passando o skype