Redirecionamento DMZ e Conectividade

**jricardo** · 14-03-2006, 14:10

Fala Galera...

Pessoal, abaixo esta o script do firewall que estou usando aqui na empresa. Tenho 2 problemas que gostaria uma grande ajuda de voces..

1º - Rescolver o problema da conectividade social. Uso um proxy autenticado, mas nenhuma das regras abixo comentadas funcionaram

2º - Tenho um Web Server IIS na minha rede interna e queria que quando colocasem no navegar na internet o ip valido da eth1 (200.124.122.23) usasem o IIS da minha maquina da rede interna (10.12.8.1)

Muito Obrigado

Código :

#!/bin/bash
 
fw=/sbin/iptables
lan=10.12.8.0/21
mundo=0/0
conectividade=200.201.174.0/24
ETH_EXTERNA=eth1
ETH_INTERNA=eth0
 
# Ativa modulos
#---------------------------------------------------------------------
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_queue
modprobe ip_tables
modprobe ipt_LOG
modprobe ipt_MARK
modprobe ipt_MASQUERADE
modprobe ipt_MIRROR
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ipt_TCPMSS
modprobe ipt_TOS
modprobe ipt_limit
modprobe ipt_mac
modprobe ipt_mark
modprobe ipt_multiport
modprobe ipt_owner
modprobe ipt_state
modprobe ipt_tcpmss
modprobe ipt_tos
modprobe ipt_unclean
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
 
# Ativa roteamento no kernel
#--------------------------------------------------------------------
echo 1 > /proc/sys/net/ipv4/ip_forward
 
# Contra IP spoofing
#-------------------------------------------------------------------
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
 
# Zera regras
#--------------------------------------------------------------------
$fw -F
$fw -X
$fw -F -t nat
$fw -X -t nat
$fw -F -t mangle
$fw -X -t mangle
 
# Determina a politica padrao
#---------------------------------------------------------------------
$fw -P FORWARD DROP
 
$fw -A FORWARD -i eth1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$fw -A FORWARD -i eth1 -p udp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$fw -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j DNAT --to 10.12.8.1:80
$fw -t nat -A PREROUTING -p udp -i eth1 --dport 80 -j DNAT --to 10.12.8.1:80
 
# Seguranca
#----------------------------------------------------------------------
# Protecao contra port scanners ocultos
$fw -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
$fw -A INPUT -s $mundo -i $ETH_EXTERNA -p icmp -j DROP
 
# Bloqueando tracertroute
$fw -A INPUT -p udp -s $mundo -i $ETH_INTERNA --dport 33435:33525 -j DROP
$fw -A INPUT -p udp -s $mundo -i $ETH_EXTERNA --dport 33435:33525 -j DROP
 
#Protecoes contra ataques
$fw -A INPUT -m state --state INVALID -j DROP
$fw -A OUTPUT -p tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
 
#Ping da morte
$fw -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
 
# Porta Wincrash
$fw -A INPUT -p tcp --dport 5042 -j LOG --log-prefix "ServicoWincrash"
 
#Portas NetBus
$fw -A INPUT -p tcp --dport 12345 -j LOG --log-prefix "ServicoNetBus"
 
#Protecao contra Syn-floods
#$fw -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
 
#----------------------------------------------------------------------------
# FTP
$fw -t nat -A POSTROUTING -s $lan -o $ETH_EXTERNA -p tcp --dport 20 -j MASQUERADE
$fw -t nat -A POSTROUTING -s $lan -o $ETH_EXTERNA -p tcp --dport 21 -j MASQUERADE
$fw -A FORWARD -p tcp -s $lan --dport 20 -j ACCEPT
$fw -A FORWARD -p tcp -s $lan --dport 21 -j ACCEPT
$fw -A FORWARD -p tcp --sport 20 -d $lan -j ACCEPT
$fw -A FORWARD -p tcp --sport 21 -d $lan -j ACCEPT
 
# Liberando faixas de portas para mascarar. Talvez assim diminua a sobrecarga no processador.
# ftp, ssh, smtp, dns, pop3, imap, imap/ssl, pop3/ssl
$fw -t nat -A POSTROUTING -s $lan -o $ETH_EXTERNA -p tcp --dport 20:995 -j MASQUERADE
 
# dns/udp
$fw -t nat -A POSTROUTING -s $lan -o $ETH_EXTERNA -p udp --dport 53 -j MASQUERADE
 
# icmp (ping, traceroute, etc)
$fw -t nat -A POSTROUTING -s $lan -o $ETH_EXTERNA -p icmp -j MASQUERADE
 
#-------------------------------------------------------------------------------------------------------
 
# Receitanet - COPERCRED
$fw -t nat -A POSTROUTING -s $lan -o $ETH_EXTERNA -p tcp --dport 1027 -j MASQUERADE
$fw -t nat -A POSTROUTING -s $lan -o $ETH_EXTERNA -p tcp --dport 1186 -j MASQUERADE
$fw -t nat -A POSTROUTING -s $lan -o $ETH_EXTERNA -p tcp --dport 1288 -j MASQUERADE
$fw -t nat -A POSTROUTING -s $lan -o $ETH_EXTERNA -p tcp --dport 3456 -j MASQUERADE
$fw -A FORWARD -p tcp -s $lan --dport 1027 -j ACCEPT
$fw -A FORWARD -p tcp -s $lan --dport 1186 -j ACCEPT
$fw -A FORWARD -p tcp -s $lan --dport 1288 -j ACCEPT
$fw -A FORWARD -p tcp -s $lan --dport 3456 -j ACCEPT
$fw -A FORWARD -p tcp --sport 1027 -d $lan -j ACCEPT
$fw -A FORWARD -p tcp --sport 1186 -d $lan -j ACCEPT
$fw -A FORWARD -p tcp --sport 1288 -d $lan -j ACCEPT
$fw -A FORWARD -p tcp --sport 3456 -d $lan -j ACCEPT
 
#-------------------------------------------------------------------------------------------------------
 
#$fw -A FORWARD -p tcp -i $ETH_EXTERNA -d $conectividade -j ACCEPT
#$fw -A FORWARD -p tcp -i $ETH_EXTERNA -s $conectividade -j ACCEPT
 
#$fw -A FORWARD -p tcp -i $ETH_EXTERNA -d 200.201.173.68 -j ACCEPT
#$fw -A FORWARD -p tcp -i $ETH_EXTERNA -s 200.201.173.68 -j ACCEPT
 
#$fw -A FORWARD -p tcp -i $ETH_EXTERNA -d 200.201.166.200 -j ACCEPT
#$fw -A FORWARD -p tcp -i $ETH_EXTERNA -s 200.201.166.200 -j ACCEPT
 
# Conectividade
#$fw -A FORWARD -s $lan -p tcp -d $conectividade --dport 80 -j ACCEPT
#$fw -A FORWARD -s $conectividade -p tcp -d $lan --dport 80 -j ACCEPT
#$fw -t nat -A PREROUTING -s $lan -d ! $conectividade -p tcp --dport 80 -j REDIRECT --to-port 3129
 
# LIBERA TRAFIGO DA LAN PARA CX. FEDERAL NA PORTA 80 (IDA/ VOLTA)
#$fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 80 -j ACCEPT
#$fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 80 -j ACCEPT
 
# LIBERA TRAFIGO DA LAN PARA CX. FEDERAL NA PORTA 2631 (IDA/ VOLTA)
#$fw -A FORWARD -p tcp -s $lan -d $conectividade --dport 2631 -j ACCEPT
#$fw -A FORWARD -p tcp -d $lan -s $conectividade --dport 2631 -j ACCEPT
 
#-------------------------------------------------------------------------------------------------------
 
# EXCLUE IP DA CX. FEDERAL DO PROXY TRANSPARENTE
#$fw -t nat -A PREROUTING -p tcp -i $ETH_INTERNA -s $lan -d $conectividade --dport 80 -j RETURN
 
# REDIRECIONA TRAFIGO INTERNO PARA PROXY TRANSPARENTE
#$fw -t nat -p tcp -A PREROUTING -i $ETH_INTERNA -s $lan -d ! $lan --dport 80 -j REDIRECT --to-port 3129
#$fw -t nat -p tcp -A PREROUTING -i $ETH_INTERNA -s $lan -d ! $lan --dport 21 -j REDIRECT --to-port 3129
#$fw -t nat -p tcp -A PREROUTING -i $ETH_INTERNA -s $lan -d ! $lan --dport 20 -j REDIRECT --to-port 3129
 
#--------------------------------------------------------------------------------------------------------

Redirecionamento DMZ e Conectividade

Ferramentas de Tópicos

Redirecionamento DMZ e Conectividade