+ Responder ao Tópico



  1. #1
    salcam
    Visitante

    Padrão Firewall

    # Ativa suporte ao NAT
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Ativa Suporte ao FTP no NAT
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp

    # Limpa regras anteriores
    iptables -F -t nat
    iptables -F

    # Determina politica padrao
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT

    # Libera placa loopback
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # Acesso Web e Servidor Web
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT

    # NAT
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    # Controle de Pacotes
    iptables -A FORWARD -o eth0 -m state --state NEW,INVALID -j ACCEPT
    iptables -A FORWARD -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

    # Libera Proxy e Proxy transparente
    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

    #orkut
    iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j DROP
    iptables -A INPUT -d www.orkut.com -p tcp --dport 443 -j DROP
    iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j DROP
    iptables -A INPUT -d orkut.com -p tcp --dport 443 -j DROP

    #Gmail
    iptables -A FORWARD -d www.gmail.com -p tcp --dport 443 -j DROP
    iptables -A INPUT -d www.gmail.com -p tcp --dport 443 -j DROP
    iptables -A FORWARD -d gmail.com -p tcp --dport 443 -j DROP
    #iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
    #iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT

    #Msn
    iptables -t nat -A PREROUTING -p tcp --dport 1863 -j REDIRECT --to-port 3128

    #terminal Service
    #iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
    #iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
    #iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 3389 -j DNAT --to 1.0.0.24:3398

    iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 3389 -j DNAT --to-destination 1.0.0.24


    # Libera servidor mail
    iptables -A INPUT -p tcp --dport 25 -j ACCEPT

    #Aim
    iptables -A INPUT -p tcp --dport 9898 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 9898 -j ACCEPT
    iptables -A INPUT -p tcp --dport 5190 -j ACCEPT
    #email
    iptables -A INPUT -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 25 -j ACCEPT

    # Libera Servidor IMAP
    iptables -A INPUT -p tcp --dport 143 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 143 -j ACCEPT

    # Libera Servidor IMAPS
    iptables -A INPUT -p tcp --dport 993 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 993 -j ACCEPT

    #Libera SSL
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

    # Libera Servidor Webmin
    iptables -A INPUT -p tcp --dport 10000 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 10000 -j ACCEPT

    # Libera DNS
    #iptables -A INPUT -p tcp --dport 53 -j ACCEPT

    # Libera Spamassassin
    iptables -A INPUT -p tcp --dport 783 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 783 -j ACCEPT

    # Libera Servidor SSH
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

    # Libera Servidor FTP
    iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 20 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 21 -j ACCEPT

    #Programa da Sms
    iptables -A INPUT -p tcp --dport 10001 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 10001 -j ACCEPT
    iptables -A INPUT -p tcp --dport 10002 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 10002 -j ACCEPT
    iptables -A INPUT -p tcp --dport 8500 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 8500 -j ACCEPT




    Galera é o seguinte existe algum erro nesse firewal pq so consigo fazer o terminal service funcionar se ele estiver aberto totalmente se eu coloco drop naum consigo
    tem como quando for bloqueado orkut e gmail aparecer uma mensagem da empresa igual eu coloquei quando redireciona para o proxy

  2. #2

    Padrão Re: Firewall

    nao entendi a sua duvida sobre TS....

    vc nao consegue se conectar a TS remotos ou receber conexoes de TS remotos??

    pq as suas linhas d TS estao comentadas??

    vc reparou q no final dessa linha: #iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 3389 -j DNAT --to 1.0.0.24:3398

    a porta de destino eh 3398?? eh essa porta mesmo??

    []'s



  3. #3
    felco
    Visitante

    Padrão Re: Firewall

    iptables -A FORWARD -o eth0 -m state --state NEW,INVALID -j ACCEPT

    Te recomento tirar o INVALID dessa regra

  4. #4
    salcam
    Visitante

    Padrão Re: Firewall

    pq retirar o invalid?
    naum consigo nem receber e nem mandar ts,



  5. #5

    Padrão Re: Firewall

    A porta que você precisa liberar no firewall para o TS funcionar é a 3389

    iptables -A FORWARD -p tcp -s $LAN_RANGE --dport 3389 -j ACCEPT

    Sendo que $LAN_RANGE = sua rede/24 -> 192.168.0.0/24

    Espero ter ajudado.
    Tenho 3 TS no meu trampo e todos funcionam normalmente

  6. #6
    rafael filipe
    Visitante

    Padrão Re: Firewall

    E ae...blz?
    sou novo aqui e não sei se estou postando no local certo.
    Estou tendo problemas para enviar torpedos para os celulares Claro pelo programa Coolsms.
    Precisa liberar a porta 5005..
    como resolver o problema???
    Desde já...mto obrigado.



  7. #7

    Padrão Re: Firewall

    (1) iptables -t filer -A FORWARD -p tcp --dport 5005 -s 192.168.0.0/24 -j ACCEPT
    (2) iptables -t filer -A FORWARD -p udp --dport 5005 -s 192.168.0.0/24 -j ACCEPT

    (3) iptables -t filer -A FORWARD -p tcp --sport 5005 -d 192.168.0.0/24 -j ACCEPT
    (4) iptables -t filer -A FORWARD -p udp --sport 5005 -d 192.168.0.0/24 -j ACCEPT

    Tendo como sua rede sendo 192.168.0.0/24 ou seja 192.168.0.0/255.255.255.0


    Acredito que dessa forma dará certo.
    Teste somente a regra (1) e (2) se não der certo adicione a (3) e (4)

  8. #8
    felco
    Visitante

    Padrão Re: Firewall

    Bom, pra que aceitar pacotes considerados INVALIDOS?