+ Responder ao Tópico



  1. #1
    cbjulio
    Daee moçada...fiz esse firewall aqui com o iptables, mas sou novato na área! Tá com alguns problemas...alguém pode me ajudar? O que será que tem de errado? Se alguém tiver alguma dica, posta ai! Eu comentei tudo o que eu fiz!
    Valeu!

    #!/bin/bash
    #Firewall Julio
    #Versão 26/04/2006

    #Objetivos: Liberar acesso ao servidor para os serviços de entrada(eth0) internet, e ssh com as portas: 80, 8080, e 3122. E de saída(eth1) qualquer serviço.
    #Liberar acesso à máquinas da rede 192.168.0.1/24 para os serviços de entrada de vpn e torrets, e de saída de qualquer serviço.


    ##### Definição de Policiamento Padrão (se nenhuma regra for satisfeita, então o policiamento é aplicado) #####
    # É usado pela opçao -D antes do chain...###
    #Ex:
    #surui:/home/julio# iptables -L INPUT
    #Chain INPUT (policy DROP)

    #limpando tabelas
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X

    ######Regras padrões

    # Tabela filter
    iptables -t filter -P INPUT DROP
    iptables -t filter -P OUTPUT DROP
    iptables -t filter -P FORWARD DROP
    # Tabela nat
    iptables -t nat -P PREROUTING DROP
    iptables -t nat -P OUTPUT DROP
    iptables -t nat -P POSTROUTING DROP
    # Tabela mangle
    iptables -t mangle -P PREROUTING DROP
    iptables -t mangle -P OUTPUT DROP


    ##### Ativamos o redirecionamento de pacotes (requerido para NAT) #####
    echo "1" >/proc/sys/net/ipv4/ip_forward

    # Aceita todo o tráfego vindo do loopback e indo pro loopback
    iptables -A INPUT -i lo -j ACCEPT

    # Todo tráfego vindo da rede interna também é aceito
    #iptables -A INPUT -s 192.168.0.1/24 -i eth1 -j ACCEPT

    ####Adicionando regras padrões para a máquina local####
    #Liberando acesso da web pela porta 80 da máquina local
    iptables -t filter -A OUTPUT -o eth0 --dport 80 -j ACCEPT
    #Liberando Acesso SSH
    iptables -t filter -A INPUT -i eth0 --dport 3122 -j ACCEPT
    #Liberando acesso ao samba para a rede interna
    iptables -t filter -A INPUT -i eth1 --dport 137:139 -j ACCEPT
    #Redirecionando Acesso apache da porta 8080 para porta 80 (para rede externa)
    iptables -t filter -A INPUT -i eth0 --dport 8080 -j REDIRECT --to-port 80
    #Acesso ao SSH para a rede interna...
    iptables -t filter -A INPUT -s 192.168.0.1/24 -i eth1 -d 127.0.0.1 --dport 3122 -j ACCEPT
    #Liberando acesso DHCP
    iptables -t filter -A INPUT -s 192.168.0.1/24 -i eth1 --dport 67 -j ACCEPT
    #Forçando Acesso à web da rede interna com o squid
    iptables -t nat -A PREROUTING -i eth1 --dport 80 -j REDIRECT --to-port 3128

    #Fazendo masquerade (Vi em 2 sites fazendo com -o, pra especificar que é a interface de saída)
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    ####Redirecionando...####
    #Redirecionando portas do e-mule e torrent para a máquina 20
    iptables -t nat -A PREROUTING -i eth0 --sport 6881:6889 -j DNAT --to 192.168.0.20
    #Redirecionando portas do e-mule para a máquina 20
    iptables -t nat -A PREROUTING -i eth0 -p tcp --sport 4662 -j DNAT --to 192.168.0.20
    iptables -t nat -A PREROUTING -i eth0 -p udp --sport 4672 -j DNAT --to 192.168.0.20
    #Redirecionando portas vpn para a máquina 25
    iptables -t nat -A PREROUTING -i eth0 --sports 5800 -j DNAT --to 192.168.0.25

    #Liberando acesso a ftp para a rede interna
    iptables -A FORWARD -s 192.168.0.1 --dport 21 -j ACCEPT
    #Liberando acesso a

    ###MSN...####

    iptables -A FORWARD -s 192.168.0.1/24 -p tcp --dport 1863 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.1/24 -d loginnet.passport.com -j ACCEPT

    ###Proteção...###
    #Proteção contra Syn-floods
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    #Proteção contra ping de morte
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    ###Logs###
    iptables -t nat -A PREROUTING -p tcp --dport 22 -j LOG --log-prefix "Tentativa Acesso porta 22: "

  2. O que e que nao ta funcionando ??? Ou o que e que vc precisa ??? Se ta bom ou ta ruim ???


    Abraços



  3. #Redirecionando Acesso apache da porta 8080 para porta 80 (para rede externa)
    iptables -t filter -A INPUT -i eth0 --dport 8080 -j REDIRECT --to-port 80


    ESSAS REGRAS ACIMA.

    Se você quer usar um redirecionamento das solicitações na sua porta 80.

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 REDIRECT --to-port 80

    outra coisa, você não está especificando o protocolo TCP/UDP isso é necessário e eu particularmente costumo colocar Interface de Entrada e Interface de Saída. Assim mantenho um controle melhor no firewall. E outra você deixou tudo como DROP. Num tem tanta necessidade deixar assim. Ainda mais quando não se tem um total costume e domínio quanto ao iptables. Afinal todas as tabelas terão que ser liberadas nas regras. Maior segurança mas muito mais trabalho.


    Quanto as suas regras

    Uma dica que costumo dar a todos. Eu mesmo sempre volto e leio quando surge alguma duvida
    e uma outra dica que ouvi de muitas pessoas bem fudidas em administração de redes.
    Um firewall bom é um firewall pequeno.
    Muitos deles dizem e hj mesmo estou começando a entender.

    www.google.com.br/linux ---> focalinux + firewall
    www.google.com.br/linux ---> iptables by eriberto
    www.qmailrocks.org --------> Tem documentacao de iptables tb. Se naum mi engano é iptablesrocks.
    ww.netfilter.org -----------> O proprio manual do iptables

    Assim você vai ter um pouco de trabalho mas fica até melhor para você isso.
    Mas detalhe como falado anteriormente pelo gatoseco.
    Explique qual a necessidade e suas duvidas.


    Espero ter ajudado ...

    Fui !!!

  4. #4
    cbjulio
    Daee spyderlinux! Valeu pela resposta! Estão me ajudando muito! Estou fazendo funcionar!
    Qualquer coisa eu pergunto aqui de novo!
    Valeu!



  5. #5
    cbjulio
    Era isso mesmo! Estava tentando fazer o redirecionamento de portas 8080 pra 80 pela tabela filter, mas é com a nat, como vc havia me dito! Agora está funcionando!
    Muito obrigado!
    Abraço!






Tópicos Similares

  1. NFS + Firewall Iptables
    Por A-Marcio no fórum Servidores de Rede
    Respostas: 3
    Último Post: 09-09-2003, 12:01
  2. MS Exchange 2k atras de Firewall (iptables)
    Por DeJaVu no fórum Servidores de Rede
    Respostas: 6
    Último Post: 06-08-2003, 11:33
  3. Dúvida em Firewall iptables
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 28-07-2003, 09:32
  4. Aumentar segurança no Firewall (Iptables)
    Por A-Marcio no fórum Servidores de Rede
    Respostas: 2
    Último Post: 16-04-2003, 12:50
  5. Firewall iptables
    Por marcfee no fórum Servidores de Rede
    Respostas: 8
    Último Post: 04-12-2002, 09:02

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L