firewall iptables....

[cbjulio]

Daee moçada...fiz esse firewall aqui com o iptables, mas sou novato na área! Tá com alguns problemas...alguém pode me ajudar? O que será que tem de errado? Se alguém tiver alguma dica, posta ai! Eu comentei tudo o que eu fiz!
Valeu!

#!/bin/bash
#Firewall Julio
#Versão 26/04/2006

#Objetivos: Liberar acesso ao servidor para os serviços de entrada(eth0) internet, e ssh com as portas: 80, 8080, e 3122. E de saída(eth1) qualquer serviço.
#Liberar acesso à máquinas da rede 192.168.0.1/24 para os serviços de entrada de vpn e torrets, e de saída de qualquer serviço.


##### Definição de Policiamento Padrão (se nenhuma regra for satisfeita, então o policiamento é aplicado) #####
# É usado pela opçao -D antes do chain...###
#Ex:
#surui:/home/julio# iptables -L INPUT
#Chain INPUT (policy DROP)

#limpando tabelas
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

######Regras padrões

# Tabela filter
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
# Tabela nat
iptables -t nat -P PREROUTING DROP
iptables -t nat -P OUTPUT DROP
iptables -t nat -P POSTROUTING DROP
# Tabela mangle
iptables -t mangle -P PREROUTING DROP
iptables -t mangle -P OUTPUT DROP


##### Ativamos o redirecionamento de pacotes (requerido para NAT) #####
echo "1" >/proc/sys/net/ipv4/ip_forward

# Aceita todo o tráfego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT

# Todo tráfego vindo da rede interna também é aceito
#iptables -A INPUT -s 192.168.0.1/24 -i eth1 -j ACCEPT

####Adicionando regras padrões para a máquina local####
#Liberando acesso da web pela porta 80 da máquina local
iptables -t filter -A OUTPUT -o eth0 --dport 80 -j ACCEPT
#Liberando Acesso SSH
iptables -t filter -A INPUT -i eth0 --dport 3122 -j ACCEPT
#Liberando acesso ao samba para a rede interna
iptables -t filter -A INPUT -i eth1 --dport 137:139 -j ACCEPT
#Redirecionando Acesso apache da porta 8080 para porta 80 (para rede externa)
iptables -t filter -A INPUT -i eth0 --dport 8080 -j REDIRECT --to-port 80
#Acesso ao SSH para a rede interna...
iptables -t filter -A INPUT -s 192.168.0.1/24 -i eth1 -d 127.0.0.1 --dport 3122 -j ACCEPT
#Liberando acesso DHCP
iptables -t filter -A INPUT -s 192.168.0.1/24 -i eth1 --dport 67 -j ACCEPT
#Forçando Acesso à web da rede interna com o squid
iptables -t nat -A PREROUTING -i eth1 --dport 80 -j REDIRECT --to-port 3128

#Fazendo masquerade (Vi em 2 sites fazendo com -o, pra especificar que é a interface de saída)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

####Redirecionando...####
#Redirecionando portas do e-mule e torrent para a máquina 20
iptables -t nat -A PREROUTING -i eth0 --sport 6881:6889 -j DNAT --to 192.168.0.20
#Redirecionando portas do e-mule para a máquina 20
iptables -t nat -A PREROUTING -i eth0 -p tcp --sport 4662 -j DNAT --to 192.168.0.20
iptables -t nat -A PREROUTING -i eth0 -p udp --sport 4672 -j DNAT --to 192.168.0.20
#Redirecionando portas vpn para a máquina 25
iptables -t nat -A PREROUTING -i eth0 --sports 5800 -j DNAT --to 192.168.0.25

#Liberando acesso a ftp para a rede interna
iptables -A FORWARD -s 192.168.0.1 --dport 21 -j ACCEPT
#Liberando acesso a

###MSN...####

iptables -A FORWARD -s 192.168.0.1/24 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.1/24 -d loginnet.passport.com -j ACCEPT

###Proteção...###
#Proteção contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
#Proteção contra ping de morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

###Logs###
iptables -t nat -A PREROUTING -p tcp --dport 22 -j LOG --log-prefix "Tentativa Acesso porta 22: "

[gatoseco]

O que e que nao ta funcionando ??? Ou o que e que vc precisa ??? Se ta bom ou ta ruim ???


Abraços

[spyderlinux]

#Redirecionando Acesso apache da porta 8080 para porta 80 (para rede externa)
iptables -t filter -A INPUT -i eth0 --dport 8080 -j REDIRECT --to-port 80


ESSAS REGRAS ACIMA.

Se você quer usar um redirecionamento das solicitações na sua porta 80.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 REDIRECT --to-port 80

outra coisa, você não está especificando o protocolo TCP/UDP isso é necessário e eu particularmente costumo colocar Interface de Entrada e Interface de Saída. Assim mantenho um controle melhor no firewall. E outra você deixou tudo como DROP. Num tem tanta necessidade deixar assim. Ainda mais quando não se tem um total costume e domínio quanto ao iptables. Afinal todas as tabelas terão que ser liberadas nas regras. Maior segurança mas muito mais trabalho.


Quanto as suas regras

Uma dica que costumo dar a todos. Eu mesmo sempre volto e leio quando surge alguma duvida
e uma outra dica que ouvi de muitas pessoas bem fudidas em administração de redes.
Um firewall bom é um firewall pequeno.
Muitos deles dizem e hj mesmo estou começando a entender.

www.google.com.br/linux ---> focalinux + firewall
www.google.com.br/linux ---> iptables by eriberto
www.qmailrocks.org --------> Tem documentacao de iptables tb. Se naum mi engano é iptablesrocks.
ww.netfilter.org -----------> O proprio manual do iptables

Assim você vai ter um pouco de trabalho mas fica até melhor para você isso.
Mas detalhe como falado anteriormente pelo gatoseco.
Explique qual a necessidade e suas duvidas.


Espero ter ajudado ...

Fui !!!

[cbjulio]

Daee spyderlinux! Valeu pela resposta! Estão me ajudando muito! Estou fazendo funcionar!
Qualquer coisa eu pergunto aqui de novo!
Valeu!

[cbjulio]

Era isso mesmo! Estava tentando fazer o redirecionamento de portas 8080 pra 80 pela tabela filter, mas é com a nat, como vc havia me dito! Agora está funcionando!
Muito obrigado!
Abraço!