Bom estou com umas duvidas em relação ao meu firewall segue o mesmo ( Criei o mesmo mas estou com algumas duvidas )
#!/bin/sh
LAN_IP_NET='10.1.1.1/8'
LAN_NIC='eth1'
WAN_IP='XXX.XXX.XXX.XXX'
WAN_NIC='eth0'
FORWARD_IP='10.1.1.254'
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j ACCEPT -p tcp --dport 47
iptables -A INPUT -j ACCEPT -p tcp --dport 1723
iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -j ACCEPT -p tcp --dport 3306
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3306 -j DNAT --to 10.1.1.254:3306
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
Minhas Intenções
- Habilitar externamente somente a porta 22 e a VPN ( 1723 )
- Bloquear o resto
Funcionou mas com uns problemas...
Se eu deixo ele com a NEW setado nestas linhas, ele me abre os outros serviços
que estação levantados no servidor por EX: 80, mas conecto normalmente por VPN, consigo dar ping para o gw atraves da vpn...
iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
Resumindo ainda fica tudo aberto
Massss...
Se eu remover a opção NEW
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Ele fecha todas as portas somente me liberaa 22 e a 1783, conecto na VPN, mas não consigo dar um ping no GW, mas do GW para a estação que conectou por VPN consigo, parece q falta mais um regra..
Ps: Nem compartilhamento ativo consigo acessar pela VPN
Algum help?