Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Galera estou com um Grande problema , fiz um script para bloquear tudo na minha rede, deixar só o squid o msn e um redirecionamento de um cliente para o vnc ativado claro q tambem a regra de compartilhamento funcionando , só q notei q não esta funcionando , todos continua usando kazaa , emule, etc ... q é meu principal motivo do script , alguem poderia me ajudar a dar uma olhada no script e me dizer o q esta de errado nele ?

    #!/bin/bash
    firewall_start(){

    #setando polihticas
    $IPTABLES -P INPUT DROP
    $IPTABLES -P FORWARD DROP
    $IPTABLES -P OUTPUT DROP


    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    iptables -A INPUT -p tcp --syn -j DROP

    # Abre para uma faixa de endereços da rede local
    iptables -A INPUT -s 192.168.254.0/255.255.255.0 -j ACCEPT

    # compartilhar internet
    modprobe iptable_nat
    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --destination-port 3128 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 1863 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 25 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 110 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 5800 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 5900 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 5190 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port -j ACCEPT
    iptables -A INPUT -p tcp --syn --destination-port 22 -j ACCEPT

    # rediriciona o trafego da porta 80 para squid
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    # Ignora pings
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
    # Proteção contra IP spoofing
    echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

    # Protege contra synflood
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies

    # Proteção contra ICMP Broadcasting
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

    # Bloqueia traceroute
    iptables -A INPUT -p udp --dport 33435:33525 -j DROP

    # Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
    iptables -A FORWARD -m unclean -j DROP
    iptables -A INPUT -m state --state INVALID -j DROP


    # Abre para a interface de loopback.
    # Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
    iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

    # Fecha as portas udp de 1 a 1024, abre para o localhost
    iptables -A INPUT -p udp -s 127.0.0.1/255.0.0.0 -j ACCEPT
    iptables -A INPUT -p udp --dport 1:1024 -j DROP
    iptables -A INPUT -p udp --dport 59229 -j DROP

    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5800:5900 -j DNAT --to-dest 192.168.254.5
    iptables -A FORWARD -p tcp -i ppp0 --dport 5800:5900 -d 192.168.254.5 -j ACCEPT
    iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 5800:5900 -j DNAT --to-dest 192.168.254.5
    iptables -A FORWARD -p udp -i ppp0 --dport 5800:5900 -d 192.168.254.5 -j ACCEPT

    iptables -A INPUT -s 0/0 -p tcp --dport 1025 -j DROP

    iptables -A INPUT -p tcp --dport 12345 -j DROP
    iptables -A INPUT -p tcp --dport 123456 -j DROP

    #habilitando forward
    echo 1 > /proc/sys/net/ipv4/ip_forward
    }

  2. O seu script esta liberando tudo, apenas bloqueia algumas coisas contra ataque externo. Voce esta mascarando tudo com
    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
    e aceita tudo da rede interna com
    iptables -A INPUT -s 192.168.254.0/255.255.255.0 -j ACCEPT
    voce até abre as portas com
    iptables -A INPUT -p tcp --destination-port 3128 -j ACCEPT ## etc
    mas não bloqueia o resto.
    Eu não testei, mas tenta comentar a linha
    iptables -A INPUT -s 192.168.254.0/255.255.255.0 -j ACCEPT
    Tem outras coisas que podem ser feitas, mas acho que assim vai funcionar.
    Ahh! coloca também a opção "-s 192.168.254.0/24" mas linhas abaixo de " # Abre uma porta (inclusive para a Internet)"
    Acho que vai dar certo, se não der responde.



  3. amigão muito obrigado pela dica meu firewall ficou assim, mais mesmo assim não esta funcionando , será q fiz alguma coisa errada ?


    # Ignora pings
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
    # Proteção contra IP spoofing
    echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

    # Protege contra synflood
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies

    # Proteção contra ICMP Broadcasting
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

    # Bloqueia traceroute
    iptables -A INPUT -p udp --dport 33435:33525 -j DROP

    # Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
    iptables -A FORWARD -m unclean -j DROP
    iptables -A INPUT -m state --state INVALID -j DROP


    # Abre para a interface de loopback.
    # Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
    iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

    # Fecha as portas udp de 1 a 1024, abre para o localhost
    iptables -A INPUT -p udp -s 127.0.0.1/255.0.0.0 -j ACCEPT
    iptables -A INPUT -p udp --dport 1:1024 -j DROP
    iptables -A INPUT -p udp --dport 59229 -j DROP

    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5800:5900 -j DNAT --to-dest 192.168.254.5
    iptables -A FORWARD -p tcp -i ppp0 --dport 5800:5900 -d 192.168.254.5 -j ACCEPT
    iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 5800:5900 -j DNAT --to-dest 192.168.254.5
    iptables -A FORWARD -p udp -i ppp0 --dport 5800:5900 -d 192.168.254.5 -j ACCEPT

    iptables -A INPUT -s 0/0 -p tcp --dport 1025 -j DROP

    iptables -A INPUT -p tcp --dport 12345 -j DROP
    iptables -A INPUT -p tcp --dport 123456 -j DROP

    #habilitando forward
    echo 1 > /proc/sys/net/ipv4/ip_forward
    }

  4. acho que voce postou apenas a metade, coloca o scriot inteiro ou manda por e-mail.



  5. #!/bin/bash
    firewall_start(){

    #setando polihticas
    $IPTABLES -P INPUT DROP
    $IPTABLES -P FORWARD DROP
    $IPTABLES -P OUTPUT DROP


    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    iptables -A INPUT -p tcp --syn -j DROP

    # Abre para uma faixa de endereços da rede local
    # iptables -A INPUT -s 192.168.254.0/255.255.255.0 -j ACCEPT

    # compartilhar internet
    modprobe iptable_nat
    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --destination-port 3128 -s 192.168.254.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 1863 -s 192.168.254.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 80 -s 192.168.254.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 25 -s 192.168.254.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 110 -s 192.168.254.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 5800 -s 192.168.254.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 5900 -s 192.168.254.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 5190 -s 192.168.254.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 8080 -s 192.168.254.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port -s 192.168.254.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn --destination-port 22 -s 192.168.254.0/255.255.255.0 -j ACCEPT

    # rediriciona o trafego da porta 80 para squid
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    # Ignora pings
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
    # Proteção contra IP spoofing
    echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

    # Protege contra synflood
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies

    # Proteção contra ICMP Broadcasting
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

    # Bloqueia traceroute
    iptables -A INPUT -p udp --dport 33435:33525 -j DROP

    # Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
    iptables -A FORWARD -m unclean -j DROP
    iptables -A INPUT -m state --state INVALID -j DROP


    # Abre para a interface de loopback.
    # Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
    iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

    # Fecha as portas udp de 1 a 1024, abre para o localhost
    iptables -A INPUT -p udp -s 127.0.0.1/255.0.0.0 -j ACCEPT
    iptables -A INPUT -p udp --dport 1:1024 -j DROP
    iptables -A INPUT -p udp --dport 59229 -j DROP

    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5800:5900 -j DNAT --to-dest 192.168.254.5
    iptables -A FORWARD -p tcp -i ppp0 --dport 5800:5900 -d 192.168.254.5 -j ACCEPT
    iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 5800:5900 -j DNAT --to-dest 192.168.254.5
    iptables -A FORWARD -p udp -i ppp0 --dport 5800:5900 -d 192.168.254.5 -j ACCEPT

    iptables -A INPUT -s 0/0 -p tcp --dport 1025 -j DROP

    iptables -A INPUT -p tcp --dport 12345 -j DROP
    iptables -A INPUT -p tcp --dport 123456 -j DROP

    #habilitando forward
    echo 1 > /proc/sys/net/ipv4/ip_forward
    }






Tópicos Similares

  1. Bloquear acesso - nao funciona
    Por robinhood no fórum Servidores de Rede
    Respostas: 1
    Último Post: 15-08-2006, 08:05
  2. Respostas: 0
    Último Post: 31-07-2006, 12:56
  3. Samba, PARECE estar tudo configurado, mas nao funciona
    Por vfsmount no fórum Servidores de Rede
    Respostas: 4
    Último Post: 04-05-2005, 02:07
  4. Respostas: 3
    Último Post: 25-11-2002, 18:22
  5. Função Mail() não funciona
    Por no fórum Servidores de Rede
    Respostas: 3
    Último Post: 26-09-2002, 16:55

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L