+ Responder ao Tópico



  1. #1
    salcam
    Visitante

    Padrão liberar um ip total

    Como faco para liberar um ip total para acesso ao kazaa, sendo o DMZ ou seja como faco para fazer um DMZ

    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    iptables -F
    iptables -t nat -F
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    echo 1 > /proc/sys/net/ipv4/ip_forward
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp


    # Proxy transparente
    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

    #NAT
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -A FORWARD -o eth1 -m state --state NEW,INVALID -j ACCEPT
    iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

    #Acesso Web e Servidor web
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT

    #libera DNS
    #iptables -A INPUT -p tcp --dport 53 -j ACCEPT
    #iptables -A INPUT -p udp --dport 53 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp --dport 53 -j ACCEPT

    #Email
    iptables -A INPUT -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
    iptables -A INPUT -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 110 -j ACCEPT

    #FTP
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

    # Ping
    iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

    # Banespa
    iptables -A INPUT -p tcp --dport 8000 -j ACCEPT
    iptables -A INPUT -p tcp --dport 30005 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 8000 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 30005 -j ACCEPT

    # SSH
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

    #Banco Atualização e msn para autenticacao
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

    #MSN
    iptables -A INPUT -p tcp --dport 1863 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT

    #vnc
    iptables -A INPUT -p tcp --dport 5800 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 5800 -j ACCEPT
    iptables -A INPUT -p tcp --dport 5900 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 5900 -j ACCEPT
    iptables -A INPUT -p tcp --sport 5900 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 5900 -j ACCEPT

    #Terminal Service
    iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
    iptables -A INPUT -p tcp --sport 3389 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 3389 -j ACCEPT

    #VNC
    iptables -t nat -A PREROUTING -p tcp --dport 5900 -i eth0 -j DNAT --to 192.168.0.1:5900
    iptables -t nat -A PREROUTING -p tcp --dport 5800 -i eth0 -j DNAT --to 192.168.0.1:5800

    #Terminal Service
    iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth0 --dport 3389 -j DNAT --to-destination 192.168.0.1:3389

    #Camera Pico
    iptables -A INPUT -p tcp --dport 1899 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 1899 -j ACCEPT
    iptables -A INPUT -p tcp --sport 1899 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 1899 -j ACCEPT
    iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth0 --dport 1899 -j DNAT --to-destination 192.168.0.1:1899

    iptables -A INPUT -p tcp --dport 1999 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 1999 -j ACCEPT
    iptables -A INPUT -p tcp --sport 1999 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 1999 -j ACCEPT
    iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth0 --dport 1999 -j DNAT --to-destination 192.168.0.1:1999

    #Sql
    iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 3306 -j ACCEPT
    iptables -A INPUT -p tcp --sport 3306 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 3306 -j ACCEPT
    iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth0 --dport 1999 -j DNAT --to-destination 192.168.0.1:3306

    #VPN
    iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
    iptables -A INPUT -p tcp --sport 1723 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 1723 -j ACCEPT
    iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth0 --dport 1723 -j DNAT --to-destination 192.168.0.1:1723

  2. #2

    Padrão

    É legal utilizar o módulo layer-7 do iptables para estar tratando do Kazaa e de outros programas P2P. Instale-o e depois insira uma regra assim:

    Código :
    # iptables -t filter -I FORWARD -s $IP -m layer7 --l7proto fasttrack -j ACCEPT

    Abraços!



  3. #3

    Padrão

    Citação Postado originalmente por xstefanox Ver Post
    É legal utilizar o módulo layer-7 do iptables para estar tratando do Kazaa e de outros programas P2P. Instale-o e depois insira uma regra assim:

    Código :
    # iptables -t filter -I FORWARD -s $IP -m layer7 --l7proto fasttrack -j ACCEPT

    Abraços!
    xstefanox pegando carona no post, coloquei isso aqui para liberar o messenger para meu chefe mas não funcionou.

    Código :
    iptables -t filter -I FORWARD -s 192.168.0.235 -m layer7 --l7proto msnmessenger -j ACCEPT

    Tem algo errado?

  4. #4

    Padrão

    Aparentemente não, mas talvez seja necessário liberar alguma coisa pra ele no Squid. Verifique se o mesmo não está configurado para acessar o proxy, sobretudo olhando os arquivos de log.

    Abraços!



  5. #5

  6. #6

    Padrão

    Dá uma olhada no seu script, porque a gente é muito acostumado a utilizar -A ao invés de -I nos scripts, mas caso a gente utilize o segundo parâmetro, ele joga a regra acima das outras. Verifique a ordem das regras no seu script.


    Abraços!



  7. #7

    Padrão

    Cara olha como que ta as tabelas do iptables

    Código :
    ~# iptables -L -n
    Chain INPUT (policy DROP)
    target     prot opt source               destination         
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED 
     
    Chain FORWARD (policy DROP)
    target     prot opt source               destination         
    ACCEPT     0    --  192.168.0.235           0.0.0.0/0           LAYER7 l7proto msnmessenger 
    REJECT     0    --  0.0.0.0/0            72.14.209.94        reject-with icmp-port-unreachable 
    REJECT     0    --  0.0.0.0/0            72.14.209.86        reject-with icmp-port-unreachable 
    REJECT     0    --  0.0.0.0/0            72.14.209.85        reject-with icmp-port-unreachable 
    REJECT     0    --  0.0.0.0/0            72.14.209.87        reject-with icmp-port-unreachable 
    DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto msnmessenger 
    DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto edonkey 
    DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto edonkey 
    DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto fasttrack 
    DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto fasttrack 
    DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto directconnect 
    DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto directconnect 
    DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto bittorrent 
    DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto bittorrent 
    DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto napster 
    DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto napster 
    DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto soulseek 
    DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto soulseek 
    DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto gnutella 
    DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto gnutella 
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53 
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53 
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:110 
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:110 
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25 
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25 
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21 
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21 
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED 
    ACCEPT     0    --  192.168.0.235           0.0.0.0/0           
     
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination