Re: HELP POR FAVOR, iptables
Cara vou tentar ajudar !!!
A funçao desse micro e so gateway de internet ??? So vai repassar a internet pros outros micros ??? Ou vai rodar algum serviço em especifico ???
Posta ai mais detalhes que tentamos arrumar seu script !!!
Valeu !!!
Re: HELP POR FAVOR, iptables
Bem vamos la entao ver se eu consigo te ajudar !!!
Primeiramente nao sei como foram seus passos para construçao desse script vou passar como normalmente eu faço
Crio um arquivo chamado firewall dentro de /etc e la coloco as regras, logo apos torno executavel
#chmod +x /etc/firewall
Depois para que sempre que se inicie o micro as regras estejam ativas jogo esse caminho dentro do rc.local
E dentro de /etc levanto as regras ./firewall
Bem vamos ao script !!!
Script de Firewall
#!/bin/sh
#
# Ativa roteamento via kernel
echo "1" >/proc/sys/net/ipv4/ip_forward
# Limpando as tabelas
iptables -F
iptables -X
iptables -t nat -F
iptabels -t nat -X
# Politica de Acesso
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
# Toda regra reincidente ou estabelecida nao sera lida novamente
iptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT
# liberando o loopback
iptables -A INPUT -i lo -j ACCEPT
# liberando o que vier da rede local
iptables -A INPUT -s $REDE_LOCAL -i $ETH_INT -j ACCEPT
# Liberacao de PING (ICMP) na Interface Externa com certa limitacao
iptables -A INPUT -i $ETH_WEB -p icmp -m limit --limit 2/s -j ACCEPT
# Abre algumas portas
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 23 -j ACCEPT
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
iptables -A INPUT -p tcp --dport 5900 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
# redirecionamento de portas para um host interno
iptables -t nat -A PREROUTING -p tcp -i $ETH_WEB --dport 3389 -j DNAT --to 192.168.0.200:3398
iptables -t nat -A PREROUTING -p tcp -i $ETH_WEB --dport 5900 -j DNAT --to 192.168.0.1:5900
# Redirecionando da porta 80 para o squid , fazendo proxy transparente
iptables -t nat -A PREROUTING -p tcp -i $ETH_INT --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p udp -i $ETH_INT --dport 80 -j REDIRECT --to-port 3128
# fazendo o ip masquerade
iptables -t nat -A POSTROUTING -o $ETH_WEB -j MASQUERADE
Amigo dessa maneira que coloquei deve funcionar o unico problema e vc usar muito INPUT em suas regras, o que eu te aconselho e usar FORWARD da uma boa lida na internet em relaçao a isso e altera deacordo com suas necessidades, uso minha politica padrao DROP e nunca tive que abrir portas pro pessoal poder coectar o VNC mas enfim !!!
Qualquer coisa posta ai !!!
Valeu !!!