tem um q eu fiz está nesse endereço:
http://www.linuxit.com.br/modules.ph...ticle&artid=17
Versão Imprimível
tem um q eu fiz está nesse endereço:
http://www.linuxit.com.br/modules.ph...ticle&artid=17
dei uma olhada em seu firewall, ele é 10 o meu é bem simples, já o seu é bem completo, vou fazer algumas alterações para os meus clientes, valeu 1c3. <IMG SRC="images/forum/icons/icon_wink.gif">
ja enviei o email para os amigos, falou
Eu estou usando o seguinte
#!/bin/sh
#
# eth0 - rede interna
# eth1 - internet - ip valido
##### Ativamos o redirecionamento de pacotes (requerido para NAT) #####
echo "1" >/proc/sys/net/ipv4/ip_forward
# Limpa tudo
iptables -F
iptables -X
iptables -F -t nat
# Regras Basicas
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
# Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING DROP
# Protecao contra spoofing
iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
iptables -A INPUT -s 172.16.0.0/16 -i eth1 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j DROP
##### Proteção contra IP Spoofing #####
#for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
# echo 1 >$i
#done
# Criamos um chain que será usado para tratar o tráfego vindo da Internet
iptables -N eth1-input
# Aceita todo o tráfego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT
# Todo tráfego vindo da rede interna também é aceito
iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
# Conexões vindas da interface eth1 são tratadas pelo chain eth1-input
iptables -A INPUT -i eth1 -j eth1-input
# Qualquer outra conexão desconhecida é imediatamente derrubada
iptables -A INPUT -j LOG --log-prefix "FIREWALL - input: "
iptables -A INPUT -j DROP
# Chain FORWARD ####
# Permite redirecionamento de conexões entre as interfaces locais
# especificadas abaixo. Qualquer tráfego vindo/indo para outras
# interfaces será bloqueado neste passo
# --------------------------
# LIBERA IPs
iptables -A FORWARD -d 192.168.1.4 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.1.4 -i eth0 -o eth1 -j ACCEPT
# FTP
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 21 --dport 1022:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --sport 1022:65535 --dport 21 -j ACCEPT
# SMTP
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 25 --dport 1022:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --dport 25 -j ACCEPT
# DNS
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p udp --sport 53 --dport 1022:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p udp --dport 53 -j ACCEPT
# POP3
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p tcp --sport 110 --dport 1022:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p tcp --dport 110 -j ACCEPT
# ICMP - Ping
iptables -A FORWARD -d 192.168.1.0/24 -i eth1 -o eth0 -p icmp -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o eth1 -p icmp -j ACCEPT
# Bloqueia o restante da rede para outros servicos
iptables -A FORWARD -j LOG --log-prefix "FIREWALL - forward: "
iptables -A FORWARD -j DROP
# SSH client (22)
# ---------------
iptables -A OUTPUT -o eth1 -p tcp -s 200.230.22.123 --source-port 1022:65535 --destination-port 22 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp ! --syn --source-port 22 -d 200.230.22.123 --destination-port 1022:65535 -j ACCEPT
# Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação
iptables -A eth1-input -p icmp -m limit --limit 2/s -j ACCEPT
# A tentativa de acesso externo a estes serviços serão registrados no syslog
# do sistema e serão bloqueados pela última regra abaixo.
iptables -A eth1-input -p tcp --dport 21 -j LOG --log-prefix "FIREWALL - ftp: "
iptables -A eth1-input -p tcp --dport 25 -j LOG --log-prefix "FIREWALL - smtp: "
iptables -A eth1-input -p udp --dport 53 -j LOG --log-prefix "FIREWALL - dns: "
iptables -A eth1-input -p tcp --dport 110 -j LOG --log-prefix "FIREWALL - pop3: "
iptables -A eth1-input -p tcp --dport 113 -j LOG --log-prefix "FIREWALL - identd: "
iptables -A eth1-input -p udp --dport 111 -j LOG --log-prefix "FIREWALL - rpc: "
iptables -A eth1-input -p tcp --dport 111 -j LOG --log-prefix "FIREWALL - rpc: "
iptables -A eth1-input -p tcp --dport 137:139 -j LOG --log-prefix "FIREWALL - samba: "
iptables -A eth1-input -p udp --dport 137:139 -j LOG --log-prefix "FIREWALL - samba: "
# Bloqueia qualquer tentativa de nova conexão de fora para esta máquina
iptables -A eth1-input -m state --state ! ESTABLISHED,RELATED -j LOG --log-prefix "FIREWALL - eth1-in: "
iptables -A eth1-input -m state --state ! ESTABLISHED,RELATED -j DROP
# Qualquer outro tipo de tráfego é aceito
iptables -A eth1-input -j ACCEPT
##### Chain POSTROUTING #####
# Permite qualquer conexão vinda com destino a lo e rede local para eth0
iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j ACCEPT
# É feito masquerading dos outros serviços da rede interna indo para a interface
# eth1
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
# Qualquer outra origem de tráfego desconhecida indo para eth0 (conexões vindas
# de eth1) são bloqueadas aqui
# iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j LOG --log-prefix "FIREWALL - SNAT unknown: "
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j DROP
# Quando iniciamos uma conexão ppp, obtermos um endereço classe A (10.x.x.x) e após
# estabelecida a conexão real, este endereço é modificado. O tráfego indo para
# a interface ppp não deverá ser bloqueado. Os bloqueios serão feitos no
# chain INPUT da tabela filter
iptables -t nat -A POSTROUTING -o eth1 -j ACCEPT
# Registra e bloqueia qualquer outro tipo de tráfego desconhecido
# iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL - snat: "
iptables -t nat -A POSTROUTING -j DROP
# Carrega modulos de suporte a FTP
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ftp_masq
Caras é o seguinte não funciona , nada ! ! !
esse script que vc me passou é completo e muito logico tudo . . eu entendi tudo , ele drop tudo , e depois vai abrindo mais aqui não funciona , ,
por que ??????????? <IMG SRC="images/forum/icons/icon_mad.gif"> <IMG SRC="images/forum/icons/icon_mad.gif">
Ahhhhh , naum funciona ! ! ! <IMG SRC="images/forum/icons/icon_mad.gif">