poste seu script aqui..
Versão Imprimível
poste seu script aqui..
#!/bin/sh
# Variaveis de ambiente
# ---------------------
# Interfase de Rede ========================================================================================================
ip_rede="192.168.1.0/24"
i_int="eth0"
i_out="eth1"
# ==========================================================================================================================
# IP Externos ==============================================================================================================
ip_gw="200.196.57.170"
ip_dns1="200.196.57.173"
ip_dns2="200.196.57.174"
#ip_dns3="200.20.21.6"
#ip_dns4="200.20.21.7"
# ==========================================================================================================================
# Rede Interna =============================================================================================================
ip_web_i="192.168.1.125" # servidor rlweb
# ==========================================================================================================================
# Servidores ===============================================================================================================
ip_web_o="200.196.57.170"
ip_web="200.196.57.173"
# ==========================================================================================================================
# Habilita ip forward
echo 1 > /proc/sys/net/ipv4/ip_forward
# Carrega os modulos de Nat e FTP
# -------------------------------
/sbin/modprobe iptable_nat
/sbin/modprobe ip_tables
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_REJECT
# Limpa as regras
iptables -F
iptables -t nat -F
# Define as políticas
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
# Permite acesso a qualquer servico pela interface local
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Regra - Monitorando trojans (Possíveis portas de ataque)
#TROJAN_PORT="12345 31336 313337 31338 3024 4092 5714 5742 2583 8787 5556 5557"
# Regra anti-trojan
#for PORTA in ${TROJAN_PORT};do
#iptables -A trojans-in -p tcp --sport=1024: --dport=${PORTA} -j LOG --log-prefix "FIREWALL: Trojan ${PORTA}"
#iptables -A trojans-in -p tcp --sport=1024: --dport=${PORTA} -j DROP
# Rotas e Firewall para a Internet
# Regras de NAT
# ==========================================================================================================================
# Regra WWW
# =========
# Regras de PREROUTING - Serviço WWW =======================================================================================
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport www -j LOG --log-prefix "NAT WWW "
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport www -j DNAT --to-destination $ip_web_i
# WWW de Entrada -----------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport www -j LOG --log-prefix "IN WEB => "
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport www -j ACCEPT
# WWW de Saída - NAT Reverso -----------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport www -j LOG --log-prefix "OUT WEB => "
iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport www -j ACCEPT
# ==========================================================================================================================
# Regra TSCLIENTE
# ===============
# Regras de PREROUTING - Serviço TSCLIENTE =================================================================================
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport 3389 -j LOG --log-prefix "NAT TSCLI "
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport 3389 -j DNAT --to-destination $ip_web_i
# Regra de Entrada ---------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport 3389 -j LOG --log-prefix "NATTSI => "
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport 3389 -j ACCEPT
# Regra de Saída - NAT Reverso ---------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport 3389 -j LOG --log-prefix "NATTSO => "
iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport 3389 -j ACCEPT
# ==========================================================================================================================
# Regra FTP
# =========
# Regras de PREROUTING - Serviço FTP =======================================================================================
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport 21 -j LOG --log-prefix "NAT FTP "
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport 21 -j DNAT --to-destination $ip_web_i
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport 20 -j DNAT --to-destination $ip_web_i
# Regra de Entrada - FTP ---------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport 20 -j ACCEPT
# Regra de Saida - FTP ---------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport 21 -j ACCEPT
iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport 20 -j ACCEPT
# ==========================================================================================================================
# Regras de entrada (INPUT)
# ==========================================================================================================================
# Aceita qualquer entrada da rede local
iptables -A INPUT -p all -s $ip_rede -d 0/0 -i $i_int -j ACCEPT
# Aceita entradas da internet para o gateway somente se tiver relacao com uma conexao pre-estabelecida
iptables -A INPUT -p all -s 0/0 -d $ip_gw -j ACCEPT -mstate --state ESTABLISHED,RELATED
# Regras de Serviços do Pinguim - Entradas vindas da internet ===============================================================
# ===========================================================================================================================
# Regra WWW - Pinguim
# ===================
# Regra WWW Externo - Apache ================================================================================================
iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport www -j LOG --log-prefix "ACESSO www "
iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport www -j ACCEPT # www
# ===========================================================================================================================
# Regra FTP - Pinguim
# ===================
# ===========================================================================================================================
#iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport : --dport ftp -j ACCEPT # Ftp internpo
# ===========================================================================================================================
# Regra SSH - Pinguim
# ===================
# ===========================================================================================================================
iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport ssh -j LOG --log-prefix "ACP ssh "
iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport ssh -j ACCEPT # SSH
# ===========================================================================================================================
# Regra FTP - Pinguim
# ===================
# ===========================================================================================================================
iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport pop-3 -j ACCEPT # POP3
# ===========================================================================================================================
# Regra FTP - Pinguim
# ===================
# ===========================================================================================================================
iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport smtp -j ACCEPT # SMTP
# ===========================================================================================================================
# Regras - UDP (DNS)
# ===================
# Regra 200.20.21.3 - Pinguim ==============================================================================================
#iptables -A INPUT -p udp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport 53 -j LOG --log-prefix "ACESSO DNS Pinguim "
iptables -A INPUT -p udp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport 53 -j ACCEPT # DNS
# ==========================================================================================================================
# Regras - UDP (DNS)
# ===================
# Regra 200.20.21.4 - DNS Primário ==========================================================================================
#iptables -A INPUT -p udp -s 0/0 -d $ip_dns1 -i $i_out --sport 1024: --dport 53 -j LOG --log-prefix "DNS UDP => "
iptables -A INPUT -p udp -s 0/0 -d $ip_dns1 -i $i_out --sport 1024: --dport 53 -j ACCEPT # DNS
iptables -A INPUT -p udp -s 0/0 -d $ip_dns1 -i $i_out --sport 53 --dport 53 -j ACCEPT # DNS
# ===========================================================================================================================
# Regras - UDP (DNS)
# ===================
# Regra 200.20.21.5 - DNS Secundário ========================================================================================
iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --sport 1024: --dport 53 -j LOG --log-prefix "DNS2 UDP => "
iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --sport 1024: --dport 53 -j ACCEPT # DNS
iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --sport 53 --dport 53 -j ACCEPT # DNS
# ===========================================================================================================================
# Regras - TCP (DNS)
# ===================
# Regra 200.20.21.4 - DNS Primário =========================================================================================
iptables -A INPUT -p tcp -s 0/0 -d $ip_dns1 -i $i_out --sport 1024: --dport 53 -j ACCEPT # DNS
iptables -A INPUT -p tcp -s 0/0 -d $ip_dns1 -i $i_out --sport 53 --dport 53 -j ACCEPT # DNS
# ==========================================================================================================================
# Serviços Indesejados
# ====================
# Nega servicos indesejados conhecidos vindos da rede local para nao gerar log =============================================
iptables -A INPUT -p udp -s $ip_gw -d 0/0 --sport netbios-dgm --dport netbios-dgm -j DROP # NetBios do servidor
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 137 -j DROP # NetBios da rede
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 137 --dport 53 -j DROP
iptables -A INPUT -p udp -s $ip_rede -d 0/0 -i $i_int --sport bootpc --dport bootps -j DROP # BootPC
# ==========================================================================================================================
# **************************************************************************************************************************
# ==========================================================================================================================
# Regras de redirecionamento (forward)
# ===================================
# Protocolo UDP ============================================================================================================
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport domain -j ACCEPT # Name Server
iptables -A FORWARD -p udp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport domain -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================
# Protocolo TCP
# =============
# Acesso Interno - FTP =====================================================================================================
# Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport ftp-data -j ACCEPT # Dados de FTP
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport ftp -j ACCEPT # Porta de FTP
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport ftp -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================
# Acesso Interno - SSH =====================================================================================================
# Saída -----------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport ssh -j ACCEPT # SSH
# Entrtada -----------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport ssh -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================
# Acesso Interno - SMTP===================================================================================================== # Saída -----------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport smtp -j ACCEPT # SMTP
# Entrada -----------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport smtp -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================
# Acesso Interno - Telnet===================================================================================================
# Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport telnet -j ACCEPT # Telnet
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport telnet -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================
# Acesso Interno - TIME ==================================================================================================== # Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport time -j ACCEPT # Time
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport time -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================
# Acesso Interno - POP =====================================================================================================
# Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport pop-3 -j ACCEPT # POP3
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport pop-3 -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================
# Acesso Interno - WWW ==================================================================================================== # Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport www -j ACCEPT # HTTP
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport https -j ACCEPT # HTTPS
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport www -j ACCEPT -mstate --state ESTABLISHED,RELATED
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport https -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================
# Acesso Interno - TSSERVER================================================================================================= # Saída ------------------------------------------------------------------------------------------------------------------
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3389 -j ACCEPT # Terminal server
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 3389 -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================
# Acesso Interno - MSN ==================================================================================================== # Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1863 -j ACCEPT # MSN Messenger
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 1863 -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================
# Acesso Interno - Receita NET ============================================================================================ # Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3456 -j ACCEPT # ReceitaNet
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 3456 -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================
# Acesso Interno - ICQ ==================================================================================================== # Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 5190 -j ACCEPT # ICQ
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 5190 -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================
# Acesso Interno - PS AnyWhere ============================================================================================= # Saída ------------------------------------------------------------------------------------------------------------------
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 5631:5632 -j ACCEPT # PC AnyWhere
# Entrada ------------------------------------------------------------------------------------------------------------------
#iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 5631:5632 -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================
# Acesso Interno - SNTP ==================================================================================================== # Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 123 -j ACCEPT # SNTP
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p udp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 123 -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================
# Acesso Interno - ???? ====================================================================================================
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport auth --sport 1024: -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================
# Imule ==========================================================================================================
# entrada
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 4242 -j ACCEPT # IMule
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 4661 -j ACCEPT # IMule
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 4662 -j ACCEPT # IMule
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 4448 -j ACCEPT # IMule
#iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 4665 -j ACCEPT # IMule
# saida
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 4242 --dport 1024: -j ACCEPT # IMule
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 4661 --dport 1024: -j ACCEPT # IMule
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 4662 --dport 1024: -j ACCEPT # IMule
#iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 4665 --dport 1024: -j ACCEPT # IMule
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1024: -j ACCEPT # IMule
# ===============================================================================================================
# ===============================================================================================================
# Acessos especiais
# =================
# Kazza Media Desktop ======================================================================================================
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1214 --dport 1214 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1214 --sport 1214 -j ACCEPT -mstate --state ESTABLISHED,RELATED
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1214 -j LOG --log-prefix "Kazaa "
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1342 -j LOG --log-prefix "Kazaa " # Loga portas fora do padrao
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3431 -j LOG --log-prefix "Kazaa "
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3831 -j LOG --log-prefix "Kazaa "
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1214 -j ACCEPT
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1342 -j ACCEPT
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3431 -j ACCEPT
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3831 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 1214 -j ACCEPT -mstate --state ESTABLISHED,RELATED
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 1342 -j ACCEPT -mstate --state ESTABLISHED,RELATED
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 3431 -j ACCEPT -mstate --state ESTABLISHED,RELATED
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 3831 -j ACCEPT -mstate --state ESTABLISHED,RELATED
# =========================================================================================================================
# Protocolo ICMP ===========================================================================================================
iptables -A FORWARD -p icmp -s $ip_rede -d 0/0 -i $i_int -o $i_out -j ACCEPT
iptables -A FORWARD -p icmp -s 0/0 -d $ip_rede -i $i_out -o $i_int -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================
# Regra de NAT/MASQUERADE
# -----------------------
# ==========================================================================================================================
#iptables -t nat -A POSTROUTING -s $ip_rede -d 0/0 -o $i_out -j MASQUERADE
iptables -t nat -A POSTROUTING -s $ip_rede -d 0/0 -o $i_out -j SNAT --to-source $ip_gw
# ==========================================================================================================================
# Tratamento para todo o resto nao estabelecido nas regras acima
# --------------------------------------------------------------
# Gera log de todo trafego nao registrado
iptables -A INPUT -s 0/0 -d 0/0 -j LOG
iptables -A FORWARD -s 0/0 -d 0/0 -j LOG
# Bloqueia todo trafego nao registrado
iptables -A INPUT -s 0/0 -d 0/0 -j DROP
iptables -A FORWARD -s 0/0 -d 0/0 -j DROP
# ==========================================================================================================================
desculpe mas esse seu script está com as permissões corretas?
(751)
seguinte... baseado no que eu vi no seu script eu fiz outro pra vc..
algumas regras que eu nao entendi pq estavam ali eu aliminei.. se vc ver que realmente precisa delas.. arrumo vc conforme o necessario..
fiz algumas lateracoes baseado em implementacoes de firewall que eu costumo fazer.. estou falando em termos de conexoes ESTABELECIDAS e RALCIONAS.. que vc adotava uma tatica meio diferente..
retirei alguams regras que no meu concentimento nao estavam fazendo efeito..
segue o script..
==================================================
#!/bin/bash
# Ativa roteamento de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
# Modulos de mascaramento
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_tables
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_REJECT
# Variaveis de rede
i_int="eth0"
i_out="eth1"
ip_rede="192.168.1.0/24"
ip_gw="200.196.57.170/32"
ip_dns1="200.196.57.173/32"
ip_dns2="200.196.57.174/32"
ip_web_i="192.168.1.125/32"
ip_web="200.196.57.173/32"
# Limpando todas as regras e removendo todos as chains de usuários
echo -n "Limpando regras..."
$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -X
$IPTABLES -X -t nat
$IPTABLES -Z
$IPTABLES -Z -t nat
echo "ok!"
# Políticas padrao
echo -n "Politica padrao..."
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
echo "ok!"
######## PREROUTING #########
echo -n "Spoofing..."
$IPTABLES -A PREROUTING -t nat -i $i_out -s 192.168.0.0/16 -j DROP
$IPTABLES -A PREROUTING -t nat -i $i_out -s 172.16.0.0/12 -j DROP
$IPTABLES -A PREROUTING -t nat -i $i_out -s 10.0.0.0/8 -j DROP
echo "ok!"
echo -n "Destination NAT..."
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport www -j LOG --log-prefix "NAT WWW "
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport www -j DNAT --to-destination $ip_web_i
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport www -j LOG --log-prefix "NAT WWW "
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport www -j DNAT --to-destination $ip_web_i
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport 3389 -j LOG --log-prefix "NAT TSCLI "
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport 3389 -j DNAT --to-destination $ip_web_i
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport 21 -j LOG --log-prefix "NAT FTP "
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport 21 -j DNAT --to-destination $ip_web_i
echo "ok!"
######## POSTROUTING ########
echo -n "Source NAT..."
iptables -t nat -A POSTROUTING -s $ip_rede -d 0/0 -o $i_out -j SNAT --to-source $ip_gw
echo "ok!"
############### FORWARD #################
echo -n "Politicas de FORWARD..."
# FTP Services
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport ftp -j ACCEPT
# NETBIOS Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 137:139 -j DROP
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 137:138 -j DROP
# DNS Services
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport domain -j ACCEPT
# SMTP Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport smtp -j ACCEPT
# TELNET Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport telnet -j ACCEPT
# TIME Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport time -j ACCEPT
# POP3 Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport pop-3 -j ACCEPT
# HTTPS Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 443 -j ACCEPT
# MSN Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 1863 -j ACCEPT
# WTS Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 3389 -j ACCEPT
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 3389 -j ACCEPT
# Receita NET
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 3456 -j ACCEPT
# ICQ Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 5190 -j ACCEPT
# SNTP Services
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 123 -j ACCEPT
# Kazaa Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 1214 -j ACCEPT
# ICMP Services
iptables -A FORWARD -p icmp -s $ip_rede -d 0/0 -i $i_int -o $i_out -j ACCEPT
# Pacotes redirecionados
# www Services
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport www -j LOG --log-prefix "IN WEB => "
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport www -j ACCEPT
# WTS Services
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport 3389 -j LOG --log-prefix "NATTSI => "
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport 3389 -j ACCEPT
# FTP Services
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport 21 -j LOG --log-prefix "IN FTP => "
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport 21 -j ACCEPT
# LOGS de servicos nao registrados
iptables -A FORWARD -s 0/0 -d 0/0 -j LOG
# Bloqueia todo trafego nao registrado
iptables -A FORWARD -s 0/0 -d 0/0 -j DROP
# Faz parte nao alterar
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "ok!
################ INPUT ##################
echo -n "Politicas de INPUT..."
# SSH Interno
iptables -A INPUT -p tcp -s $ip_rede -d $i_in --dport ssh -j ACCEPT
# NEtbios do Server
iptables -A INPUT -p udp -s $ip_gw -d 0/0 --dport netbios-dgm -j DROP
# Permite acesso a qualquer servico pela interface local
iptables -A INPUT -i lo -j ACCEPT
# Aceita qualquer entrada da rede local
iptables -A INPUT -s $ip_rede -d $i_int -j ACCEPT
# DNS services
iptables -A INPUT -p udp -s 0/0 -d $ip_gw -i $i_out --dport 53 -j ACCEPT
# Regra 200.20.21.4 - DNS Primário
iptables -A INPUT -p tcp -s 0/0 -d $ip_dns1 -i $i_out --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 -d $ip_dns1 -i $i_out --dport 53 -j LOG --log-prefix "DNS1 UDP => "
iptables -A INPUT -p tcp -s 0/0 -d $ip_dns1 -i $i_out --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 -d $ip_dns1 -i $i_out --dport 53 -j ACCEPT
# Regra 200.20.21.5 - DNS Secundário
iptables -A INPUT -p tcp -s 0/0 -d $ip_dns2 -i $i_out --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --dport 53 -j LOG --log-prefix "DNS2 UDP => "
iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --dport 53 -j ACCEPT
# Loopback
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# LOGS de servicos nao registardos
iptables -A INPUT -s 0/0 -d 0/0 -j LOG
# Bloqueia todo trafego nao registrado
iptables -A INPUT -s 0/0 -d 0/0 -j DROP
# faz parte nao alterar
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "ok!"
echo ""
echo "---- done ----"
echo ""
==================================================
se de repente faltou alguam coisa.. vc arruma conforme necessario..
porem eu acredito que com esse script vai funcionar certinho..
[]´s
[ Esta mensagem foi editada por: Danilo_Montagna em 06-03-2003 13:47 ]
Valeu Danilo,
vou pegar esse arquivo script e salva-lo como iptables no /etc/init.d
Vamos testar... as permissoes posso colocar 777 naum é ?
Abraços,
PeenGween