-
Navegação no IPTables
Olá pessoal,
configurei o iptables e nenhuma máquina na minha rede consegue navegar na porta 80. Neguei todas as entradas e depois liberei a porta 80. Segue o meu script...
#Iptables-1.2.5-3
#!/bin/bash
#
echo "Iniciando o IPTables..."
echo
##Limpa todas as regras
echo "Limpando as regras..."
/sbin/iptables -F
/sbin/iptables -t nat -F
echo
##Carrega os módulos
echo "Carregando novas regras..."
echo
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A FORWARD -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
O que está errado?
Desde já agradeço a colaboração de todos.
[]´s,
Gustavo
-
Navegação no IPTables
ola é facil,
adicione:
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe iptable_nat
/sbin/iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 53 -j ACCEPT
falow..
William da Rocha
[email protected]
www.linuxit.om.br
ICQ: 111752037
Linux User: 289392
[ Esta mensagem foi editada por: wrochal2002 em 14-03-2003 00:23 ]
-
Navegação no IPTables
Saudações pessoal estou de volta...
Como vc bloqueou tudo (INPUT, OUTPUT, FORWARD) deve liberar ao poucos as jains o que vai te dar um trabalho considerável. Acredito que vc esteja apenas querrendo compartilhar seu acesso a internet e pode criar uma solução mais prática e sem oferecer riscos a sua rede.
# Firewall
# Ativar roteamento
echo "1" > /proc/sys/net/ipv4/ip_forward
# Limpando as jains
/sbin/iptables -F
/sbin/iptables -t nat -F
#Carregando módulos p/ ftp "muito importante, o restante ele carrega automático.
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
# Bloqueio de Política só INPUT
/sbin/iptables -P INPUT DROP
# Bloqueio p/ ping
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
# Bloqueio p/ ping of death
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Bloqueio p/ syn-flood
/sbin/iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
# Bloqueio p/ pacotes danificados
/sbin/iptables -A FORWARD -m unclean -j DROP
# Bloqueio de serviços padrões na LAN
/sbin/iptables -A FORWARD -p tcp -d 192.168.1.0/24 --dport 1:1024 -j DROP
# Liberando acesso p/ LAN
/sbin/iptables -A INPUT -s 192.168.1.0/24 -d "ip local do server" -i "interface da lan" -j ACCEPT
# Stateful Inspection
/sbin/iptables -A INPUT -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Mascaramento p/ NET
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
Vc ainda pode implementar várias opções para melhorar seu firewall.
Espero ter ajudado e boa sorte.
-
Navegação no IPTables
Valeu pela ajuda pessoal.
Mas o meu problema é q os usuários estão usando o kazaa para baixar vídeos. Já configurei meu firewall para bloquear o kazaa, através de um tutorial q foi disponibilizado aqui no Underlinux. Mas não funciona porque eu não "dropei" o FORWARD... Sendo assim qdo "dropo" o FORWARD, ninguém mais navega... E preciso fazer isso porque o acesso à internet fica muito lento. Os usuários estão "detonando" meu link (tá muito lento).
[]´s,
Gustavo
-
Navegação no IPTables
dica..
deixe o seu FORWARD em DROP
e libere a navegacao por porta..