Versão Imprimível
Algum irmão de comunidade pode jme dar uma luz pra minhas regras funcionarem ?
O acesso tá só pelo squid e preciso do pop e smtp. Esse script, eu rodo a partir do /etc/init.d.
Se alguém sabe o que é preciso tirar e acrescentar, eu agradeço !!
Valeu,
Abutre
Quem tiver um script pronto que funciona com uma eth0 e uma eth1, poderia colar pra eu comparar com as minhas regras ???! Nunca me bati tanto...
Valeu,
Abutre.
mostre suas regras? e explique seu setup ?
Se liga, Misty...
Fiz isso e rodei...
#!/bin/sh
# description: Inicializacao do iptables
#
# chkconfig: 2345 80 30
# processname: iptables
# pidfile: /var/run/iptabless.pid
. /etc/rc.d/init.d/functions
. /etc/sysconfig/network
if [ ${NETWORKING} = "no" ]
then
exit 0
fi
case "$1" in
start)
# gprintf "Iniciando o serviço de %s: " "IPtables"
echo
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables --flush
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
# Limpa todas as Regras
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -X
# Mascaramento de saída
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Proteção contra spoofing
iptables -A INPUT -s 172.16.0.0/8 -i eth1 -j DROP
iptables -A INPUT -s 192.168.0.0/8 -i eth1 -j DROP
# Proteção contra synfloods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Proteção contra Port Scaner
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Proteção contra ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Liberar internet pra toda a rede
iptables -t filter -A INPUT -p tcp -s 10.70.0.0/16 --dport 80 -j ACCEPT
# Liberar FTP
#iptables -t filter -A INPUT -p tcp -s 10.70.0.0/16 --dport 21 -j ACCEPT
# Navegação
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# SMTP para rede interna
iptables -t nat -A PREROUTING -s 200.207.239.96 -i eth0 -j DNAT --to 10.70.2.14
iptables -t nat -A POSTROUTING -s 200.207.239.96 -o eth0 -p tcp --dport 25
iptables -t nat -A POSTROUTING -s 10.70.2.14 -o eth0 -j SNAT --to 200.207.239.96
iptables -t nat -A POSTROUTING -s 10.70.2.14 -o eth0 -p tcp --dport 25 -j ACCEPT
# POP para a rede interna
iptables -t nat -A PREROUTING -s 200.207.239.96 -i eth0 -j DNAT --to 10.70.2.14
iptables -t nat -A POSTROUTING -s 200.207.239.96 -o eth0 -p tcp --dport 110
iptables -t nat -A POSTROUTING -s 10.70.2.14 -o eth0 -j SNAT --to 200.207.239.96
iptables -t nat -A POSTROUTING -s 10.70.2.14 -o eth0 -p tcp --dport 110 -j ACCEPT
# WWW para a rede interna
iptables -t nat -A PREROUTING -s 200.207.239.96 -i eth0 -j DNAT --to 10.70.2.14
iptables -t nat -A POSTROUTING -s 200.207.239.96 -o eth0 -p tcp --dport 80
iptables -t nat -A POSTROUTING -s 10.70.2.14 -o eth0 -j SNAT --to 200.207.239.96
iptables -t nat -A POSTROUTING -s 10.70.2.14 -o eth0 -p tcp --dport 80 -j ACCEPT
# SSH
iptables -A INPUT -p tcp --syn -s 10.70.0.0/16 --destination-port 22 -j ACCEPT
# Squid
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128
#iptables -P OUTPUT
#iptables -A OUTPUT -s 10.70.2.0/24 -d 0.0.0.0/0 -j ACCEPT
# Esta regra, faz com que o firewall descarte qualquer pacote que não faz partes das regras acima
iptables -t filter -A FORWARD -j REJECT
;;
stop)
# gprintf "Parando o serviço de %s: " "IPtables"
echo
iptables --flush
;;
*)
# gprintf "Uso: iptables (start|stop)"
echo
;;
esac
exit 0
O q falta ?? Não sei pq não roda ! Já coloquei regra por regra, manualmente no prompt e nada.
Se conseguir , me fala, valeu !
Abutre.
Vamos tentar algo mais simples...
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -F
iptables -F -t nat
# NAT
iptables -t nat -A POSTROUTING -s 10.70.0.0/16 -j MASQUERADE
# Stateful
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# Redir squid
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128
# Liberar WWW
iptables -A INPUT -s 10.70.0.0/16 -p tcp --dport 3128 -j ACCEPT
iptables -A FOWARD -s 10.70.0.0/16 -p tcp --dport 80 -j ACCEPT
iptables -A FOWARD -s 10.70.0.0/16 -p tcp --dport 443 -j ACCEPT
# Liberar SSH (rede interna)
iptables -A INPUT -s 10.70.0.0/16 -p tcp --dport 22 -j ACCEPT
# SMTP / POP3
iptables -A FORWARD -s 10.70.0.0/16 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 10.70.0.0/16 -p tcp --dport 25 -j ACCEPT
Estou considerando que esta maquina eh um firewall que roda somente um servidor SSH e o SQUID em modo transparente e a sua rede interna eh a 10.70.0.0 / 255.255.0.0
teste e veja se funciona... ai entao voce incrementa suas regras conforme o necessario.