IPTABLES me deixando louco . . .
ola gente tudo bom ?
:help: :help: :help:
tenho um fw iptables com 3 interfaces de rede eth0 -> internet; eth1 -> dmz e eth2 -> lan
como faco para ajustar minhas regras?
regras
ola gente tudo bom ?
:help: :help: :help:
tenho um fw iptables com 3 interfaces de rede eth0 -> internet; eth1 -> dmz e eth2 -> lan
como faco para ajustar minhas regras?
regras
#!/bin/bash
#limpando tabelas
iptables -F &&
iptables -X &&
iptables -t nat -F &&
iptables -t nat -X &&
#variaveis de ambiente
lan="172.16.0.0/16"
dmz="10.10.0.0/16"
int_ext="200.200.200.162"
int_dmz="10.10.10.30"
int_interna="172.16.0.1"
suporte="200.200.100.5"
### libera o PROXY squid para internet
iptables -A INPUT -s 10.10.10.51 -j ACCEPT
iptables -A FORWARD -s 10.10.10.51 -j ACCEPT
iptables -A OUTPUT -s 10.10.10.51 -j ACCEPT
### Libera o loopback
iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
### saida
iptables -A OUTPUT -j ACCEPT &&
### libera tudo entre lan e dmz
iptables -A INPUT -s $lan -d $dmz -j ACCEPT
iptables -A FORWARD -s $lan -d $dmz -j ACCEPT
iptables -A OUTPUT -s $lan -d $dmz -j ACCEPT
iptables -A INPUT -s $dmz -d $lan -j ACCEPT
iptables -A FORWARD -s $dmz -d $lan -j ACCEPT
iptables -A OUTPUT -s $dmz -d $lan -j ACCEPT
### libera tudo da dmz para INTERNET
iptables -A INPUT -s $lan -d 0/0 -j ACCEPT
iptables -A FORWARD -s $lan -d 0/0 -j ACCEPT
iptables -A OUTPUT -s $lan -d 0/0 -j ACCEPT
#liberando acesso interno da rede
####################### TOTAL
#Ip's que devem ser liberados:
user1=100.100.100.20
user2=100.100.100.117
for i in $user1 $user2
do
iptables -A FORWARD -s $i -d 0.0.0.0/0 -p tcp -j ACCEPT
iptables -A FORWARD -d $i -p tcp -j ACCEPT
iptables -A FORWARD -s $i -d 0.0.0.0/0 -p udp -j ACCEPT
iptables -A FORWARD -d $i -p udp -j ACCEPT
iptables -A FORWARD -s $i -d 0.0.0.0/0 -p icmp -j ACCEPT
iptables -A FORWARD -d $i -p icmp -j ACCEPT
done
#######################
####################### PARCIAL - MSN
user3=100.100.100.104
user4=100.100.100.103
for j in $user3 $user4
do
iptables -A FORWARD -s $j -d 0.0.0.0/0 -p tcp -m multiport --dport 25,53,80,110,443,8080 -j ACCEPT
iptables -A FORWARD -d $j -p tcp -m multiport --sport 25,53,80,110,443,8080 -j ACCEPT
iptables -A FORWARD -s $j -d 0.0.0.0/0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -d $j -p udp --sport 53 -j ACCEPT
### msn
iptables -A FORWARD -s $j -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s $j -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s $j -d webmessenger.msn.com -j ACCEPT
done
####################### FIM - PARCIAL - MSN
####################### REDE 172.16/16
REDEINTERNA="172.16.0.0/16"
for ri in $REDEINTERNA
do
iptables -A FORWARD -s $ri -d 0.0.0.0/0 -p tcp -m multiport --dport 25,53,80,110,443,8080 -j ACCEPT
iptables -A FORWARD -d $ri -p tcp -m multiport --sport 25,53,80,110,443,8080 -j ACCEPT
iptables -A FORWARD -s $ri -d 0.0.0.0/0 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -d $ri -p udp --sport 53 -j ACCEPT
done
####################### FIM REDE 172.16/16
#nat PROXY redirecionamento SQUID
iptables -t nat -A PREROUTING -i eth2 -s 100.100.100.7 -p tcp --dport 80 -j DNAT --to 10.10.10.51:3128
####################### NAT 1:1
iptables -A PREROUTING -t nat -d 200.200.200.163 -j DNAT --to 10.10.10.50
iptables -A POSTROUTING -t nat -s 10.10.10.50 -j SNAT --to 200.200.200.163
############# REGRAS PARA OS NATS #############
iptables -A FORWARD -d 200.200.200.163 -p tcp -dport 80 -j ACCEPT
iptables -A FORWARD -d 200.200.200.163 -p tcp -dport 443 -j ACCEPT
iptables -A FORWARD -d 200.200.200.163 -p tcp -dport 25 -j ACCEPT
iptables -A FORWARD -d 200.200.200.163 -p tcp -dport 110 -j ACCEPT
iptables -A FORWARD -d 200.200.200.163 -p tcp -dport 143 -j ACCEPT
iptables -A FORWARD -d 200.200.200.163 -p tcp -dport 993 -j ACCEPT
iptables -A FORWARD -d 200.200.200.163 -p tcp -dport 995 -j ACCEPT
###############################################
#compartilhando a web na rede interna
iptables -t nat -A POSTROUTING -s 172.16.0.0/255.255.0.0 -o eth0 -j MASQUERADE &&
iptables -t nat -A POSTROUTING -s 10.10.0.0/255.255.0.0 -o eth0 -j MASQUERADE &&
echo 1 > /proc/sys/net/ipv4/ip_forward &&
# Protecao contra port scanners ocultos
#iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Bloqueando tracertroute
#iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP
#Protecoes contra ataques
#iptables -A INPUT -m state --state INVALID -j DROP
### bloqueia TODO o resto
iptables -A INPUT -j DROP &&
iptables -A FORWARD -j DROP &&
#Configura aliases
/etc/sysconfig/aliases.sh &&
IPTABLES me deixando louco . . .
Depende do que você quer ajustar nela...
A princípio é só você, sabendo o que quer mudar, adicionar a linha antes das DROP ou, no final do arquivo, adicionar com o comando -I no lugar de -A (o -I faz a linha do iptables entrar antes de todas da corrente que você instalou). Falei grego? Cada Corrente tem uma ordem em que ela passa, é bom você saber inglês ou pegar um dicionário, correr no linux e dar uma olhada no texto exibido pelo comando man iptables. Ali é explicado onde o pacote entra primeiro e onde ele passa por último, e -se- passa por tal corrente.
Pela pergunta, pareceu também que você não é nada familiarizado com o IPTables... Prá mecher nessas regras do script, você vai ter que entender o que cada linha que começa com 'iptables' faz -- a fundo.
Após modificar o arquivo, para testar as opções sem reiniciar o servidor, você pode fazer:
iptables -F -t nat ; iptables -F -t mangle ; iptables -F ; /root/scriptzinhodefirewall.sh
(claro, o que tem depois do último ponto-e-vírgula deve ser alterado para o caminho e nome-de-arquivo do seu script de firewall.. Isso aí vai limpar as regras e reinseri-las com as novas regras ou ajustes.
IPTABLES me deixando louco . . .
cara...
tipo.. o script postado tah bem bagunçado...
talvez eu esteja errado, mas a pessoa q fez o script nao manja muito de iptables...
e vc quer ajuda pra ajustar as regras..
mas.. ajustar oq?? o script todo??
isso nao seria ajuda, seria fazer a coisa pra vc...
lógico q estamos aqui para ajudar, mas a melhor coisa eh ajudar em dúvidas...
fazendo a coisa pra vc vc nao aprenderia.. e nos tomaria muito tempo...
acredito q se vc ler a parte de iptbles do www.guiafoca.org vc entenderá muita coisa...
o comando está bem esplanado neste guia, e vc entenderá muita coisa....
depois q vc fizer isso, e surgerem as duvidas, poste-as aqui...
valew