Meu script de firewall, alguém pode dar uma olhada?
Pessoal segue meu script de firewall que vou implementar, alguém poderia dar uma olhada, algumas sugestoes e afins para que ele não de pau e tudo possa ocorrer bem?
Pois temos aqui na escola o Suse rodando com o firewall dele pré definido, mas vamos mudar para o fedora core e colocar o script abaixo.
A eth0 é a interface de entrada e a eth1 e a interface da rede interna
A idéia é bloquear todas as portas menos a 80 e a 25
Desde já eu agradeço a atenção
#Firewall_cefet
#Abre rede local
iptables -A INPUT -p tcp --syn -s 192.168.2.0/24 -j ACCEPT
#compartilhar conexão
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo"1">/proc/sys/net/ipv4/ip_forward
#Entrar o que deve
iptables -A INPUT -m state --state ESTABILISHED, RELATED -j ACCEPT
#Passar o que prescisa
iptables -A FORWARD -m state --state ESTABILISHED, RELATED -j ACCEPT
#Liberando a porta 80 para a rede 192.168.2.0/24
iptables -I INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -i eth1 -p udp --dport 80 -j ACCEPT
#Liberando SMTP para a rede 192.168.2.0/24
iptables -A FORWARD -o eth0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -o eth0 -p udp --dport 25 -j ACCEPT
#Bloqueando o resto
iptables -A INPUT -p tcp --syn -s 192.168.2.0/24 -j DROP
iptables -A OUTPUT -p tcp --syn -s 192.168.2.0/24 -j DROP
iptables -A FORWARD -p tcp --syn -s 192.168.2.0/24 -j DROP
Meu script de firewall, alguém pode dar uma olhada?
Citação:
iptables -A INPUT -p tcp --syn -s 192.168.2.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo"1">/proc/sys/net/ipv4/ip_forward
iptables -A INPUT -m state --state ESTABILISHED, RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABILISHED, RELATED -j ACCEPT
Citação:
iptables -I INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -i eth1 -p udp --dport 80 -j ACCEPT
Se vc nao tem servidor web(Ex. Apache) nessa maquina nao precisa dessa regra
Citação:
iptables -A FORWARD -o eth0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -o eth0 -p udp --dport 25 -j ACCEPT
O protocolo SMTP utiliza apenas TCP
Citação:
iptables -A INPUT -p tcp --syn -s 192.168.2.0/24 -j DROP
iptables -A OUTPUT -p tcp --syn -s 192.168.2.0/24 -j DROP
iptables -A FORWARD -p tcp --syn -s 192.168.2.0/24 -j DROP
Vc precisa tirar o DROP --syn do OUTPUT e FORWARD, porque vc irá abrir conexoes externas.
Faltou vc criar uma regra no FORWARD para a porta 53 UDP porque vc vai precisar fazer consultas DNS de alguma maquina da sua rede.
Alem disso a primeira regra no INPUT vc deveria colocar as policas de DROP e depois uma regra para abrir a porta ssh para administracao remota.
Procure nao usar police DROP no OUTPUT e tambem em nenhuma chain da tabela NAT.
http://focalinux.cipsga.org.br/guia/...w-iptables.htm
Otimo documento sobre o assunto
Meu script de firewall, alguém pode dar uma olhada?
ja coloquei o DNS, valeu pela ajuda...
Voce acha que so liberando essas portas, o msn e o emule nao irá mais conectar, dispensando outras coisas?
Meu script de firewall, alguém pode dar uma olhada?
Na verdade esses programas costumam usar a porta 80 na falta de uma outra porta disponivel, existem patchs para o kernel que dao uma funcionalidade extra para o iptables controlar esse tipo de trafego da uma olhada aqui:
https://under-linux.org/wiki/Tutoriais/Layer7