ajuda no firewall please !!
Pessoal estou com uma dificuldade de fazer isso funcionar por favor como ficaria este firewall para liberar somente as portas (21,110,25,80,443,53,5000)?
a minha interfaze e:
ppp0: conectado com ip dinamico da velox
eth0: internet ligado ao modem
eth1: interface da rede ligado ao swith (192.168.0.0/24)
a baixo esta o firewall que to montando
#!/bin/bash
# Script de Firewall
#Carregando Modulos do Kernel
/sbin/depmod -a
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_queue
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ip_tables
/sbin/modprobe ipt_length
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_multiport
/sbin/modprobe ipt_REDIRECT
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_state
#/sbin/modprobe ipt_unclean
#Variaveis para Regras
echo "Carregando variveis de ambiente"
#Portas
TROJAN_PTCP="12345,12346"
TROJAN_PUDP="27444,31335"
#Limpando as regras
iptables -X
iptables -F
iptables -t nat -F
iptables -t nat -X
#Bloqueia todo o trafego (Fecha tudo)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Configurando a Protecao anti-spoofing
for spoofing in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo "1" > $spoofing
done
echo "Carregando anti-spoofing protection ...[ OK ]"
#Protecao Contra IP Spoofing
iptables -A INPUT -s 10.0.0.0/8 -i ppp0 -j DROP
iptables -A INPUT -s 172.16.0.0/16 -i ppp0 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -i ppp0 -j DROP
# Impedimos que um atacante possa maliciosamente alterar alguma rota
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo "Carregando anti-redirects .............[ OK ]"
# Desabilitando Roteamento de pacotes
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo "Carregando anti-source_route ..........[ OK ]"
# Protecao contra responses bogus
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo "Carregando anti-bugus_response ........[ OK ]"
# Protecao contra ataques de syn flood (inicio da conexao TCP). Tenta conter ataques de DoS.
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo "Carregando anti-synflood protection ...[ OK ]"
# Bloqueando NetBios na Rede.
echo "Bloqueando Trafego NetBios ............[ OK ]"
iptables -A FORWARD -p tcp --sport 137:139 -o ppp0 -j DROP
iptables -A FORWARD -p udp --sport 137:139 -o ppp0 -j DROP
iptables -A OUTPUT -p tcp --sport 137:139 -o ppp0 -j DROP
iptables -A OUTPUT -p udp --sport 137:139 -o ppp0 -j DROP
# ESTABLISHED,RELATED
echo "ESTABLISHED,RELATED .................. [ OK ]"
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
A PARTIR DAQUI COMO PROCEDER ??????
grato pela ajuda
Re: ajuda no firewall please !!
Cara parece que vc pegou meu script de firewall mas ta faltando muita coisa, cade o resto, la mesmo libero estas portas e pronto e detalhe, não precisa bloquear o netbios pois a politica padrão do meu firewall é tudo o que não for liberado é bloqueado iptables -P INPUT DROP e ai por diante
Re: ajuda no firewall please !!
ola igorallan bom uma parte peguei na net sim nao sabia que era seu (mais valew pela conf)
eu fiz um teste com script completo e la coloquei pra fechar a porta 80 e as maquinas da rede continuaram a navegar , depois fechei a porta 22 e a mesma coisa estava funcionando ..
o que sera que eu fiz de errado ???
eu preciso de um firewall bem configurado pq tenho um servidor rodando apache, qmail, ftp, mysql sem dizer que ele tem squid para as maquinas locais .. (to sem grana para ter 2 servidores .. rs )
abraco
agradeco pelo o script que vc disponibilizou .. desculpa por nao ter posto os creditos
Re: ajuda no firewall please !!
ve se desta forma fica legal
uso ADSL
ppp0 = conectado a velox
eth0= ligado ao modem adsl
eth1 = ligado no servidor com o swith na rede interna
o Firewall uqe peguei teu e montei ta assim ve se fica legal
vc acha que com isso estarei realmente dropando tudo e liberando somente o necesario ?
#!/bin/bash
#Carregando Modulos do Kernel
/sbin/depmod -a
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_queue
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ip_tables
/sbin/modprobe ipt_length
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_multiport
/sbin/modprobe ipt_REDIRECT
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_state
#/sbin/modprobe ipt_unclean
Protecoes do Kernel
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
#Apaga as regras
iptables -X
iptables -F
iptables -t nat -F
iptables -t nat -X
# Bloqueia todo o trafego (Fecha tudo)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Habilita o StateFull Inspection
iptables -N ALLOWED
iptables -A ALLOWED -p tcp --syn -m state --state NEW -j ACCEPT
iptables -A ALLOWED -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A ALLOWED -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A ALLOWED -p tcp -j DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
#Libera os servicos (HTTP,HTTPS,SMTP/POP3,DNS,FTP)
iptables -A INPUT -p tcp -m multiport --dport 20,21,25,53,80,110,161,443 -j ALLOWED
iptables -A INPUT -p tcp -m multiport --sport 20,21,25,53,80,110,161,443 -j ALLOWED
iptables -A FORWARD -p tcp -m multiport --dport 20,21,25,53,80,110,443 -j ALLOWED
iptables -A FORWARD -p tcp -m multiport --sport 20,21,25,53,80,110,443 -j ALLOWED
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 80 -j REDIRECT --to-port 3128
# DNS
iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT
iptables -A INPUT -p udp -m multiport --sport 53 -j ACCEPT
iptables -A FORWARD -p udp -m multiport --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -m multiport --sport 53 -j ACCEPT
# Regras de OUTPUT
iptables -A OUTPUT -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
echo "Carregando regras de P2P"
echo "Regras do Firewall carregadas com sucesso !!!"