iptables no CL 8

[peen-gween]

Oi Pessoal,

Estou tentando colocar um firewall aqui na empresa, já marqui pra ele iniciar no boot pelo ntsysv, mas na hora do boot ele dá um erro

IPTABLES: FAILED execvp permission danied

Alguém tem algum bizú ? que arquivo é esse execvp ?

Por favor me ajudem.

[e-misc]

Olá meu kro colega ..

Bom . eu naum sou um expert em iptables estou aprendendo agora OK

Mais estou usando e sem problemas .. hehehe . <IMG SRC="images/forum/icons/icon_wink.gif">

aki vai minha dica ..

primeiro crie um arquivo em /etc/init.d com o nome iptables, e escreva as regras necessarias neste arquivo.

apos ter criado o arquivo e as regras digite na linha d comando

$ service iptable start

e veja c funciona sua regra Ok

[peen-gween]

Já fiz isso brother e nada...

Alguem mais pode me ajudar ????

Por Favor !!!!

Abraços...

Peen-Gween

[sat4n]

Procura por esse arquivo e da permicao pra ele!

[peen-gween]

O Engraçado é que quando eu coloco as regras via prompt ele funciona, mas se vou fazer isso tudo via script, naum vai...

Quero colocar variáveis para facilitar as regras, como vou colocar isso via prompt, tem que ser via script, naum é ?

PeenGween <IMG SRC="images/forum/icons/icon_confused.gif">

[Danilo_Montagna]

poste seu script aqui..

[peen-gween]

#!/bin/sh

# Variaveis de ambiente
# ---------------------


# Interfase de Rede ========================================================================================================
ip_rede="192.168.1.0/24"
i_int="eth0"
i_out="eth1"
# ==========================================================================================================================

# IP Externos ==============================================================================================================
ip_gw="200.196.57.170"
ip_dns1="200.196.57.173"
ip_dns2="200.196.57.174"
#ip_dns3="200.20.21.6"
#ip_dns4="200.20.21.7"
# ==========================================================================================================================

# Rede Interna =============================================================================================================
ip_web_i="192.168.1.125" # servidor rlweb
# ==========================================================================================================================

# Servidores ===============================================================================================================
ip_web_o="200.196.57.170"
ip_web="200.196.57.173"
# ==========================================================================================================================



# Habilita ip forward
echo 1 > /proc/sys/net/ipv4/ip_forward

# Carrega os modulos de Nat e FTP
# -------------------------------
/sbin/modprobe iptable_nat
/sbin/modprobe ip_tables
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_REJECT

# Limpa as regras
iptables -F
iptables -t nat -F

# Define as políticas
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

# Permite acesso a qualquer servico pela interface local

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


# Regra - Monitorando trojans (Possíveis portas de ataque)
#TROJAN_PORT="12345 31336 313337 31338 3024 4092 5714 5742 2583 8787 5556 5557"

# Regra anti-trojan
#for PORTA in ${TROJAN_PORT};do
#iptables -A trojans-in -p tcp --sport=1024: --dport=${PORTA} -j LOG --log-prefix "FIREWALL: Trojan ${PORTA}"
#iptables -A trojans-in -p tcp --sport=1024: --dport=${PORTA} -j DROP




# Rotas e Firewall para a Internet

# Regras de NAT
# ==========================================================================================================================



# Regra WWW
# =========
# Regras de PREROUTING - Serviço WWW =======================================================================================
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport www -j LOG --log-prefix "NAT WWW "
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport www -j DNAT --to-destination $ip_web_i
# WWW de Entrada -----------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport www -j LOG --log-prefix "IN WEB => "
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport www -j ACCEPT
# WWW de Saída - NAT Reverso -----------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport www -j LOG --log-prefix "OUT WEB => "
iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport www -j ACCEPT
# ==========================================================================================================================



# Regra TSCLIENTE
# ===============
# Regras de PREROUTING - Serviço TSCLIENTE =================================================================================
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport 3389 -j LOG --log-prefix "NAT TSCLI "
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport 3389 -j DNAT --to-destination $ip_web_i
# Regra de Entrada ---------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport 3389 -j LOG --log-prefix "NATTSI => "
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport 3389 -j ACCEPT
# Regra de Saída - NAT Reverso ---------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport 3389 -j LOG --log-prefix "NATTSO => "
iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport 3389 -j ACCEPT
# ==========================================================================================================================



# Regra FTP
# =========
# Regras de PREROUTING - Serviço FTP =======================================================================================
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport 21 -j LOG --log-prefix "NAT FTP "
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport 21 -j DNAT --to-destination $ip_web_i
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --sport 1024: --dport 20 -j DNAT --to-destination $ip_web_i
# Regra de Entrada - FTP ---------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --sport 1024: --dport 20 -j ACCEPT
# Regra de Saida - FTP ---------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport 21 -j ACCEPT
iptables -A FORWARD -p tcp -d 0/0 -s $ip_web_i -o $i_out -i $i_int --dport 1024: --sport 20 -j ACCEPT
# ==========================================================================================================================



# Regras de entrada (INPUT)
# ==========================================================================================================================

# Aceita qualquer entrada da rede local
iptables -A INPUT -p all -s $ip_rede -d 0/0 -i $i_int -j ACCEPT

# Aceita entradas da internet para o gateway somente se tiver relacao com uma conexao pre-estabelecida
iptables -A INPUT -p all -s 0/0 -d $ip_gw -j ACCEPT -mstate --state ESTABLISHED,RELATED


# Regras de Serviços do Pinguim - Entradas vindas da internet ===============================================================
# ===========================================================================================================================

# Regra WWW - Pinguim
# ===================
# Regra WWW Externo - Apache ================================================================================================
iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport www -j LOG --log-prefix "ACESSO www "
iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport www -j ACCEPT # www
# ===========================================================================================================================


# Regra FTP - Pinguim
# ===================
# ===========================================================================================================================
#iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport : --dport ftp -j ACCEPT # Ftp internpo
# ===========================================================================================================================


# Regra SSH - Pinguim
# ===================
# ===========================================================================================================================
iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport ssh -j LOG --log-prefix "ACP ssh "
iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport ssh -j ACCEPT # SSH
# ===========================================================================================================================


# Regra FTP - Pinguim
# ===================
# ===========================================================================================================================
iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport pop-3 -j ACCEPT # POP3
# ===========================================================================================================================


# Regra FTP - Pinguim
# ===================
# ===========================================================================================================================
iptables -A INPUT -p tcp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport smtp -j ACCEPT # SMTP
# ===========================================================================================================================



# Regras - UDP (DNS)
# ===================
# Regra 200.20.21.3 - Pinguim ==============================================================================================
#iptables -A INPUT -p udp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport 53 -j LOG --log-prefix "ACESSO DNS Pinguim "
iptables -A INPUT -p udp -s 0/0 -d $ip_gw -i $i_out --sport 1024: --dport 53 -j ACCEPT # DNS
# ==========================================================================================================================


# Regras - UDP (DNS)
# ===================
# Regra 200.20.21.4 - DNS Primário ==========================================================================================
#iptables -A INPUT -p udp -s 0/0 -d $ip_dns1 -i $i_out --sport 1024: --dport 53 -j LOG --log-prefix "DNS UDP => "
iptables -A INPUT -p udp -s 0/0 -d $ip_dns1 -i $i_out --sport 1024: --dport 53 -j ACCEPT # DNS
iptables -A INPUT -p udp -s 0/0 -d $ip_dns1 -i $i_out --sport 53 --dport 53 -j ACCEPT # DNS
# ===========================================================================================================================


# Regras - UDP (DNS)
# ===================
# Regra 200.20.21.5 - DNS Secundário ========================================================================================
iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --sport 1024: --dport 53 -j LOG --log-prefix "DNS2 UDP => "
iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --sport 1024: --dport 53 -j ACCEPT # DNS
iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --sport 53 --dport 53 -j ACCEPT # DNS
# ===========================================================================================================================



# Regras - TCP (DNS)
# ===================
# Regra 200.20.21.4 - DNS Primário =========================================================================================
iptables -A INPUT -p tcp -s 0/0 -d $ip_dns1 -i $i_out --sport 1024: --dport 53 -j ACCEPT # DNS
iptables -A INPUT -p tcp -s 0/0 -d $ip_dns1 -i $i_out --sport 53 --dport 53 -j ACCEPT # DNS
# ==========================================================================================================================



# Serviços Indesejados
# ====================
# Nega servicos indesejados conhecidos vindos da rede local para nao gerar log =============================================
iptables -A INPUT -p udp -s $ip_gw -d 0/0 --sport netbios-dgm --dport netbios-dgm -j DROP # NetBios do servidor
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 137 -j DROP # NetBios da rede
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 137 --dport 53 -j DROP
iptables -A INPUT -p udp -s $ip_rede -d 0/0 -i $i_int --sport bootpc --dport bootps -j DROP # BootPC
# ==========================================================================================================================


# **************************************************************************************************************************
# ==========================================================================================================================


# Regras de redirecionamento (forward)
# ===================================

# Protocolo UDP ============================================================================================================
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport domain -j ACCEPT # Name Server
iptables -A FORWARD -p udp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport domain -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================


# Protocolo TCP
# =============

# Acesso Interno - FTP =====================================================================================================
# Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport ftp-data -j ACCEPT # Dados de FTP
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport ftp -j ACCEPT # Porta de FTP
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport ftp -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================


# Acesso Interno - SSH =====================================================================================================
# Saída -----------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport ssh -j ACCEPT # SSH
# Entrtada -----------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport ssh -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================



# Acesso Interno - SMTP===================================================================================================== # Saída -----------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport smtp -j ACCEPT # SMTP
# Entrada -----------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport smtp -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================



# Acesso Interno - Telnet===================================================================================================
# Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport telnet -j ACCEPT # Telnet
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport telnet -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================



# Acesso Interno - TIME ==================================================================================================== # Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport time -j ACCEPT # Time
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport time -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================



# Acesso Interno - POP =====================================================================================================
# Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport pop-3 -j ACCEPT # POP3
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport pop-3 -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================



# Acesso Interno - WWW ==================================================================================================== # Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport www -j ACCEPT # HTTP
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport https -j ACCEPT # HTTPS
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport www -j ACCEPT -mstate --state ESTABLISHED,RELATED
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport https -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================



# Acesso Interno - TSSERVER================================================================================================= # Saída ------------------------------------------------------------------------------------------------------------------
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3389 -j ACCEPT # Terminal server
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 3389 -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================



# Acesso Interno - MSN ==================================================================================================== # Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1863 -j ACCEPT # MSN Messenger
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 1863 -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================



# Acesso Interno - Receita NET ============================================================================================ # Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3456 -j ACCEPT # ReceitaNet
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 3456 -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================



# Acesso Interno - ICQ ==================================================================================================== # Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 5190 -j ACCEPT # ICQ
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 5190 -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================



# Acesso Interno - PS AnyWhere ============================================================================================= # Saída ------------------------------------------------------------------------------------------------------------------
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 5631:5632 -j ACCEPT # PC AnyWhere
# Entrada ------------------------------------------------------------------------------------------------------------------
#iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 5631:5632 -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================



# Acesso Interno - SNTP ==================================================================================================== # Saída ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 123 -j ACCEPT # SNTP
# Entrada ------------------------------------------------------------------------------------------------------------------
iptables -A FORWARD -p udp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 123 -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================



# Acesso Interno - ???? ====================================================================================================
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport auth --sport 1024: -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================





# Imule ==========================================================================================================
# entrada
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 4242 -j ACCEPT # IMule

#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 4661 -j ACCEPT # IMule
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 4662 -j ACCEPT # IMule
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 4448 -j ACCEPT # IMule
#iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 4665 -j ACCEPT # IMule


# saida
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 4242 --dport 1024: -j ACCEPT # IMule
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 4661 --dport 1024: -j ACCEPT # IMule
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 4662 --dport 1024: -j ACCEPT # IMule
#iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 4665 --dport 1024: -j ACCEPT # IMule
#iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1024: -j ACCEPT # IMule
# ===============================================================================================================


# ===============================================================================================================



# Acessos especiais
# =================
# Kazza Media Desktop ======================================================================================================
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1214 --dport 1214 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1214 --sport 1214 -j ACCEPT -mstate --state ESTABLISHED,RELATED
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1214 -j LOG --log-prefix "Kazaa "
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1342 -j LOG --log-prefix "Kazaa " # Loga portas fora do padrao
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3431 -j LOG --log-prefix "Kazaa "
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3831 -j LOG --log-prefix "Kazaa "
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1214 -j ACCEPT
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 1342 -j ACCEPT
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3431 -j ACCEPT
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --sport 1024: --dport 3831 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 1214 -j ACCEPT -mstate --state ESTABLISHED,RELATED
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 1342 -j ACCEPT -mstate --state ESTABLISHED,RELATED
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 3431 -j ACCEPT -mstate --state ESTABLISHED,RELATED
iptables -A FORWARD -p tcp -s 0/0 -d $ip_rede -i $i_out -o $i_int --dport 1024: --sport 3831 -j ACCEPT -mstate --state ESTABLISHED,RELATED
# =========================================================================================================================


# Protocolo ICMP ===========================================================================================================
iptables -A FORWARD -p icmp -s $ip_rede -d 0/0 -i $i_int -o $i_out -j ACCEPT
iptables -A FORWARD -p icmp -s 0/0 -d $ip_rede -i $i_out -o $i_int -j ACCEPT -mstate --state ESTABLISHED,RELATED
# ==========================================================================================================================


# Regra de NAT/MASQUERADE
# -----------------------
# ==========================================================================================================================
#iptables -t nat -A POSTROUTING -s $ip_rede -d 0/0 -o $i_out -j MASQUERADE
iptables -t nat -A POSTROUTING -s $ip_rede -d 0/0 -o $i_out -j SNAT --to-source $ip_gw
# ==========================================================================================================================


# Tratamento para todo o resto nao estabelecido nas regras acima
# --------------------------------------------------------------
# Gera log de todo trafego nao registrado
iptables -A INPUT -s 0/0 -d 0/0 -j LOG
iptables -A FORWARD -s 0/0 -d 0/0 -j LOG
# Bloqueia todo trafego nao registrado
iptables -A INPUT -s 0/0 -d 0/0 -j DROP
iptables -A FORWARD -s 0/0 -d 0/0 -j DROP

# ==========================================================================================================================

desculpe mas esse seu script está com as permissões corretas?
(751)

[Danilo_Montagna]

seguinte... baseado no que eu vi no seu script eu fiz outro pra vc..

algumas regras que eu nao entendi pq estavam ali eu aliminei.. se vc ver que realmente precisa delas.. arrumo vc conforme o necessario..

fiz algumas lateracoes baseado em implementacoes de firewall que eu costumo fazer.. estou falando em termos de conexoes ESTABELECIDAS e RALCIONAS.. que vc adotava uma tatica meio diferente..

retirei alguams regras que no meu concentimento nao estavam fazendo efeito..

segue o script..

==================================================

#!/bin/bash

# Ativa roteamento de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done

# Modulos de mascaramento
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_tables
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_REJECT

# Variaveis de rede
i_int="eth0"
i_out="eth1"
ip_rede="192.168.1.0/24"
ip_gw="200.196.57.170/32"
ip_dns1="200.196.57.173/32"
ip_dns2="200.196.57.174/32"
ip_web_i="192.168.1.125/32"
ip_web="200.196.57.173/32"


# Limpando todas as regras e removendo todos as chains de usuários
echo -n "Limpando regras..."
$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -X
$IPTABLES -X -t nat
$IPTABLES -Z
$IPTABLES -Z -t nat
echo "ok!"

# Políticas padrao
echo -n "Politica padrao..."
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
echo "ok!"

######## PREROUTING #########
echo -n "Spoofing..."
$IPTABLES -A PREROUTING -t nat -i $i_out -s 192.168.0.0/16 -j DROP
$IPTABLES -A PREROUTING -t nat -i $i_out -s 172.16.0.0/12 -j DROP
$IPTABLES -A PREROUTING -t nat -i $i_out -s 10.0.0.0/8 -j DROP
echo "ok!"

echo -n "Destination NAT..."

iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport www -j LOG --log-prefix "NAT WWW "
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport www -j DNAT --to-destination $ip_web_i
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport www -j LOG --log-prefix "NAT WWW "
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport www -j DNAT --to-destination $ip_web_i
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport 3389 -j LOG --log-prefix "NAT TSCLI "
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport 3389 -j DNAT --to-destination $ip_web_i
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport 21 -j LOG --log-prefix "NAT FTP "
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d $ip_web -i $i_out --dport 21 -j DNAT --to-destination $ip_web_i

echo "ok!"

######## POSTROUTING ########
echo -n "Source NAT..."

iptables -t nat -A POSTROUTING -s $ip_rede -d 0/0 -o $i_out -j SNAT --to-source $ip_gw

echo "ok!"

############### FORWARD #################
echo -n "Politicas de FORWARD..."

# FTP Services
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport ftp -j ACCEPT
# NETBIOS Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 137:139 -j DROP
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 137:138 -j DROP
# DNS Services
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport domain -j ACCEPT
# SMTP Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport smtp -j ACCEPT
# TELNET Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport telnet -j ACCEPT
# TIME Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport time -j ACCEPT
# POP3 Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport pop-3 -j ACCEPT
# HTTPS Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 443 -j ACCEPT
# MSN Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 1863 -j ACCEPT
# WTS Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 3389 -j ACCEPT
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 3389 -j ACCEPT
# Receita NET
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 3456 -j ACCEPT
# ICQ Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 5190 -j ACCEPT
# SNTP Services
iptables -A FORWARD -p udp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 123 -j ACCEPT
# Kazaa Services
iptables -A FORWARD -p tcp -s $ip_rede -d 0/0 -i $i_int -o $i_out --dport 1214 -j ACCEPT
# ICMP Services
iptables -A FORWARD -p icmp -s $ip_rede -d 0/0 -i $i_int -o $i_out -j ACCEPT

# Pacotes redirecionados
# www Services
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport www -j LOG --log-prefix "IN WEB => "
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport www -j ACCEPT
# WTS Services
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport 3389 -j LOG --log-prefix "NATTSI => "
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport 3389 -j ACCEPT
# FTP Services
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport 21 -j LOG --log-prefix "IN FTP => "
iptables -A FORWARD -p tcp -s 0/0 -d $ip_web_i -i $i_out -o $i_int --dport 21 -j ACCEPT

# LOGS de servicos nao registrados
iptables -A FORWARD -s 0/0 -d 0/0 -j LOG
# Bloqueia todo trafego nao registrado
iptables -A FORWARD -s 0/0 -d 0/0 -j DROP

# Faz parte nao alterar
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "ok!


################ INPUT ##################
echo -n "Politicas de INPUT..."

# SSH Interno
iptables -A INPUT -p tcp -s $ip_rede -d $i_in --dport ssh -j ACCEPT
# NEtbios do Server
iptables -A INPUT -p udp -s $ip_gw -d 0/0 --dport netbios-dgm -j DROP
# Permite acesso a qualquer servico pela interface local
iptables -A INPUT -i lo -j ACCEPT
# Aceita qualquer entrada da rede local
iptables -A INPUT -s $ip_rede -d $i_int -j ACCEPT
# DNS services
iptables -A INPUT -p udp -s 0/0 -d $ip_gw -i $i_out --dport 53 -j ACCEPT
# Regra 200.20.21.4 - DNS Primário
iptables -A INPUT -p tcp -s 0/0 -d $ip_dns1 -i $i_out --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 -d $ip_dns1 -i $i_out --dport 53 -j LOG --log-prefix "DNS1 UDP => "
iptables -A INPUT -p tcp -s 0/0 -d $ip_dns1 -i $i_out --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 -d $ip_dns1 -i $i_out --dport 53 -j ACCEPT
# Regra 200.20.21.5 - DNS Secundário
iptables -A INPUT -p tcp -s 0/0 -d $ip_dns2 -i $i_out --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --dport 53 -j LOG --log-prefix "DNS2 UDP => "
iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 -d $ip_dns2 -i $i_out --dport 53 -j ACCEPT
# Loopback
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# LOGS de servicos nao registardos
iptables -A INPUT -s 0/0 -d 0/0 -j LOG
# Bloqueia todo trafego nao registrado
iptables -A INPUT -s 0/0 -d 0/0 -j DROP

# faz parte nao alterar
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "ok!"

echo ""
echo "---- done ----"
echo ""

==================================================

se de repente faltou alguam coisa.. vc arruma conforme necessario..

porem eu acredito que com esse script vai funcionar certinho..

[]&acute;s


[ Esta mensagem foi editada por: Danilo_Montagna em 06-03-2003 13:47 ]

[peen-gween]

Valeu Danilo,

vou pegar esse arquivo script e salva-lo como iptables no /etc/init.d

Vamos testar... as permissoes posso colocar 777 naum é ?

Abraços,

PeenGween

[Danilo_Montagna]

seguinte...

ele nao precisa de 777 como permisaso..

apenas o root precisa ter acesso full rxx nele..

-rwxr--r--

vc executa ele chamando pelo comando..

./rc.firewall

ou algo do genero.

[ Esta mensagem foi editada por: Danilo_Montagna em 06-03-2003 15:02 ]

[mistymst]

Olha...

primeiro:

loucura colocar 777 em qualquer arquivo de configuraçao
voce pretender que o usuario "zebumbum" veja suas regras de firewall? eu acredito que não.

Segundo:

o script nao ira funcionar. pelo seguintes motivos
ntsysv, utilizase do "service" para inicilizar servicos
e o mesmo prescisa de syntax:

service SERVICO start
para ligar e:
service SERVICO stop
para desligar.

Se seu script nao tiver isso nao ira funcionar.

[peen-gween]

Cara é muito estranho,

o meu iptables só funciona se eu coloco as regras via prompt...

salvar essas regras via iptables-save e recupera-las na inicialização com iptables-restore

se eu crio um script como eu já tinha feito e como vc me mandou um, ele naum recupera as regras, dou iptables -L e nada de regras recuperadas....

Será que vou ter que escrever regra a regra via prompt ?

Me ajudem... <IMG SRC="images/forum/icons/icon_mad.gif">

[peen-gween]

Caraca galera, tá f...

[peen-gween]

Mysty

por favor me ajuda, onde coloco o tal script... ?

[Danilo_Montagna]

Acredito que isso nao é bem assim..

eu nao uso meu como um serviço e sim como script mesmo..

e o mesmo funciona normalmente colocando essa linha do rc.local

/etc/rc.d/./rc.firewall

=================================

Segundo:

o script nao ira funcionar. pelo seguintes motivos
ntsysv, utilizase do "service" para inicilizar servicos
e o mesmo prescisa de syntax:

service SERVICO start
para ligar e:
service SERVICO stop
para desligar.

Se seu script nao tiver isso nao ira funcionar.

==========================================

=================================
Danilo Montagna
Analista de Suporte / Consultor Técnico
Netowork Security Engineer
Microsoft Certified Professional
[email protected]
http://www.mcpdomain.com
=================================


[ Esta mensagem foi editada por: Danilo_Montagna em 06-03-2003 16:48 ]

[peen-gween]

O Danilo,

mas quando vc dá um iptables -L aparecem as regras normalmente ?

Qual distro vc está usando ?

Eu fiz a instalação completa do CL 8

[Danilo_Montagna]

sim, aparece normalmente... sem problema nenhum

uso script assim, sem usar serviço em varias distros..

atualmente estou com o Mandrake 9

obs.: lembre-se que para esse comando que eu uso funcionar ae pra vc, vc precisa dar permissao de execussao no script ok..

chmod u+x rc.firewall


<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-03-06 17:17, peen-gween wrote:
O Danilo,

mas quando vc dá um iptables -L aparecem as regras normalmente ?

Qual distro vc está usando ?

Eu fiz a instalação completa do CL 8

</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>


[ Esta mensagem foi editada por: Danilo_Montagna em 06-03-2003 17:34 ]

[demiurgo]

como estao as permissoes p/ ele agora??

[peen-gween]

Danilo,

Fiz o que vc disse coloquei o script no dir /etc

Dei a permissão que vc falou e essa m... naum funcionou.

Será que pode ser algum problema relacionado a particionamento, Swap, ou instalação...

Estou pensando em instalar de novo... mas agora vou colocar ou CL 7

<IMG SRC="images/forum/icons/icon_confused.gif">