- Dúvida com IpTables
+ Responder ao Tópico
-
Dúvida com IpTables
Ola pessoal da lista, empresa onde eu trabalho o pessoal está querendo mudar o servidor win 2000 para Linux, e eu que fiquei responsável por essa mudança.
Ja configurei ele quase 100%, está faltando algumas coisas, uma delas é o compartilhamento IpTables com NAT
eu estou usando assim
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
mas isso compartilha a speedy na rede inteira... eu gostaria que compartilhar apenas em 2 maquinas, ips 192.168.1.2 e .3
Outra coisa... é que eu fui dando acesso ao que eu precisava..e fechei o que eu nao iria usar...
única coisa que eu nao consegui liberar foi o email, eu liberei porta 25 de smpt e 110 de POP
mas nos terminais quando eu tento enviar o email, o outlook fala que nao achou o dominio. ja tentei liberar varias portas mas nao achei nenhuma.]
alguem tem alguma idéia??
Obrigado
-
Dúvida com IpTables
para o NAT de apenas aquelas duas maquinas:
iptables -t nat -A POSTROUTING -s 192.168.1.2 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.3 -j MASQUERADE
agora em relaçao ao SMTP e POP podes postar aqui as regras com que fechas e abres?
Toma em atenção que deves abrir as portas que queres..e so depois fechas tudo, pq se fechares tudo e so depois abrires ele quando fecha ignora logo as que estao em baixo!
Um abraço <IMG SRC="images/forum/smilies/icon_biggrin.gif">
-
Dúvida com IpTables
aqui no nosso fire nos bloqueamos as portas e liberamos só para os endereços indicados:
iptables -t nat -A POSTROUTING -s 192.168.45.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.45.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.45.0/24 -j ACCEPT
veja se seu arquivo /var/named/dominio.com.br esta configurado.
pop IN CNAME mail.vicosadoceara.com.
smtp IN CNAME mail.vicosadoceara.com.
qualquer coisa tô no icq
-
Dúvida com IpTables
Eu abro antes de fechar, fechar eu fecho no final
# POP3
iptables -t filter -A INPUT -s 0/0 -d 192.168.1.4 -p tcp --dport 110:110 -j ACCEPT
#SMTP
iptables -t filter -A INPUT -s 0/0 -d 192.168.1.4 -p tcp --dport 25 -j ACCEPT
no final eu tento fechar tudo
iptables -t filter -A INPUT -s 0/0 -d 192.168.1.4 -j DROP
TUdo esta OK, só o email, alias, agora ele nao da mensagem de erro.. tipo
No Outlook vai, mas nunca chega no desinto, no caso eu mandei pro hotmail, e nem do hotmail para o meu server nao foi..
usei 192.168.1.4 que eh o IP qu eu estou testando na rede....
Outra coisa... Quais as maiores vunerabilidades de hoje? apache bugado? sendmail? php?
obrigado
-
Dúvida com IpTables
Façamos o seguinte: diga o q pretende com o seu POP e SMTP. Por certo vc quer implementar relaying controlado e isso nao e´ por IPtables. Ele precisa do SMTP para injectar emails para dentro ... ora bem, em vez de eu complicar explicite o que deseja e eu dou a minha dica.
Um abraço <IMG SRC="images/forum/smilies/icon_biggrin.gif">
-
Dúvida com IpTables
Meu relay do sendmail está OK
eu quero a máxima proteção possivel com o IpTables.
a regra é assim..
no começo eu vou dando acesso a tudo que pode
HTTP, HTTPs, SSH, POP, SMTP
e no final eu gostaria de fechar tudo que eu nao abri, ou seja, dando um DROP em todas as portas.
esse é meu objetivo
-
Dúvida com IpTables
se voce acredita que o relay esta bem configurado, entao:
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -j REJECT
1º.: se isso for um firewall e não a máquina em que voce tem esse servidores tem que adicionar -d 192.168.0.1 (sendo este o ip da maquina com SMTP e POP);
2º.: pq usar o REJECT? Porque o DROP "avisa" possiveis invasores que você tem um sistema firewall, ja´ o reject faz parecer que a maquina nao existe ou aquele serviço nao esta activo.
Isto basta para ter seu SMTP/POP seguro, so abrindo estes serviços para a rede/Internet.
Um abraço
<IMG SRC="images/forum/smilies/icon_biggrin.gif">