- Melhorando o firewall.
+ Responder ao Tópico
-
Melhorando o firewall.
Amigos,
Estou tentando melhorar me firewall, pois o atual está ruim.
Montei um script com algumas regras, mas ñ está funcionando.
Os amigos poderiam me dizer o q está errado?? Se tiverem alguma dica para melhorar, será bem vinda.
Vejam o script:
# Script do Firewall.
# Desenvolvido por Mauricio Bertoli.
# E-mail: [email protected]
# Desenvolvido em 10/06/2003.
**************************************************
# Regras de proteção:
**************************************************
# Proteção contra Syn-floods.
iptables -A FORWARD -p tcp -syn -m limit --limit 1/s -j ACCEPT
# Proteção de Port Scanners ocultos.
iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Proteção do Ping da morte.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Proteção contra IP Spoofing
iptables -A INPUT -s 172.168.0.0/24 -i eth0 -j DROP
**************************************************
# Regras básicas para o firewall.
**************************************************
# Nega a entrada de todos os pacotes e aceita a saida de todos os pacotes.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Navegação e estabilizado a conexão.
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPT
# WWW.
iptables -t nat -A PREROUTING -s 200.0.0.1 -i eth0 -j DNAT -to 172.168.0.1
iptables -t nat -A POSTROUTING -s 200.0.0.1 -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -j SNAT -to 200.0.0.1
iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -p tcp --dport 80 -j ACCEPT
# Redirecionando a porta 80 para 3128.
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDiRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDiRECT --to-port 3128
# SMTP.
iptables -t nat -A PREROUTING -s 200.0.0.1 -i eth0 -j DNAT -to 172.168.0.1
iptables -t nat -A POSTROUTING -s 200.0.0.1 -o eth0 -p tcp --dport 25 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -j SNAT -to 200.0.0.1
iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -p tcp --dport 25 -j ACCEPT
# POP3.
iptables -t nat -A PREROUTING -s 200.0.0.1 -i eth0 -j DNAT -to 172.168.0.1
iptables -t nat -A POSTROUTING -s 200.0.0.1 -o eth0 -p tcp --dport 110 -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -j SNAT -to 200.0.0.1
iptables -t nat -A POSTROUTING -s 172.168.0.1 -o eth0 -p tcp --dport 110 -j ACCEPT
# Liberando a porta 22 (SSH) para os clientes.
ipatbles -A INPUT -tcp -s 200.0.0.1/25 --dport 22 -j ACCEPT
ipatbles -A INPUT -tcp -s 200.0.0.1/25 --dport 22 -j ACCEPT
# Fim do scritp.
Mauricio <IMG SRC="images/forum/icons/icon21.gif">
-
Melhorando o firewall.
Caro,
Entre no www.linuxit.com.br que tem vários artigos
-
Melhorando o firewall.
Wrochal2002,
Eu já acessei o site e vi os exemplos e tentei montar o meu, mas eu gostaria da opinião dos amigos.
Mauricio <IMG SRC="images/forum/icons/icon21.gif">
-
Melhorando o firewall.
Dae, Speed!
Manda a configuração de sua rede. Pois assim ficara mais facil hehehe
-
Melhorando o firewall.
Cara pelo visto voce tem todos os servicos rodando em uma maquina interna atras do seu firewall (todos em uma so, web,pop,smtp)
mas a sua unica regra de forward eh esta.
iptables -A FORWARD -i eth0 -j ACCEPT
entao logo nao passa nada, pelo que eu entendi, jah que eth0 seria sua interface externa (a qual esta sua internet)
mude essa regra para ->
iptables -A FOWARD -i eth1 -j ACCEPT
ou
iptables -A FOWARD -s ip.da.sua.subnet/netmask -j ACCEPT
Citação