- Firewall
+ Responder ao Tópico
-
Firewall
Bom dia galera, queria uma ajudinha, criei esse firewall, mas sinceramente naum entendi muito a minha intenção é fechar todas as portas e liberar algumas, e tb compartilhar a net e ser servidor de DNS.
Por favor olhem e me ajudem...
muito obrigado
# Iptables - 1.0
# Cleiton Martins Borges [email protected]
# Criado em 11/07/2002
#!/bin/sh
# Setando Variavel
IP_MAQ="192.168.1.15"
TROJAN_PORTS_TCP="12345:12346:1524:27665:31337"
TROJAN_PORTS_UDP="12345:12346:27444:31335:31337"
FORWARD_PORTS="21:22:23:25:79:80:81:110:119:53:15000:8080:5631:5632:194:443"
TCP_IN="22,80,5631,5632,8080"
TCP_SERVICES_OUT_INT_IF="22,80,5631"
TCP_SERVICES_OUT_EXT_IF="21,22,80,119,5631"
#Ativando o roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward
#Carregando o modulo
modprobe ip_tables
modprobe ipt_MASQUERADE
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
#Limpando Politicas anteriores
iptables -F
iptables -t nat -F
#Negando as Politicas
iptables -P FORWARD DROP
iptables -P INPUT ACCEPT
iptables -t nat -P POSTROUTING DROP
#Regras de Firewall
# (PREROUNTING)
iptables -t nat -A PREROUTING -p tcp -d 200.153.222.88 --dport 5631 -j DNAT --to $IP_MAQ:5631
iptables -t nat -A PREROUTING -p udp -d 200.153.222.88 --dport 5632 -j DNAT --to $IP_MAQ:5632
#iptables -t nat -A PREROUTING -p tcp -d 200.153.222.88 --dport 15000 -j DNAT --to 192.168.1.10:15000
iptables -t nat -A PREROUTING -p tcp -d 200.153.222.88 --dport 80 -j DNAT --to 192.168.1.22:8080
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8081
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 20:21 -j DNAT --to 200.153.222.88
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
# (POSTROUNTIG)
iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -d 192.168.1.0/24 -j MASQUERADE
# (FORWARD)
iptables -A FORWARD -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT
#iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
#iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
#iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT
#iptables -A FORWARD -m unclean -j DROP
# (INPUT)
iptables -A INPUT -p tcp --dport 5631 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 5632 -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp --dport 953 -j ACCEPT
iptables -A INPUT -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT
#iptables -A INPUT -p tcp -tcp-flags SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -m unclean -j DROP
iptables -A INPUT -p tcp --syn -j DROP
<IMG SRC="images/forum/icons/icon_biggrin.gif"> <IMG SRC="images/forum/icons/icon_biggrin.gif"> <IMG SRC="images/forum/icons/icon_biggrin.gif">
-
Firewall
Nao sei nao amigo, as vezes voce esta asendo meio redudante e ao mesmo ponto incoerente em algumas regras no meu ponto de vista.
por exemplo:
voce diz que a politica default de input e accept e depois faz varios accepts la embaixo como se ela fosse drop, mude para drop no caso.
nao vou falar nada dos seus redirects nao sei como esta a sua rede.
entretanto para que um DROP na postrouting?
comece com uma politica simples, e tambem voce nao esta usando nenhuma politica que verifique as conexoes relacionadas e mesmo assim carrega o modulo para a mesma (conntrack)
seja mais simples, comece com uma input em DROP e forward em ACCEPT, faca o masquerade e veja se funciona.
funcionou , beleza, entao passe para a segunda parte, ponha o forward em drop e libere so para quem voce realmente quer.
depois disso redondo faca os DNAT e SNAT necessarios.