+ Responder ao Tópico



  1. 24-10-2008, 11:14 #1
    ruancasas
    ruancasas está desconectado
    Avatar de ruancasas
    Ingresso
    Jul 2008
    Posts
    1

    Padrão Problemas no firewall

    Olá pessoal!
    Estou tendo problemas no firewall, bloqueia tudo usado politca drop, desbloqueada web, ssh, etc, mas o meu problema está no outlook, tudo funciona com deveria, apenas no outlook que não esta enviando e recebendo emails.
    Alguém tem como me ajudar?
    Segue abaixo o firewall.

    #!/bin/bash
    echo
    echo "=========================================="
    echo "| :: SETTING IPTABLES'S CONFIGURATION :: |"
    echo "=========================================="
    ### Passo 1: Limpando as regras ###
    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD
    echo "Cleaning all rules .................[ OK ]"
    # Definindo a Politica Default das Cadeias
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    echo "Setting default rules ..............[ OK ]"
    ### Passo 2: Desabilitar o trafego IP entre as placas de rede ###
    echo "0" > /proc/sys/net/ipv4/ip_forward
    echo "Setting ip_forward: OFF ............[ OK ]"
    # Configurando a Protecao anti-spoofing
    for spoofing in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo "1" > $spoofing
    done
    echo "Setting anti-spoofing protection ...[ OK ]"
    # Impedimos que um atacante possa maliciosamente alterar alguma rota
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
    echo "Setting anti-redirects .............[ OK ]"
    # Utilizado em diversos ataques, isso possibilita que o atacante determine o "caminho" que seu
    # pacote vai percorrer (roteadores) ate seu destino. Junto com spoof, isso se torna muito perigoso.
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
    echo "Setting anti-source_route ..........[ OK ]"
    # Protecao contra responses bogus
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    echo "Setting anti-bugus_response ........[ OK ]"
    # Protecao contra ataques de syn flood (inicio da conexao TCP). Tenta conter ataques de DoS.
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    echo "Setting anti-synflood protection ...[ OK ]"
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
    ### Passo 3: Carregando os modulos do iptables ###
    modprobe ip_tables
    modprobe iptable_filter
    modprobe iptable_mangle
    modprobe iptable_nat
    modprobe ipt_MASQUERADE
    echo "Loading iptables's modules .........[ OK ]"
    ### Passo 4: Agora, vamos definir o que pode passar e o que nao ###
    ####################
    # Cadeia de Entrada
    # LOCALHOST - ACEITA TODOS OS PACOTES
    iptables -A INPUT -i lo -j ACCEPT
    # PORTA 80 (WEB) - ACEITA PARA A REDE LOCAL
    iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
    # PORTA 22 (SQUID) - ACEITA PARA A REDE LOCAL
    iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
    # PORTA 3389 (TS) - ACEITA PARA A REDE LOCAL
    iptables -A INPUT -i eth1 -p tcp --dport 3389 -j ACCEPT
    # No iptables, temos de dizer quais sockets sao validos em uma conexao
    iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
    echo "Setting rules for INPUT ............[ OK ]"
    ################################
    # Cadeia de Reenvio (FORWARD).
    # Primeiro, ativar o mascaramento (nat).
    iptables -t nat -F POSTROUTING
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo "Activating IP Mask .................[ OK ]"
    # Agora dizemos quem e o que podem acessar externamente
    # No iptables, o controle do acesso a rede externa e feito na cadeia "FORWARD"
    # COMPUTADOR DO CHEFE - ACEITA TODOS OS PACOTES
    #iptables -A FORWARD -s 192.168.3.50 -j ACCEPT

    # PORTA 3128 (SQUID) - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 3128 -j ACCEPT
    # Redireciona porta 80 para 3128 (SQUID)
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    # Redireciona porta 443 para 3128 (SQUID)
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
    # PORTA 53 (DNS) - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT
    # PORTA 110 (POP3) - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -i eth1 -p udp --dport 110 -j ACCEPT
    # PORTA 25 (SMTP) - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -i eth1 -p udp --dport 25 -j ACCEPT
    iptables -A FORWARD -p udp -s 192.168.0.0/24 -d 200.175.5.139 --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp -s 192.168.0.0/24 -d 200.175.89.139 --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp -s 200.175.5.139 --sport 53 -d 192.168.0.0/24 -j ACCEPT
    iptables -A FORWARD -p udp -s 200.175.89.139 --sport 53 -d 192.168.0.0/24 -j ACCEPT
    # PORTA 443 (IMAP) - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT
    # PORTA 995-587 (GMAIL) - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 995 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 587 -j ACCEPT
    # PORTA 1723 (VPN) - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 1723 -j ACCEPT
    # PORTA 901-137:139 - ACEITA PARA REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 901 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 137:139 -j ACCEPT
    # PORTA 81 (JNIMAGE) - ACEITA PARA REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 81 -j ACCEPT
    # PORTA 21 (FTP) - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 21 -j ACCEPT
    # No iptables, temos de dizer quais sockets sao validos em uma conexao
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
    echo "Setting rules for FORWARD ..........[ OK ]"
    # Finalmente: Habilitando o trafego IP, entre as Interfaces de rede
    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "Setting ip_forward: ON .............[ OK ]"
    echo "Finished!! Firewall: OK! ...........[ OK ]"
    echo "=========================================="


    obrigado!
    Citação Citação
  2. 25-10-2008, 03:05 #2
    gAsU
    gAsU está desconectado
    Avatar de gAsU
    Ingresso
    May 2004
    Posts
    12

    Padrão

    Amigo,

    pelo que andei lendo seu script... add as portas 25, 110, (se a conexao de e-mail sua for ig ou gmail tem q pegar tambem as portas seguras, se eu nao me engano eh 445 e 995, nao tenho certeza) pela regra INPUT e ACCEPT (nas portas).

    Acredito que isso ja resolva, teste e depois post novamente, para que o forum continue a ser o local para sanarmos duvidas e conseguirmos respostas para nossos problemas .


    abracos


    Thiago Ferreira
    Xeonsoft Consultoria
    [email protected]
    Citação Citação
  3. 27-10-2008, 07:19 #3
    Magnun
    Magnun está desconectado
    Avatar de Magnun
    Ingresso
    Nov 2006
    Localização
    Brasília
    Posts
    1.078
    Posts de Blog
    176

    Padrão

    Citação Postado originalmente por gAsU Ver Post
    Amigo,

    pelo que andei lendo seu script... add as portas 25, 110, (se a conexao de e-mail sua for ig ou gmail tem q pegar tambem as portas seguras, se eu nao me engano eh 445 e 995, nao tenho certeza) pela regra INPUT e ACCEPT (nas portas).

    Acredito que isso ja resolva, teste e depois post novamente, para que o forum continue a ser o local para sanarmos duvidas e conseguirmos respostas para nossos problemas .


    abracos


    Thiago Ferreira
    Xeonsoft Consultoria
    [email protected]
    Acredito que essas portas devem ser adicionadas na chain FORWARD, ao invés de INPUT, uma vez que os pacotes não tem como destino o Firewall.

    O Site frozentux.net é sempre uma ótima fonte pra pesquisa sobre iptables:
    http://iptables-tutorial.frozentux.n...s_traverse.jpg
    Citação Citação



« Tópico Anterior | Próximo Tópico »