Boa tarde pessoal, bom sou muito novo no mundo linux,
li bastante coisa, e pelo que vi o firewall segue uma hierarquia,
alguém pode dar uma olhada no meu firewall e por em ordem
essa "bagunça" ?
estou tendo alguns problemas, e creio que possa ser a ordem que os
scripts estão dispostos... bom fico no aguardo urgente de uma resposta... vlwwww
Segue abaixo:
#############################
# eth1 - Placa de Internet #
# eth2 - Placa de Rede Local #
#############################
# COMPARTILHAMENTO DA CONEXÃO DE INTERNET
modprobe iptable_nat
modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# LIBERAR CONEXÕES DE ENVIO E RECEBIMENTO DO PROGRAMA PTA DA ANS (AGÊNCIA NACIONAL DE SAÚDE)
iptables -I FORWARD -p tcp --dport 21 -d receptor.ans.gov.br -j ACCEPT
iptables -I FORWARD -p tcp --dport 80 -d receptor.ans.gov.br -j ACCEPT
iptables -I FORWARD -p tcp --dport 20001:20005 -s receptor.ans.gov.br -j ACCEPT
iptables -I FORWARD -p tcp --dport 20000:20019 -d receptor.ans.gov.br -j ACCEPT
iptables -I FORWARD -p tcp -s receptor.ans.gov.br -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -I PREROUTING -d receptor.ans.gov.br -j ACCEPT
iptables -t nat -I PREROUTING -s receptor.ans.gov.br -j ACCEPT
iptables -A INPUT -i eth2 -p udp -s receptor.ans.gov.br -j ACCEPT
iptables -A INPUT -i eth1 -p udp -s receptor.ans.gov.br -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 20001:20019 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 20001:20019 -j ACCEPT
# IP'S LIBERADOS PARA USO DO MSN
iptables -A FORWARD -s 192.168.0.234 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.234 -d loginnet.passport.com -j ACCEPT
# IP'S BLOQUEADOS PARA USO DO MSN (REDE LOCAL)
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.com -j REJECT
# PARA ACESSAR A CONECTIVIDADE SOCIAL SEM PASSAR PELO PROXY
caixa=$(nslookup -sil cmt.caixa.gov.br | grep -v \# |grep Address |awk '{print $2}' )
# REDIRECIONAMENTO DAS PORTAS 80 PARA O SQUID NA PORTA 3128 COM EXCESSÃO DA CONECTIVIDADE SOCIAL
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 ! -d $caixa/20 --dport 80 -j REDIRECT --to-ports 3128
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
# LIBERA PORTAS PARA AGSI
iptables -A INPUT -i eth1 -s 189.19.13.28 -p tcp --dport 1433 -j ACCEPT
iptables -A INPUT -i eth1 -s 189.19.13.28 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -s 189.19.13.28 -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -i eth1 -s 189.19.13.28 -p udp --dport 1433 -j ACCEPT
iptables -A INPUT -i eth1 -s 189.19.13.28 -p udp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -s 189.19.13.28 -p udp --dport 3306 -j ACCEPT
# LIBERA REPASSE DA CONEXÃO DA AGSI
iptables -A FORWARD -i eth1 -s 189.19.13.28 -j ACCEPT
# REDIRECIONA OQUE ENTRA NA PORTA 1433 PARA O SERVIDOR BALBINA
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 1433 -j DNAT --to 192.168.0.246
iptables -t nat -A PREROUTING -p udp -i eth1 --dport 1433 -j DNAT --to 192.168.0.246
# REDIRECIONA OQUE ENTRA NA PORTA 8080 PARA O SERVIDOR WEB APLICATIVO
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 8080 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -p udp -i eth1 --dport 8080 -j DNAT --to 192.168.0.2
# BLOQUEIA PINGS E PROTEGE CONTRA IP SPOOFING E PACOTES INVÁLIDOS
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
# ABRE PARA A INTERFACE DE LOOPBACK E PARA INTERFACE DE REDE LOCAL
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth2 -j ACCEPT
# ABRE AS PORTAS ESPECIFICADAS
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# BLOQUEIA AS DEMAIS CONEXÕES, DEIXANDO PASSAR APENAS PACOTES DE RESPOSTA
iptables -A INPUT -p tcp --syn -j DROP
-
05-01-2009, 17:44 #1
- Ingresso
- Jan 2009
- Posts
- 3
Alguém pôe em ordem meu script? (Resolvido)
Última edição por faelzinho; 07-01-2009 às 08:43. Razão: esqueci do script
-
05-01-2009, 22:31 #2
- Ingresso
- May 2007
- Posts
- 302
Qual é a ordem que você precisa?
Ou melhor...
Quais é a hierarquia de regras que você precisa utilizar?
Exemplo:
Solicitação 8080 »» 192.168.0.52:8080
Solicitação 3389 »» 192.168.0.250:3389
Solicitação 2222 »» 192.168.0.32:22
Solicitação 3362 »» 192.168.1.50:3362
Solicitação 65412 »» NAT
Solicitação 5214 »» NAT
Solicitação 21 »» Negado
Restante das solicitações: 192.168.0.1:3128
abracos
-
06-01-2009, 07:15 #3
- Ingresso
- Jan 2009
- Posts
- 3
entaum ñ entendi muito bem, eu só sei que o firewall segue uma hierarquia
eu to começando agora nessa parte do linux, eu acho que do jeito que as regras
estão elas ñ estão na ordem certa, to meio perdido se é q vc me entende... no
começo essas coisas parecem um bixo de sete cabeças, fico no aguardo... vlw
-
07-01-2009, 08:45 #4
- Ingresso
- Jan 2009
- Posts
- 3
Obrigado pela ajuda man,
deu td certo aki agora...
vlwww
-
18-01-2009, 13:37 #5
- Ingresso
- Apr 2008
- Posts
- 48
Amigos é o seguinte, eu tenho uma lan house e quero usar um proxy cache, tenho 12 makinas, quero usar no Brazilfw 2.31.10 e squid 2.7 stable 3, gostaria de um squid.conf pronto. Uso uma makina amd sempron 1.2 756 de ram e hd 40 gb.
Tenho o interesse de bloquear arquivos de extenções mp3, amv, 3gp, rmvb, quero usar proxy transparente e fazer cahe de arquivos e paginas da net.
Quero usar na faixa de 192.168.0.1 o qual será o gatway darede.
Se alguem poder me ajudar ficarei muto grato e poderei gratifica-lo a cobinar.
Meu msn é [email protected]
Obrigado....
Citação