+ Responder ao Tópico



  1. #1
    Notielc
    Visitante

    Padrão Firewall

    Bom dia galera, queria uma ajudinha, criei esse firewall, mas sinceramente naum entendi muito a minha intenção é fechar todas as portas e liberar algumas, e tb compartilhar a net e ser servidor de DNS.
    Por favor olhem e me ajudem...

    muito obrigado



    # Iptables - 1.0
    # Cleiton Martins Borges [email protected]
    # Criado em 11/07/2002

    #!/bin/sh

    # Setando Variavel
    IP_MAQ="192.168.1.15"
    TROJAN_PORTS_TCP="12345:12346:1524:27665:31337"
    TROJAN_PORTS_UDP="12345:12346:27444:31335:31337"
    FORWARD_PORTS="21:22:23:25:79:80:81:110:119:53:15000:8080:5631:5632:194:443"
    TCP_IN="22,80,5631,5632,8080"
    TCP_SERVICES_OUT_INT_IF="22,80,5631"
    TCP_SERVICES_OUT_EXT_IF="21,22,80,119,5631"

    #Ativando o roteamento
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #Carregando o modulo
    modprobe ip_tables
    modprobe ipt_MASQUERADE
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp

    #Limpando Politicas anteriores
    iptables -F
    iptables -t nat -F

    #Negando as Politicas
    iptables -P FORWARD DROP
    iptables -P INPUT ACCEPT
    iptables -t nat -P POSTROUTING DROP

    #Regras de Firewall

    # (PREROUNTING)
    iptables -t nat -A PREROUTING -p tcp -d 200.153.222.88 --dport 5631 -j DNAT --to $IP_MAQ:5631
    iptables -t nat -A PREROUTING -p udp -d 200.153.222.88 --dport 5632 -j DNAT --to $IP_MAQ:5632
    #iptables -t nat -A PREROUTING -p tcp -d 200.153.222.88 --dport 15000 -j DNAT --to 192.168.1.10:15000
    iptables -t nat -A PREROUTING -p tcp -d 200.153.222.88 --dport 80 -j DNAT --to 192.168.1.22:8080
    #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8081
    # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 20:21 -j DNAT --to 200.153.222.88
    #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128


    # (POSTROUNTIG)
    iptables -t nat -A POSTROUTING -j MASQUERADE
    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
    iptables -t nat -A POSTROUTING -d 192.168.1.0/24 -j MASQUERADE


    # (FORWARD)
    iptables -A FORWARD -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
    iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT
    #iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
    #iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    #iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
    #iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT
    #iptables -A FORWARD -m unclean -j DROP


    # (INPUT)


    iptables -A INPUT -p tcp --dport 5631 -j ACCEPT
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp --dport 53 -j ACCEPT
    iptables -A INPUT -p udp --dport 5632 -j ACCEPT
    iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 25 -j ACCEPT
    iptables -A INPUT -p tcp --dport 110 -j ACCEPT
    iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
    iptables -A INPUT -p tcp --dport 953 -j ACCEPT
    iptables -A INPUT -p tcp --dport 111 -j ACCEPT
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
    iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT
    #iptables -A INPUT -p tcp -tcp-flags SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT
    iptables -A INPUT -m unclean -j DROP
    iptables -A INPUT -p tcp --syn -j DROP



    <IMG SRC="images/forum/icons/icon_biggrin.gif"> <IMG SRC="images/forum/icons/icon_biggrin.gif"> <IMG SRC="images/forum/icons/icon_biggrin.gif">

  2. #2

    Padrão Firewall


    Nao sei nao amigo, as vezes voce esta asendo meio redudante e ao mesmo ponto incoerente em algumas regras no meu ponto de vista.

    por exemplo:

    voce diz que a politica default de input e accept e depois faz varios accepts la embaixo como se ela fosse drop, mude para drop no caso.

    nao vou falar nada dos seus redirects nao sei como esta a sua rede.

    entretanto para que um DROP na postrouting?

    comece com uma politica simples, e tambem voce nao esta usando nenhuma politica que verifique as conexoes relacionadas e mesmo assim carrega o modulo para a mesma (conntrack)

    seja mais simples, comece com uma input em DROP e forward em ACCEPT, faca o masquerade e veja se funciona.

    funcionou , beleza, entao passe para a segunda parte, ponha o forward em drop e libere so para quem voce realmente quer.

    depois disso redondo faca os DNAT e SNAT necessarios.