Dúvidas sobre o firewall !!!!!!

eagm · 18-10-2004, 14:32

Olá pessoal,

Estou com script de firewall, mas ele não está funcionando bem. É o seguinte eu não consigo acessar a minha página fora da instituição. Alguém poderia dá uma olhada no meu script pra ver o que eu estou fazendo de errado. Caso tenha outras correções a fazer, seria de grande ajuda pra mim pessoal !!!

#!/bin/bash

#
# Script de regras do Firewall na ordem: prerouting, depois postrouting, forward, input e output
# Este script considera que o squid roda na mesma maquina do firewall
#

# Variáveis
# -------------------------------------------------------
IPTABLES=/usr/local/sbin/iptables
ETH_EXTERNA=eth1
ETH_INTERNA=eth0

IP_MESA_EXTERNO= xxx.xxx.xxx.xxx
IP_MESA_INTERNO=
IP_NYX_EXTERNO=
IP_NYX_INTERNO=
IP_CRONOS_EXTERNO=
IP_CRONOS_INTERNO=
# Este ip de hermes eh ainda de hades
IP_HERMES_EXTERNO=
IP_HERMES_INTERNO=
IP_HERA_INTERNO=
IP_HERMES_WEB_INTERNO=
IP_HERMES_WEB_EXTERNO=
IP_RAFAEL_INTERNO=
IP_CONFER_EXTERNO=
IP_CONFER_INTERNO=
IP_GTISERVER_INTERNO=
IP_COINFO_EXTERNO=
IP_COINFO_INTERNO=
#IP_COINFO_SUPORTE_EXTERNO=
#IP_COINFO_SUPORTE_INTERNO=
IP_DIONISIO_EXTERNO=
IP_DIONISIO_INTERNO=

# Rede Interna
REDE_INTERNA=10.0.0.0/16

# Ativa módulos
# -------------------------------------------------------
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe iptable_mangle

# Ativa roteamento no kernel
# -------------------------------------------------------
echo "yes" > /proc/sys/net/ipv4/ip_forward

# Proteção contra IP spoofing
# -------------------------------------------------------
echo "yes" > /proc/sys/net/ipv4/conf/all/rp_filter

# Zera regras
# -------------------------------------------------------
$IPTABLES -F
$IPTABLES -X
$IPTABLES -F -t nat
$IPTABLES -X -t nat
$IPTABLES -F -t mangle
$IPTABLES -X -t mangle

# Determina a política padrão
# -------------------------------------------------------
$IPTABLES -P FORWARD DROP

#################################################
# Tabela NAT PREROUTING
#################################################
# Descricao: Regras de Entrada
# Quando os pacotes chegam da Internet com destino aos servidores,
# o prerouting muda o endereco de destino para o ip interno do servidor.

#####################
# ACESSO HERMES_WEB #
#####################

$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_WEB_EXTERNO -p icmp -j DNAT --to-destination $IP_HERMES_WEB_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_WEB_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_HERMES_WEB_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_WEB_EXTERNO -p tcp -m tcp --dport 8080 -j DNAT --to-destination $IP_HERMES_WEB_INTERNO

#################
# ACESSO HERMES #
#################
# Quando hermes se tornar servidor de emails, apagar acesso hermes_web e mudar ip de hermes para ip_hermes_web

$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p icmp -j DNAT --to-destination $IP_HERMES_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_HERMES_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 8080 -j DNAT --to-destination $IP_HERMES_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 25 -j DNAT --to-destination $IP_HERMES_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p udp -m udp --dport 25 -j DNAT --to-destination $IP_HERMES_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 110 -j DNAT --to-destination $IP_HERMES_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p udp -m udp --dport 110 -j DNAT --to-destination $IP_HERMES_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 143 -j DNAT --to-destination $IP_HERMES_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p udp -m udp --dport 143 -j DNAT --to-destination $IP_HERMES_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 22 -j DNAT --to-destination $IP_HERMES_INTERNO

#################
# ACESSO COINFO #
#################

#ASTERIX
#---------------------------------------------------------
$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p icmp -j DNAT --to-destination $IP_COINFO_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_COINFO_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p tcp -m tcp --dport 25 -j DNAT --to-destination $IP_COINFO_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p udp -m udp --dport 25 -j DNAT --to-destination $IP_COINFO_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p tcp -m tcp --dport 110 -j DNAT --to-destination $IP_COINFO_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p udp -m udp --dport 110 -j DNAT --to-destination $IP_COINFO_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p tcp -m tcp --dport 22 -j DNAT --to-destination $IP_COINFO_INTERNO

$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p tcp -m tcp --dport 143 -j DNAT --to-destination $IP_COINFO_INTERNO

$IPTABLES -t nat -A POSTROUTING -s $IP_COINFO_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_COINFO_EXTERNO

#SUPORTE_COINFO
#----------------------------------------------------------
#$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_SUPORTE_EXTERNO -p icmp -j DNAT --to-destination $IP_COINFO_SUPORTE_INTERNO

#$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_SUPORTE_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_COINFO_SUPORTE_INTERNO

#################
# ACESSO CRONOS #
#################

$IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p icmp -j DNAT --to-destination $IP_CRONOS_INTERNO

# Acesso liberado para atualizacao do sistema do CADE pela Qualidata - Rafael, via FTP
$IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p tcp -m tcp --dport 21 -j DNAT --to-destination $IP_CRONOS_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p tcp -m tcp --dport 20 -j DNAT --to-destination $IP_CRONOS_INTERNO

# Servidor http do Cronos
$IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_CRONOS_INTERNO

#MySQL - teste para funcionar as mensagens da pagina - se chegar pedido mysql para IP valido do cronos
$IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p tcp -m tcp --dport 3306 -j DNAT --to-destination $IP_CRONOS_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p udp -m udp --dport 3306 -j DNAT --to-destination $IP_CRONOS_INTERNO

# Terminal Server no Cronos para Rafael
$IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p tcp -m tcp --dport 3389 -j DNAT --to-destination $IP_CRONOS_INTERNO

##############
# ACESSO NYX #
##############

$IPTABLES -t nat -A PREROUTING -d $IP_NYX_EXTERNO -p icmp -j DNAT --to-destination $IP_NYX_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_NYX_EXTERNO -p tcp -m tcp --dport 53 -j DNAT --to-destination $IP_NYX_INTERNO

##################
# ACESSO DIONSIO #
##################

$IPTABLES -t nat -A PREROUTING -d $IP_DIONISIO_EXTERNO -p icmp -j DNAT --to-destination $IP_DIONISIO_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_DIONISIO_EXTERNO -p tcp -m tcp --dport 22 -j DNAT --to-destination $IP_DIONISIO_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_DIONISIO_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_DIONISIO_INTERNO

##################
# ACESSO AQUILES #
##################
# futuro servidor dns

# Proxy transparente
# -------------------------------------------------------
$IPTABLES -t nat -A PREROUTING -i $ETH_INTERNA -s $REDE_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -i $ETH_INTERNA -s $REDE_INTERNA -p tcp --dport 8080 -j REDIRECT --to-port 3128

#################################################
# Tabela NAT POSTROUTING
#################################################
# Descricao: Regras de saida
# Antes do pacote sair para a Internet, o endereco de origem eh mudado do ip interno
# de um servidor para o seu equivalente ip externo

$IPTABLES -t nat -A POSTROUTING -s $IP_HERMES_WEB_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_HERMES_WEB_EXTERNO
$IPTABLES -t nat -A POSTROUTING -s $IP_HERMES_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_HERMES_EXTERNO
$IPTABLES -t nat -A POSTROUTING -s $IP_COINFO_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_COINFO_EXTERNO
#$IPTABLES -t nat -A POSTROUTING -s $IP_COINFO_SUPORTE_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_COINFO_SUPORTE_EXTERNO
$IPTABLES -t nat -A POSTROUTING -s $IP_CRONOS_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_CRONOS_EXTERNO
$IPTABLES -t nat -A POSTROUTING -s $IP_NYX_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_NYX_EXTERNO
$IPTABLES -t nat -A POSTROUTING -s $IP_DIONISIO_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_DIONISIO_EXTERNO

#################################################
# Tabela NAT POSTROUTING MASQUERADE
#################################################
# Descricao: Regras de saida
# Mascara os pacotes dos clientes para sairem para a Internet com o ip externo do firewall

# Liberando faixas de portas para mascarar. Talvez assim diminua a sobrecarga no processador.
# ftp, ssh, smtp, dns, pop3, imap, imap/ssl, pop3/ssl
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 20:995 -j MASQUERADE
# dns/udp
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p udp --dport 53 -j MASQUERADE
# tomcat
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 8080 -j MASQUERADE
# icmp (ping, traceroute, etc)
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p icmp -j MASQUERADE

##################################
# 17 regras foram trocadas por 4 #

# tráfego http
#$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 80 -j MASQUERADE
#$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 80 -j ACCEPT
# Smtp
#$IPTABLES -t nat -A POSTROUTING -s $IP_HERMES_INTERNO -o $ETH_EXTERNA -p tcp --dport 25 -j MASQUERADE
#$IPTABLES -t nat -A POSTROUTING -s $IP_COINFO_INTERNO -o $ETH_EXTERNA -p tcp --dport 25 -j MASQUERADE
# Pop3
#$IPTABLES -t nat -A POSTROUTING -s $IP_HERMES_INTERNO -o $ETH_EXTERNA -p tcp --sport 110 -j MASQUERADE
#$IPTABLES -t nat -A POSTROUTING -s $IP_COINFO_INTERNO -o $ETH_EXTERNA -p tcp --sport 110 -j MASQUERADE
# ssl - https
#$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 443 -j MASQUERADE
# DNS - tcp e udp
#$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 53 -j MASQUERADE
#$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p udp --dport 53 -j MASQUERADE
# Se o cronos responder mysql para a Internet (se for por cronos, este trafego saira com o ip exteno de cronos)
#$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 3306 -j MASQUERADE
# Tomcat
#$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 8080 -j MASQUERADE
# ssh
#$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 22 -j MASQUERADE
# ftp
#$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 20 -j MASQUERADE
#$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 21 -j MASQUERADE
# imap
#$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 143 -j MASQUERADE
# imap4 sobre TSL/SSL
#$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 993 -j MASQUERADE
# Pop3 sobre TSL/SSL
#$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 995 -j MASQUERADE
# icmp (ping, traceroute, etc)
#$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p icmp -j MASQUERADE
################################# este bloco podera vir a ser apagado

########################################
# programas que utilizam outras portas #

# emulador do JavaNet (PORTA 3001) - Recursos Humanos
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 3001 -j MASQUERADE

# emulador do SERPRO (PORTA 23000) - Financeiro
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 23000 -j MASQUERADE

# COB-CAIXA (PORTA 3005) - de IP 10.0.2.53
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 3005 -j MASQUERADE

# Receitanet (PORTAS 1027, 1186, 1288) - COPERCRED
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1027 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1186 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1288 -j MASQUERADE

# Terminal Service (PORTA 3389) - Rafael da Qualidata
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 3389 -j MASQUERADE

# Conectividade Social - CEF (PORTA 2631) - COPERCRED
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 2631 -j MASQUERADE

# SISBACEN (PORTAS 5024, 1024) - COPERCRED
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 5024 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1024 -j MASQUERADE

# servidor de e-mail SICOOBNE (1599) - COPERCRED
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1599 -j MASQUERADE

# CAIXA-FOLHA (PORTAS 1035, 1693:1697, 1700, 3563:3569) -
# 2 computadores da embratel respondem pelo sistema: 200.244.109.83 e 172.165.157.64(porta 1035)
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1035 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1693:1697 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1700 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -d 200.244.109.83 -o $ETH_EXTERNA -p tcp --dport 3563:3569 -j MASQUERADE
########################################

###########
# FORWARD #
###########

# resposta do HERA a requisicao de DHCP
$IPTABLES -A FORWARD -p udp -s $IP_HERA_INTERNO --sport 67 -j ACCEPT

#http

$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 80 -d $REDE_INTERNA -j ACCEPT

$IPTABLES -A FORWARD -p udp -s $REDE_INTERNA --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s ! $REDE_INTERNA --sport 80 -d $REDE_INTERNA -j ACCEPT

# smtp
# Liberar so vindo de hermes e da coinfo
# Protege contra engines smtp que mandam emails de maquinas da instituição

# Mandar smtp (hermes)
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_HERMES_INTERNO --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $IP_HERMES_INTERNO --dport 25 -j ACCEPT

# Mandar smtp (coinfo)
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_COINFO_INTERNO --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $IP_COINFO_INTERNO --dport 25 -j ACCEPT

# Receber smtp (hermes)
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 25 -d $IP_HERMES_INTERNO -j ACCEPT

# Receber smtp (coinfo)
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 25 -d $IP_COINFO_INTERNO -j ACCEPT

# Para usuarios usarem os emails da instituição com outlook:
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --sport 25 -d $IP_HERMES_INTERNO -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --sport 25 -d $IP_COINFO_INTERNO -j ACCEPT

# smtp de outro provedor somente para Rafael
$IPTABLES -A FORWARD -p tcp -s $IP_RAFAEL_INTERNO --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 25 -d $IP_RAFAEL_INTERNO -j ACCEPT
# Fim - Quando ele for embora, comentar estas linhas

# pop3 (hermes)
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_HERMES_INTERNO --dport 110 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 110 -d $IP_HERMES_INTERNO -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $IP_HERMES_INTERNO --sport 110 -j ACCEPT

# pop3 (coinfo)
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_COINFO_INTERNO --dport 110 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 110 -d $IP_COINFO_INTERNO -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $IP_COINFO_INTERNO --sport 110 -j ACCEPT

# pop3 de outro provedor somente para Rafael
$IPTABLES -A FORWARD -p tcp -s $IP_RAFAEL_INTERNO --dport 110 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 110 -d $IP_RAFAEL_INTERNO -j ACCEPT
# Fim - Quando ele for embora, comentar estas linhas

# ssl - https
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 443 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 443 -d $REDE_INTERNA -j ACCEPT

# mysql de hermes_web para cronos (acesso as mensagens da pagina da isntituicão)
$IPTABLES -A FORWARD -p tcp -d $IP_CRONOS_INTERNO -s $IP_HERMES_WEB_INTERNO --dport 3306 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $IP_CRONOS_EXTERNO -s $IP_HERMES_WEB_EXTERNO --dport 3306 -j ACCEPT
$IPTABLES -A FORWARD -p udp -d $IP_CRONOS_INTERNO -s $IP_HERMES_WEB_INTERNO --dport 3306 -j ACCEPT
$IPTABLES -A FORWARD -p udp -d $IP_CRONOS_EXTERNO -s $IP_HERMES_WEB_EXTERNO --dport 3306 -j ACCEPT

# mysql de cronos para hermes_web (acesso as mensagens da pagina da instituição)
$IPTABLES -A FORWARD -p tcp -s $IP_CRONOS_INTERNO -d $IP_HERMES_WEB_INTERNO --sport 3306 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s $IP_CRONOS_INTERNO -d $IP_HERMES_WEB_EXTERNO --sport 3306 -j ACCEPT

# dns - tcp e udp
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 53 -d $REDE_INTERNA -j ACCEPT

$IPTABLES -A FORWARD -p udp -s $REDE_INTERNA --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s ! $REDE_INTERNA --sport 53 -d $REDE_INTERNA -j ACCEPT

# dns - para hera responder a consulta dns interno
$IPTABLES -A FORWARD -p tcp -s $IP_HERA_INTERNO --sport 53 -d $REDE_INTERNA -j ACCEPT
$IPTABLES -A FORWARD -p udp -s $IP_HERA_INTERNO --sport 53 -d $REDE_INTERNA -j ACCEPT

# tomcat - 8080
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 8080 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 8080 -d $REDE_INTERNA -j ACCEPT

# ssh
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 22 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 22 -d $REDE_INTERNA -j ACCEPT

# ftp - portas 20 e 21
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 20 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 20 -d $REDE_INTERNA -j ACCEPT

$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 21 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 21 -d $REDE_INTERNA -j ACCEPT

# imap
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 143 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 143 -d $REDE_INTERNA -j ACCEPT

# imap4 sobre TSL/SSL
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 993 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 993 -d $REDE_INTERNA -j ACCEPT

# pop3 sobre TSL/SSL (hermes)
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_HERMES_INTERNO --dport 995 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 995 -d $IP_HERMES_INTERNO -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $IP_HERMES_INTERNO --sport 995 -j ACCEPT

# pop3 sobre TSL/SSL (coinfo)
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_COINFO_INTERNO --dport 995 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 995 -d $IP_COINFO_INTERNO -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $IP_COINFO_INTERNO --sport 995 -j ACCEPT

# icmp (ping, traceroute, etc)
$IPTABLES -A FORWARD -p icmp -s $REDE_INTERNA -j ACCEPT
$IPTABLES -A FORWARD -p icmp -s ! $REDE_INTERNA -d $REDE_INTERNA -j ACCEPT

########################################
# programas que utilizam outras portas #

# emulador do JavaNet - Recursos Humanos
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 3001 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 3001 -d $REDE_INTERNA -j ACCEPT

# emulador do SERPRO - Financeiro
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 23000 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 23000 -d $REDE_INTERNA -j ACCEPT

# COB-CAIXA -
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d 200.231.155.65 --dport 3005 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s 200.231.155.65 --sport 3005 -d $REDE_INTERNA -j ACCEPT

# Receitanet - COPERCRED
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 1027 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 1186 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 1288 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 1027 -d $REDE_INTERNA -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 1186 -d $REDE_INTERNA -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 1288 -d $REDE_INTERNA -j ACCEPT

# Terminal Service - Rafael da Qualidata
$IPTABLES -A FORWARD -p tcp -s $IP_RAFAEL_INTERNO --dport 3389 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 3389 -d $IP_RAFAEL_INTERNO -j ACCEPT

# Conectividade Social - COPERCRED
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 2631 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 2631 -d $REDE_INTERNA -j ACCEPT

# SISBACEN - COPERCRED
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 5024 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 1024 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 5024 -d $REDE_INTERNA -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 1024 -d $REDE_INTERNA -j ACCEPT

# servidor de e-mail SICOOBNE - COPERCRED
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 1599 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 1599 -d $REDE_INTERNA -j ACCEPT

# CAIXA-FOLHA (hospedado na embratel - 200.244.109.83) -
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d 200.244.109.83 --dport 3563:3569 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 1035 -d $REDE_INTERNA -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 1693:1697 -d $REDE_INTERNA -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 1700 -d $REDE_INTERNA -j ACCEPT
###################################################

# Protecoes

# Dropa pacotes TCP indesejáveis
$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FWALL:NEW semsyn: "
$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

# contra worms
$IPTABLES -A FORWARD -p tcp --dport 135 -i $ETH_INTERNA -j REJECT

# syn-flood
$IPTABLES -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT

# contra ping da morte
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Aceita os pacotes que realmente devem entrar
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

#########
# INPUT #
#########

# dns secundario da Embratel baixar zonas do dns primario do que esta no firewall
# Se a politica de input for drop, apenas estas regras nao sao suficientes, nem as de output
$IPTABLES -A INPUT -s 200.255.125.214 -p tcp --sport 53 -j ACCEPT
$IPTABLES -A INPUT -s 200.255.125.214 -p udp --sport 53 -j ACCEPT
$IPTABLES -A INPUT -s 200.255.125.211 -p tcp --sport 53 -j ACCEPT
$IPTABLES -A INPUT -s 200.255.125.211 -p udp --sport 53 -j ACCEPT

# para descobrir todos os protocolos e portas usados na transferencia de zonas
$IPTABLES -A INPUT -s 200.255.125.211 -j ACCEPT
$IPTABLES -A INPUT -s 200.255.125.211 -j LOG --log-level debug
$IPTABLES -A INPUT -s 200.255.125.214 -j ACCEPT
$IPTABLES -A INPUT -s 200.255.125.214 -j LOG --log-level debug

# ssh de dentro
$IPTABLES -A INPUT -i $ETH_INTERNA -p tcp --dport 22 -j ACCEPT

# ssh de fora negado - tem que entrar de fora por dionisio
$IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 22 -j DROP

# icmp (pings...)
$IPTABLES -A INPUT -i $ETH_INTERNA -p icmp -j ACCEPT
$IPTABLES -A INPUT -i $ETH_EXTERNA -p icmp -j ACCEPT

# telnet
$IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 23 -j DROP

# 3128 - Squid
$IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 3128 -j DROP
$IPTABLES -A INPUT -i $ETH_EXTERNA -p udp --dport 3128 -j DROP

# Telnet
$IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 23 -j DROP

# 8080 - Squid em outras configuracoes
$IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 8080 -j DROP
$IPTABLES -A INPUT -i $ETH_EXTERNA -p udp --dport 8080 -j DROP

# 1080 - Socks
$IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 1080 -j DROP
$IPTABLES -A INPUT -i $ETH_EXTERNA -p udp --dport 1080 -j DROP

# netbios - bloquear conexoes pelas portas 137, 138 e 139 atraves da
# interface externa - netbios
$IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --sport 137 -j DROP
$IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 137 -j DROP
$IPTABLES -A INPUT -i $ETH_EXTERNA -p udp --sport 137 -j DROP
$IPTABLES -A INPUT -i $ETH_EXTERNA -p udp --dport 137 -j DROP

# Proteção contra port scanners
$IPTABLES -N SCANNER
$IPTABLES -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FWALL

ortscanner:"
$IPTABLES -A SCANNER -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $ETH_EXTERNA -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -i $ETH_EXTERNA -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -i $ETH_EXTERNA -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $ETH_EXTERNA -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $ETH_EXTERNA -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $ETH_EXTERNA -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $ETH_EXTERNA -j SCANNER

# Dropa pacotes mal formados
#$IPTABLES -A INPUT -i $ETH_EXTERNA -m unclean -j LOG --log-level 6 --log-prefix "FWALL

acote malformado:"
#$IPTABLES -A INPUT -i $ETH_EXTERNA -m unclean -j DROP

# Aceita os pacotes que realmente devem entrar
$IPTABLES -A INPUT -i ! $ETH_EXTERNA -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Protecao contra trinoo
$IPTABLES -N TRINOO
$IPTABLES -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FWALL: trinoo: "
$IPTABLES -A TRINOO -j DROP
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 27444 -j TRINOO
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 27665 -j TRINOO
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 31335 -j TRINOO
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 34555 -j TRINOO
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 35555 -j TRINOO

# Protecao contra tronjans
$IPTABLES -N TROJAN
$IPTABLES -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FWALL: trojan: "
$IPTABLES -A TROJAN -j DROP
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 666 -j TROJAN
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 666 -j TROJAN
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 4000 -j TROJAN
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 6000 -j TROJAN
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 6006 -j TROJAN
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 16660 -j TROJAN

##########
# OUTPUT #
##########

# dns da embratel baixar a zona do dns primario que esta em ares
# se a politica de output estiver drop, estas regras nao sao suficientes, nem as e input

$IPTABLES -A OUTPUT -d 200.255.125.211 -p tcp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -d 200.255.125.214 -p tcp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -d 200.255.125.211 -p udp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -d 200.255.125.214 -p udp --dport 53 -j ACCEPT

# para descobrir todos os protocolos e portas usadas na transferencia de zona
$IPTABLES -A OUTPUT -d 200.255.125.211 -j ACCEPT
$IPTABLES -A OUTPUT -d 200.255.125.211 -j LOG --log-level debug
$IPTABLES -A OUTPUT -d 200.255.125.214 -j ACCEPT
$IPTABLES -A OUTPUT -d 200.255.125.214 -j LOG --log-level debug

# Aceita pacotes que realmente podem sair
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

Desde já agradeço pela atenção prestada

Dúvidas sobre o firewall !!!!!!

Ferramentas de Tópicos

Dúvidas sobre o firewall !!!!!!