- Firewall (DÚVIDAS) !!!!
+ Responder ao Tópico
-
Firewall (DÚVIDAS) !!!!
Olá pessoal,
Estou com uma dúvida referente ao firewall , eu fiz essa regras que estão aí abaixo mas porém não estão funcionando como eu queria !!!
Alguém poderia dar uma olhada pra ver no que é que eu tô errando. ]
Me ajudaria muito, pois não tenho muita experiência no assunto !!!
#!/bin/bash
#
# Script de regras do Firewall na ordem: prerouting, depois postrouting, forward, input e output
# Este script considera que o squid roda na mesma maquina do firewall
#
# Variáveis
# -------------------------------------------------------
IPTABLES=/usr/local/sbin/iptables
ETH_EXTERNA=eth1
ETH_INTERNA=eth0
IP_MESA_EXTERNO= xxx.xxx.xxx.xxx
IP_MESA_INTERNO=
IP_NYX_EXTERNO=
IP_NYX_INTERNO=
IP_CRONOS_EXTERNO=
IP_CRONOS_INTERNO=
# Este ip de hermes eh ainda de hades
IP_HERMES_EXTERNO=
IP_HERMES_INTERNO=
IP_HERA_INTERNO=
IP_HERMES_WEB_INTERNO=
IP_HERMES_WEB_EXTERNO=
IP_RAFAEL_INTERNO=
IP_CONFER_EXTERNO=
IP_CONFER_INTERNO=
IP_GTISERVER_INTERNO=
IP_COINFO_EXTERNO=
IP_COINFO_INTERNO=
#IP_COINFO_SUPORTE_EXTERNO=
#IP_COINFO_SUPORTE_INTERNO=
IP_DIONISIO_EXTERNO=
IP_DIONISIO_INTERNO=
# Rede Interna
REDE_INTERNA=10.0.0.0/16
# Ativa módulos
# -------------------------------------------------------
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe iptable_mangle
# Ativa roteamento no kernel
# -------------------------------------------------------
echo "yes" > /proc/sys/net/ipv4/ip_forward
# Proteção contra IP spoofing
# -------------------------------------------------------
echo "yes" > /proc/sys/net/ipv4/conf/all/rp_filter
# Zera regras
# -------------------------------------------------------
$IPTABLES -F
$IPTABLES -X
$IPTABLES -F -t nat
$IPTABLES -X -t nat
$IPTABLES -F -t mangle
$IPTABLES -X -t mangle
# Determina a política padrão
# -------------------------------------------------------
$IPTABLES -P FORWARD DROP
#################################################
# Tabela NAT PREROUTING
#################################################
#####################
# ACESSO HERMES_WEB #
#####################
$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_WEB_EXTERNO -p icmp -j DNAT --to-destination $IP_HERMES_WEB_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_WEB_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_HERMES_WEB_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_WEB_EXTERNO -p tcp -m tcp --dport 8080 -j DNAT --to-destination $IP_HERMES_WEB_INTERNO
#################
# ACESSO HERMES #
#################
$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p icmp -j DNAT --to-destination $IP_HERMES_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_HERMES_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 8080 -j DNAT --to-destination $IP_HERMES_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 25 -j DNAT --to-destination $IP_HERMES_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p udp -m udp --dport 25 -j DNAT --to-destination $IP_HERMES_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 110 -j DNAT --to-destination $IP_HERMES_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p udp -m udp --dport 110 -j DNAT --to-destination $IP_HERMES_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 143 -j DNAT --to-destination $IP_HERMES_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p udp -m udp --dport 143 -j DNAT --to-destination $IP_HERMES_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_HERMES_EXTERNO -p tcp -m tcp --dport 22 -j DNAT --to-destination $IP_HERMES_INTERNO
#################
# ACESSO COINFO #
#################
#ASTERIX
#---------------------------------------------------------
$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p icmp -j DNAT --to-destination $IP_COINFO_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_COINFO_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p tcp -m tcp --dport 25 -j DNAT --to-destination $IP_COINFO_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p udp -m udp --dport 25 -j DNAT --to-destination $IP_COINFO_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p tcp -m tcp --dport 110 -j DNAT --to-destination $IP_COINFO_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p udp -m udp --dport 110 -j DNAT --to-destination $IP_COINFO_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p tcp -m tcp --dport 22 -j DNAT --to-destination $IP_COINFO_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_EXTERNO -p tcp -m tcp --dport 143 -j DNAT --to-destination $IP_COINFO_INTERNO
$IPTABLES -t nat -A POSTROUTING -s $IP_COINFO_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_COINFO_EXTERNO
#SUPORTE_COINFO
#----------------------------------------------------------
#$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_SUPORTE_EXTERNO -p icmp -j DNAT --to-destination $IP_COINFO_SUPORTE_INTERNO
#$IPTABLES -t nat -A PREROUTING -d $IP_COINFO_SUPORTE_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_COINFO_SUPORTE_INTERNO
#################
# ACESSO CRONOS #
#################
$IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p icmp -j DNAT --to-destination $IP_CRONOS_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p tcp -m tcp --dport 21 -j DNAT --to-destination $IP_CRONOS_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p tcp -m tcp --dport 20 -j DNAT --to-destination $IP_CRONOS_INTERNO
# Servidor http do Cronos
$IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_CRONOS_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p tcp -m tcp --dport 3306 -j DNAT --to-destination $IP_CRONOS_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p udp -m udp --dport 3306 -j DNAT --to-destination $IP_CRONOS_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_CRONOS_EXTERNO -p tcp -m tcp --dport 3389 -j DNAT --to-destination $IP_CRONOS_INTERNO
##############
# ACESSO NYX #
##############
$IPTABLES -t nat -A PREROUTING -d $IP_NYX_EXTERNO -p icmp -j DNAT --to-destination $IP_NYX_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_NYX_EXTERNO -p tcp -m tcp --dport 53 -j DNAT --to-destination $IP_NYX_INTERNO
##################
# ACESSO DIONSIO #
##################
$IPTABLES -t nat -A PREROUTING -d $IP_DIONISIO_EXTERNO -p icmp -j DNAT --to-destination $IP_DIONISIO_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_DIONISIO_EXTERNO -p tcp -m tcp --dport 22 -j DNAT --to-destination $IP_DIONISIO_INTERNO
$IPTABLES -t nat -A PREROUTING -d $IP_DIONISIO_EXTERNO -p tcp -m tcp --dport 80 -j DNAT --to-destination $IP_DIONISIO_INTERNO
##################
# ACESSO AQUILES #
##################
# Proxy transparente
# -------------------------------------------------------
$IPTABLES -t nat -A PREROUTING -i $ETH_INTERNA -s $REDE_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -i $ETH_INTERNA -s $REDE_INTERNA -p tcp --dport 8080 -j REDIRECT --to-port 3128
#################################################
# Tabela NAT POSTROUTING
#################################################
$IPTABLES -t nat -A POSTROUTING -s $IP_HERMES_WEB_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_HERMES_WEB_EXTERNO
$IPTABLES -t nat -A POSTROUTING -s $IP_HERMES_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_HERMES_EXTERNO
$IPTABLES -t nat -A POSTROUTING -s $IP_COINFO_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_COINFO_EXTERNO
#$IPTABLES -t nat -A POSTROUTING -s $IP_COINFO_SUPORTE_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_COINFO_SUPORTE_EXTERNO
$IPTABLES -t nat -A POSTROUTING -s $IP_CRONOS_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_CRONOS_EXTERNO
$IPTABLES -t nat -A POSTROUTING -s $IP_NYX_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_NYX_EXTERNO
$IPTABLES -t nat -A POSTROUTING -s $IP_DIONISIO_INTERNO -o $ETH_EXTERNA -j SNAT --to-source $IP_DIONISIO_EXTERNO
#################################################
# Tabela NAT POSTROUTING MASQUERADE
#################################################
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 20:995 -j MASQUERADE
# dns/udp
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p udp --dport 53 -j MASQUERADE
# tomcat
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 8080 -j MASQUERADE
# icmp (ping, traceroute, etc)
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p icmp -j MASQUERADE
########################################
# programas que utilizam outras portas #
# emulador do JavaNet (PORTA 3001) - Recursos Humanos
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 3001 -j MASQUERADE
# emulador do SERPRO (PORTA 23000) - Financeiro
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 23000 -j MASQUERADE
# COB-CAIXA (PORTA 3005) - de IP 10.0.2.53
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 3005 -j MASQUERADE
# Receitanet (PORTAS 1027, 1186, 1288) - COPERCRED
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1027 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1186 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1288 -j MASQUERADE
# Terminal Service (PORTA 3389) - Rafael da Qualidata
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 3389 -j MASQUERADE
# Conectividade Social - CEF (PORTA 2631) - COPERCRED
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 2631 -j MASQUERADE
# SISBACEN (PORTAS 5024, 1024) - COPERCRED
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 5024 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1024 -j MASQUERADE
# servidor de e-mail SICOOBNE (1599) - COPERCRED
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1599 -j MASQUERADE
# CAIXA-FOLHA (PORTAS 1035, 1693:1697, 1700, 3563:3569) -
# 2 computadores da embratel respondem pelo sistema: 200.244.109.83 e 172.165.157.64(porta 1035)
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1035 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1693:1697 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $ETH_EXTERNA -p tcp --dport 1700 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -d 200.244.109.83 -o $ETH_EXTERNA -p tcp --dport 3563:3569 -j MASQUERADE
########################################
###########
# FORWARD #
###########
# resposta do HERA a requisicao de DHCP
$IPTABLES -A FORWARD -p udp -s $IP_HERA_INTERNO --sport 67 -j ACCEPT
#http
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 80 -d $REDE_INTERNA -j ACCEPT
$IPTABLES -A FORWARD -p udp -s $REDE_INTERNA --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s ! $REDE_INTERNA --sport 80 -d $REDE_INTERNA -j ACCEPT
# Mandar smtp (hermes)
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_HERMES_INTERNO --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $IP_HERMES_INTERNO --dport 25 -j ACCEPT
# Mandar smtp (coinfo)
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_COINFO_INTERNO --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $IP_COINFO_INTERNO --dport 25 -j ACCEPT
# Receber smtp (hermes)
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 25 -d $IP_HERMES_INTERNO -j ACCEPT
# Receber smtp (coinfo)
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 25 -d $IP_COINFO_INTERNO -j ACCEPT
# Para usuarios usarem os emails da instituição com outlook:
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --sport 25 -d $IP_HERMES_INTERNO -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --sport 25 -d $IP_COINFO_INTERNO -j ACCEPT
# smtp de outro provedor somente para Rafael
$IPTABLES -A FORWARD -p tcp -s $IP_RAFAEL_INTERNO --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 25 -d $IP_RAFAEL_INTERNO -j ACCEPT
# Fim - Quando ele for embora, comentar estas linhas
# pop3 (hermes)
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_HERMES_INTERNO --dport 110 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 110 -d $IP_HERMES_INTERNO -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $IP_HERMES_INTERNO --sport 110 -j ACCEPT
# pop3 (coinfo)
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_COINFO_INTERNO --dport 110 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 110 -d $IP_COINFO_INTERNO -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $IP_COINFO_INTERNO --sport 110 -j ACCEPT
# pop3 de outro provedor somente para Rafael
$IPTABLES -A FORWARD -p tcp -s $IP_RAFAEL_INTERNO --dport 110 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 110 -d $IP_RAFAEL_INTERNO -j ACCEPT
# Fim - Quando ele for embora, comentar estas linhas
# ssl - https
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 443 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 443 -d $REDE_INTERNA -j ACCEPT
# mysql de hermes_web para cronos (acesso as mensagens da pagina da isntituicão)
$IPTABLES -A FORWARD -p tcp -d $IP_CRONOS_INTERNO -s $IP_HERMES_WEB_INTERNO --dport 3306 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $IP_CRONOS_EXTERNO -s $IP_HERMES_WEB_EXTERNO --dport 3306 -j ACCEPT
$IPTABLES -A FORWARD -p udp -d $IP_CRONOS_INTERNO -s $IP_HERMES_WEB_INTERNO --dport 3306 -j ACCEPT
$IPTABLES -A FORWARD -p udp -d $IP_CRONOS_EXTERNO -s $IP_HERMES_WEB_EXTERNO --dport 3306 -j ACCEPT
# mysql de cronos para hermes_web (acesso as mensagens da pagina da instituição)
$IPTABLES -A FORWARD -p tcp -s $IP_CRONOS_INTERNO -d $IP_HERMES_WEB_INTERNO --sport 3306 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s $IP_CRONOS_INTERNO -d $IP_HERMES_WEB_EXTERNO --sport 3306 -j ACCEPT
# dns - tcp e udp
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 53 -d $REDE_INTERNA -j ACCEPT
$IPTABLES -A FORWARD -p udp -s $REDE_INTERNA --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s ! $REDE_INTERNA --sport 53 -d $REDE_INTERNA -j ACCEPT
# dns - para hera responder a consulta dns interno
$IPTABLES -A FORWARD -p tcp -s $IP_HERA_INTERNO --sport 53 -d $REDE_INTERNA -j ACCEPT
$IPTABLES -A FORWARD -p udp -s $IP_HERA_INTERNO --sport 53 -d $REDE_INTERNA -j ACCEPT
# tomcat - 8080
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 8080 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 8080 -d $REDE_INTERNA -j ACCEPT
# ssh
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 22 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 22 -d $REDE_INTERNA -j ACCEPT
# ftp - portas 20 e 21
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 20 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 20 -d $REDE_INTERNA -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 21 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 21 -d $REDE_INTERNA -j ACCEPT
# imap
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 143 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 143 -d $REDE_INTERNA -j ACCEPT
# imap4 sobre TSL/SSL
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 993 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 993 -d $REDE_INTERNA -j ACCEPT
# pop3 sobre TSL/SSL (hermes)
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_HERMES_INTERNO --dport 995 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 995 -d $IP_HERMES_INTERNO -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $IP_HERMES_INTERNO --sport 995 -j ACCEPT
# pop3 sobre TSL/SSL (coinfo)
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d $IP_COINFO_INTERNO --dport 995 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 995 -d $IP_COINFO_INTERNO -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $IP_COINFO_INTERNO --sport 995 -j ACCEPT
# icmp (ping, traceroute, etc)
$IPTABLES -A FORWARD -p icmp -s $REDE_INTERNA -j ACCEPT
$IPTABLES -A FORWARD -p icmp -s ! $REDE_INTERNA -d $REDE_INTERNA -j ACCEPT
########################################
# programas que utilizam outras portas #
# emulador do JavaNet - Recursos Humanos
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 3001 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 3001 -d $REDE_INTERNA -j ACCEPT
# emulador do SERPRO - Financeiro
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 23000 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s ! $REDE_INTERNA --sport 23000 -d $REDE_INTERNA -j ACCEPT
# COB-CAIXA -
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA -d 200.231.155.65 --dport 3005 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s 200.231.155.65 --sport 3005 -d $REDE_INTERNA -j ACCEPT
# Receitanet - COPERCRED
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 1027 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 1186 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 1288 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 1027 -d $REDE_INTERNA -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 1186 -d $REDE_INTERNA -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 1288 -d $REDE_INTERNA -j ACCEPT
# Terminal Service - Rafael da Qualidata
$IPTABLES -A FORWARD -p tcp -s $IP_RAFAEL_INTERNO --dport 3389 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 3389 -d $IP_RAFAEL_INTERNO -j ACCEPT
# Conectividade Social - COPERCRED
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 2631 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 2631 -d $REDE_INTERNA -j ACCEPT
# SISBACEN - COPERCRED
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 5024 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 1024 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 5024 -d $REDE_INTERNA -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 1024 -d $REDE_INTERNA -j ACCEPT
# servidor de e-mail SICOOBNE - COPERCRED
$IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 1599 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 1599 -d $REDE_INTERNA -j ACCEPT
# Protecoes
# Dropa pacotes TCP indesejáveis
$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FWALL:NEW semsyn: "
$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
# contra worms
$IPTABLES -A FORWARD -p tcp --dport 135 -i $ETH_INTERNA -j REJECT
# syn-flood
$IPTABLES -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT
# contra ping da morte
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Aceita os pacotes que realmente devem entrar
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
#########
# INPUT #
#########
# ssh de dentro
$IPTABLES -A INPUT -i $ETH_INTERNA -p tcp --dport 22 -j ACCEPT
# ssh de fora negado - tem que entrar de fora por dionisio
$IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 22 -j DROP
# icmp (pings...)
$IPTABLES -A INPUT -i $ETH_INTERNA -p icmp -j ACCEPT
$IPTABLES -A INPUT -i $ETH_EXTERNA -p icmp -j ACCEPT
# telnet
$IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 23 -j DROP
# 3128 - Squid
$IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 3128 -j DROP
$IPTABLES -A INPUT -i $ETH_EXTERNA -p udp --dport 3128 -j DROP
# Telnet
$IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 23 -j DROP
# 8080 - Squid em outras configuracoes
$IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 8080 -j DROP
$IPTABLES -A INPUT -i $ETH_EXTERNA -p udp --dport 8080 -j DROP
# 1080 - Socks
$IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 1080 -j DROP
$IPTABLES -A INPUT -i $ETH_EXTERNA -p udp --dport 1080 -j DROP
# netbios - bloquear conexoes pelas portas 137, 138 e 139 atraves da
# interface externa - netbios
$IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --sport 137 -j DROP
$IPTABLES -A INPUT -i $ETH_EXTERNA -p tcp --dport 137 -j DROP
$IPTABLES -A INPUT -i $ETH_EXTERNA -p udp --sport 137 -j DROP
$IPTABLES -A INPUT -i $ETH_EXTERNA -p udp --dport 137 -j DROP
# Proteção contra port scanners
$IPTABLES -N SCANNER
$IPTABLES -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FWALL
ortscanner:"
$IPTABLES -A SCANNER -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $ETH_EXTERNA -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -i $ETH_EXTERNA -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -i $ETH_EXTERNA -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $ETH_EXTERNA -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $ETH_EXTERNA -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $ETH_EXTERNA -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $ETH_EXTERNA -j SCANNER
# Dropa pacotes mal formados
#$IPTABLES -A INPUT -i $ETH_EXTERNA -m unclean -j LOG --log-level 6 --log-prefix "FWALLacote malformado:"
#$IPTABLES -A INPUT -i $ETH_EXTERNA -m unclean -j DROP
# Aceita os pacotes que realmente devem entrar
$IPTABLES -A INPUT -i ! $ETH_EXTERNA -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Protecao contra trinoo
$IPTABLES -N TRINOO
$IPTABLES -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FWALL: trinoo: "
$IPTABLES -A TRINOO -j DROP
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 27444 -j TRINOO
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 27665 -j TRINOO
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 31335 -j TRINOO
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 34555 -j TRINOO
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 35555 -j TRINOO
# Protecao contra tronjans
$IPTABLES -N TROJAN
$IPTABLES -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FWALL: trojan: "
$IPTABLES -A TROJAN -j DROP
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 666 -j TROJAN
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 666 -j TROJAN
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 4000 -j TROJAN
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 6000 -j TROJAN
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 6006 -j TROJAN
$IPTABLES -A INPUT -p tcp -i $ETH_EXTERNA --dport 16660 -j TROJAN
#########
# OUTPUT #
##########
# Aceita pacotes que realmente podem sair
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
Desde de já agradeço pela atenção prestada
-
firewall
e como e o que voce queria que o seu firewall fizesse?
Posta ai o que vc pretende com esse firewall
Abraço
-
Firewall (DÚVIDAS) !!!!
A minha principal dificuldade é saber se essa sequência de regras está ok, tipo: primeiro vem as regras de NAT ( prerouting e depois postrouting) e depois as regras de ( input, output e forward) !!! E outro problema era com a página que tenho hospedada aqui, quando mudei para essas regras o acesso fora a página ficou lento, em certos lugares dava até time out. Vc poderia dá uma olhada pra ver se as regras referentes a http estão ok !!!!
Agradeço novamente
Citação