- Firewall Simplificado
+ Responder ao Tópico
-
Firewall Simplificado
Boa tarde
Estou com uma dificuldade muito grande para criar um firewall que faça o seguinte:
- Bloqueio todo o trafedo de entrada e saida
- Libere o Squid para a rede interna
- Regra que eu consiga liberar apenas algumas maquinas para navegar sem proxy
Achei um monte de coisa, mas nada funciona inteiro, quando funciona uma parte naum funciona outra, se puderem me ajudar agradeço.
-
Firewall Simplificado
Tirando um pouco de cada lugar consegui fazer o seguinte:
#eth0 - rede local
#eth1 - internet
#Carga de Modulos
modprobe ip_tables
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_state
modprobe ipt_MASQUERADE
#Flushing - Saida e Entrada Fechada
iptables -F
iptables -Z
iptables -X
#iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#Negando Broadcast
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
##Tabela INPUT
#Liberar input para loopback
iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 191.161.10.250 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 200.x.x.x -i lo -j ACCEPT
#Regra para manter conexoes que ja fora estabilizadas
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#Negando pacote fragmentado
iptables -A INPUT -i eth1 -f -j LOG --log-prefix "Pacote INPUT fragmentado: "
iptables -A INPUT -i eth1 -f -j DROP
#Evitando Spoofing
iptables -A INPUT -i eth1 -s 10.0.0.0/24 -j DROP
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 191.161.10.0/16 -j DROP
iptables -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
iptables -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP
#Regras para PING
iptables -A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
#Libera acesso ao SQUID para rede interna
iptables -A INPUT -p TCP -i eth0 -s 191.161.10.0/24 --dport 3128 -j ACCEPT
#Libera o acesso ao ssh
iptables -A INPUT -p TCP -i eth0 -s 191.161.10.100 --dport 22 -j ACCEPT
#Descartando recursos desnecessarios
iptables -A INPUT -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
iptables -A INPUT -j LOG --log-prefix "Pacote input descartado: "
iptables -A INPUT -j DROP
Com isso consigo navegar atraves de proxy nos clientes, agora preciso e uma regra que libere acesso sem proxy a alguns terminais. Alguem pod eme ajudar?
-
Firewall Simplificado
acl maqliberada src 192.168.0.0/255.255.255.255
http_access maqliberada allow