Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    wfbil
    Visitante

    Padrão Como faço para criar um bom firewall com iptables

    E ai galera blz, tenho duas placas de redes no servidor kurumin - internet conexão de rádio (wlan0 - IP 10.0.1.37) e rede local (eth0 - IP 192.168.1.160), como faço para criar algumas regras com iptables, liberando acesso total as máquinas da rede local (liberando kazaa, ftp, http, msn, etc) e restringindo o acesso da rede da internet as máquinas internas ..... valew ....

  2. #2

    Padrão Como faço para criar um bom firewall com iptables

    Por você ter IP frio nas 2 pontas não tem muito stress :P

    Supondo que o Kurumin está bem configurado, navegando bunitinho, para ter o que você quer sem enrolação (considerando que a rede local eh 192.168.1.0/24), crie um arquivo com as seguintes linhas para ser executado sempre na inicialização do Kurumin:

    iptables -F
    iptables -X

    iptables -P FORWARD DROP
    iptables -P INPUT DROP
    iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o wlan0 -j MASQUERADE
    iptables -I FORWARD -s 192.168.1.0/24 -j ACCEPT
    iptables -I FORWARD -d 192.168.1.0/24 -m state --state ESTABLISHED -j ACCEPT

  3. #3

    Padrão Re: Como faço para criar um bom firewall com iptables

    #Carrega os modulos
    modprobe iptables
    modprobe iptable_nat

    # Compartilha a conexão
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Abre para a rede local
    iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

    # Fecha o resto
    iptables -A INPUT -p tcp --syn -j DROP


    Valeu mano espero ter ajudado !!!

  4. #4

    Padrão Re: Como faço para criar um bom firewall com iptables

    Citação Postado originalmente por gatoseco
    # Fecha o resto
    iptables -A INPUT -p tcp --syn -j DROP
    Isso nao fecha tudo nunca! Isso soh fecha conexoes de pacotes SYN,
    pra fechar tudo eh como o dropall falou antes

    iptables -P INPUT DROP

  5. #5

    Padrão Re: Como faço para criar um bom firewall com iptables

    Citação Postado originalmente por gatoseco
    # Abre para a rede local
    iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
    E isso soh vai permitir a rede "conectar" no servidor, mas nao vai trafegar nada pq vc soh liberou o syn

  6. #6

    Padrão Re: Como faço para criar um bom firewall com iptables

    Obrigado pela correçao 1c3_m4n vc e sempre muito prestativo!!!

  7. #7

    Padrão Como faço para criar um bom firewall com iptables

    heheheeh

    So mais um detalhe, suas regras ateh podem funcionar do jeito que estao pq no inicio vc soh bloqueia o syn, e depois vc libera ele pra rede interna, entao pode da a impressao que ta funfando certinho, mas rode um nmap com as opcoes sF(FIN),sX(XMAS) e você vai ver que ele ainda vai acusar as portas como abertas

  8. #8

    Padrão Re: Como faço para criar um bom firewall com iptables

    O que vc acha que nao vai trafegar ? Poderia postar algum Exemplo ?

  9. #9

    Padrão Como faço para criar um bom firewall com iptables

    mesmo vc construindo um fw com ajuda do pessoal daqui, é fundamental vc ter conhecimentos sobre iptables e tcp/ip.


    vai no google e digita focalinux

    flw

  10. #10

    Padrão Re: Como faço para criar um bom firewall com iptables

    Citação Postado originalmente por gatoseco
    O que vc acha que nao vai trafegar ? Poderia postar algum Exemplo ?
    Com as suas regras vai funcionar normal como falei antes, mas se vc colocar iptables -P INPUT DROP como falamos, e depois liberar pra rede interna usando a sua regra (--syn ACCEPT) qq coisa vai ficar bloqueada, FTP é uma, depois faz o teste usa as regras assim:

    iptables -P INPUT DROP
    iptables -A INPUT -p tcp -s REDE --syn -j ACCEPT

    conecta no ftp e tenta transferir alguma coisa, utilize o iptraf pra ficar monitorando a conexao e voce vai ver o server resetando a conexao

  11. #11

    Padrão Re: Como faço para criar um bom firewall com iptables

    Pois e mas isso e se eu colocar como vc bem disse mas ja passei as regras na sequencia certa pra que funcione perfeitamente e logico que ele podera incluir a regra que vc citou no final do arquivo para realmente fechar tudo, so dei um pequeno exemplo de como ele poderia fazer pra iniciar um firewall nada muito complexo mas derrepente vc poderia postar um exemplo mais robusto e eficiente pra que nos pudessemos fazer criticas emcima e chegar em alguma coisa proxima da perfeiçao,
    Pois nao to entendendo uma hora vc diz que funciona depois ja nao funciona mais !!!

  12. #12

    Padrão Como faço para criar um bom firewall com iptables

    o fw que o dropall passou ai no inicio ta perfeito, eu sohincluiria a opcao
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    pra poder usar o server normalmente

    recomendo: iptables.under-linux.org

    lah explica direitinho as tabelas nat

  13. #13
    felco
    Visitante

    Padrão Re: Como faço para criar um bom firewall com iptables

    Citação Postado originalmente por gatoseco
    ...
    # Abre para a rede local
    iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

    # Fecha o resto
    iptables -A INPUT -p tcp --syn -j DROP
    ...
    Na boa... vamos rever uma coisa... a tabela Filter que eh default pra nossas regras mais expecificamente a chain INPUT e onde tudo oque eh destinado ao IP, veja bem, ao IP do firewall passa.
    Sendo assim quando uma maquina dentro da rede chama um servidor FTP ela nao vai fazer isso:
    Maquina -> Firewall -> FTP
    Quero dizer a maquina dentro da rede nao procura pelo Firewall, o IP dele, ao invez disso ela procura o IP do FTP é depois de verificado a tabela de roteamento local descobre que o IP, o do FTP, nao esta na mesma rede, oque ela faz?
    Manda pra unica maquina capaz de reenviar esse pacote é que talvez não consiga mas esta la pra fazer a "Ponte", o Gateway.
    Concluindo, abrir a chain INPUT para que as maquinas dentro da rede usarem Internet nao é necessario, porque voce acha que existe uma chain que chama FORWARD é existe um parametro no kernel que habilita ou desabilita o repasse?
    Ao menos que voce precise acessar o SSH ou Squid nessa maquina, nao abra nada no INPUT.

  14. #14

    Padrão Re: Como faço para criar um bom firewall com iptables

    Como ja havia dito essas regras sao simples e apenas um inicio para alguem que ta começando a construir um firewall !!!

    Mas se o nosso amigo necessitar de algo mais complexo e so dar uma olhada em www.linuxit.com.br e la tera um artigo escrito por mim que se chama script completo de firewall com mais de 2.700 visitas !!!

    E preciso ter coragem pra escrever e nao ficar sempre atras do muro so com a intençao de criticar !!!

    Falar de mim e facil dificil e ser eu !!!

  15. #15
    felco
    Visitante

    Padrão Re: Como faço para criar um bom firewall com iptables

    Citação Postado originalmente por gatoseco
    Como ja havia dito essas regras sao simples e apenas um inicio para alguem que ta começando a construir um firewall !!!

    Mas se o nosso amigo necessitar de algo mais complexo e so dar uma olhada em www.linuxit.com.br e la tera um artigo escrito por mim que se chama script completo de firewall com mais de 2.700 visitas !!!

    E preciso ter coragem pra escrever e nao ficar sempre atras do muro so com a intençao de criticar !!!

    Falar de mim e facil dificil e ser eu !!!
    Desculpa viu...

  16. #16

    Padrão Re: Como faço para criar um bom firewall com iptables

    Citação Postado originalmente por gatoseco
    Como ja havia dito essas regras sao simples e apenas um inicio para alguem que ta começando a construir um firewall !!!

    Mas se o nosso amigo necessitar de algo mais complexo e so dar uma olhada em www.linuxit.com.br e la tera um artigo escrito por mim que se chama script completo de firewall com mais de 2.700 visitas !!!

    E preciso ter coragem pra escrever e nao ficar sempre atras do muro so com a intençao de criticar !!!

    Falar de mim e facil dificil e ser eu !!!
    ppl sem flames.... :@:
    Agora aproveite as novas dicas do forum e atualize seu artigo pra ficar melhor ainda

  17. #17
    Visitante

    Padrão Como faço para criar um bom firewall com iptables

    Eeeee pesssoal NO FLAMES :@:

    Vamos todos :clap: e cantar.... :P

  18. #18

    Padrão Como faço para criar um bom firewall com iptables

    :P

  19. #19

    Padrão :D

    Copiar e colar, é sempre muito facil, o dificil é entender...

    Então:

    http://www.iptablesbr.cjb.net

    Leia, teste e aprenda...

    Abraço []´z

  20. #20

    Padrão Como faço para criar um bom firewall com iptables

    iptables.under-linux.org

    eh o mesmo desse cjb, mas ele fica hospedado aki na under (fica mais rapido )