Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #21

    Padrão .: Regras de Firewall :.

    Então olha meu FW.
    Tenho uma rede simples de 4 maquinas não barro nada minha finalidade é defender meus usuários sem q isso incomode a eles.
    OBS: este FW é baseado numa conversa com o Ic3 q é valido resaltar foi extremamente atencioso e me ajudou muito.
    A duvida é se eu quizer dropar output e forward também oq muda nas minhas regras???
    A ideia sempre é proteger meus usúário sem q eles nem percebam isso e continuem o uso normal, feliz e alegres com seu outlook, msn, skype e afins...
    Abração em todos

    #!/bin/sh

    #Internet=eth1
    #Rede Interna=eth0

    # Ativa módulos
    modprobe ip_tables
    modprobe iptable_nat
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    modprobe ipt_REJECT
    modprobe ipt_MASQUERADE

    # Zera regras
    iptables -F
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle

    # Determina a política padrão
    iptables -P INPUT DROP

    # Proxy transparente
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128

    # Aceita os pacotes que realmente devem entrar
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -i eth0 -j ACCEPT

    #SSH
    iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT

    #VNC
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5900 -j DNAT --to 192.168.0.15

    #Compartilha a conexão
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #Fecha o resto
    iptables -A INPUT -j DROP

  2. #22

    Padrão .: Regras de Firewall :.

    pode tirar essa ultima regra de input :P como vc jah tem -P INPUT DROP, nao precisa dela

    agora vc quer fechar, output e forward? eh soh seguir o mesmo conceito que foi usado na INPUT, feche tudo, dps libere as portas que vc quer dizer liberado, e claro nao esqueça as regras de state.

    Mas vc vai ter mto trabalho.........

  3. #23

    Padrão .: Regras de Firewall :.

    Citação Postado originalmente por 1c3_m4n
    pode tirar essa ultima regra de input :P como vc jah tem -P INPUT DROP, nao precisa dela

    agora vc quer fechar, output e forward? eh soh seguir o mesmo conceito que foi usado na INPUT, feche tudo, dps libere as portas que vc quer dizer liberado, e claro nao esqueça as regras de state.

    Mas vc vai ter mto trabalho.........
    Qual seria a chace de ter algum problema com este FW q estou usando???? preciso realmente de travar output e forward?
    Oq vc me diz???

  4. #24

    Padrão .: Regras de Firewall :.

    tudo depende da "confiança" q vc tem na rede, eh legal fechar forward se vc quiser ter controle total sobre oq vai sair/entrar pra sua rede. pelo q vc ta falando o pessoal pode usar msn,icq,skype,etc. ai acho que nao tem necessidade de fechar, vc vai ter mto trabalho pra fechar e depois liberar as portas necessarias, no maximo bloqueie forward do mundo externo comdestino pra rede em algumas portas, com isso vc consegue bloquear alguns,virus,worms, etc

    output eu quase nunca bloqueio, output sao pacotes gerados localmente (no teu caso pacotes que o proprio servidor gera)

  5. #25

    Padrão .: Regras de Firewall :.

    Citação Postado originalmente por 1c3_m4n
    tudo depende da "confiança" q vc tem na rede, eh legal fechar forward se vc quiser ter controle total sobre oq vai sair/entrar pra sua rede. pelo q vc ta falando o pessoal pode usar msn,icq,skype,etc. ai acho que nao tem necessidade de fechar, vc vai ter mto trabalho pra fechar e depois liberar as portas necessarias, no maximo bloqueie forward do mundo externo comdestino pra rede em algumas portas, com isso vc consegue bloquear alguns,virus,worms, etc

    output eu quase nunca bloqueio, output sao pacotes gerados localmente (no teu caso pacotes que o proprio servidor gera)
    Como bloquei apenas o forward do mundo externo e qual consequencia teria isso?
    Grato pela atenção

  6. #26

    Padrão .: Regras de Firewall :.

    faça assim:

    iptables -A FORWARD -d REDE -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptablse -A FORWARD -d REDE -j DROP

    com isso vc soh deixa os pacotes que os proprios clientes requisitaram entrar na rede interna, e bloqueia qq tentativa de conexao direta com eles

    oq isso pode implicar? o msn nao mandar + arquivos, o skype tb nao conectar,etc...

  7. #27
    max_mori
    Visitante

    Padrão .: Regras de Firewall :.

    iptables -A FORWARD -d REDE -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptablse -A FORWARD -d REDE -j DROP

    o que vcs querem dizer com REDE???

    ex
    192.168.0.0/255.255.255.0

  8. #28

    Padrão .: Regras de Firewall :.

    Citação Postado originalmente por lacierdias
    #!/bin/sh
    #Internet=eth1
    #Rede Interna=eth0

    # Proxy transparente
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
    Não seria a eth1 para o proxy transparente, ja que ela é a interface pra internet??

  9. #29

    Padrão .: Regras de Firewall :.

    Citação Postado originalmente por roggy
    Citação Postado originalmente por lacierdias
    #!/bin/sh
    #Internet=eth1
    #Rede Interna=eth0

    # Proxy transparente
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
    Não seria a eth1 para o proxy transparente, ja que ela é a interface pra internet??
    eh eth0, pq eh a rede local que vai acessar o proxy... se vc colocar eth1, só vai acontecer que toda internet vai poder navegar pelo teu proxy :P :P :P :toim:

  10. #30

    Padrão .: Regras de Firewall :.

    Está certissimo o nosso amigo DropALL...

  11. #31
    wrochal
    Visitante

    Padrão .: Regras de Firewall :.

    Citação Postado originalmente por lacierdias
    Então olha meu FW.
    Tenho uma rede simples de 4 maquinas não barro nada minha finalidade é defender meus usuários sem q isso incomode a eles.
    OBS: este FW é baseado numa conversa com o Ic3 q é valido resaltar foi extremamente atencioso e me ajudou muito.
    A duvida é se eu quizer dropar output e forward também oq muda nas minhas regras???
    A ideia sempre é proteger meus usúário sem q eles nem percebam isso e continuem o uso normal, feliz e alegres com seu outlook, msn, skype e afins...
    Abração em todos

    #!/bin/sh

    #Internet=eth1
    #Rede Interna=eth0

    # Ativa módulos
    modprobe ip_tables
    modprobe iptable_nat
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    modprobe ipt_REJECT
    modprobe ipt_MASQUERADE

    # Zera regras
    iptables -F
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle

    # Determina a política padrão
    iptables -P INPUT DROP

    # Proxy transparente
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128

    # Aceita os pacotes que realmente devem entrar
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -i eth0 -j ACCEPT

    #SSH
    iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT

    #VNC
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5900 -j DNAT --to 192.168.0.15

    #Compartilha a conexão
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #Fecha o resto
    iptables -A INPUT -j DROP
    Lembra-se que a ordem é primeiro você libera e depois você bloqueia.

    Falou,

    :good: