- dúvida sobre firewall
+ Responder ao Tópico
-
dúvida sobre firewall
Bom-dia galeria, estou precisando da ajuda de vcs para uma dúvida:
Tenho um Conectiva 10 com o Iptables e Squid rodando. A instalação foi a mínima.
Eth0 200.xx.xx.29 direito com a net.
Eth1 - 10.1.3.1
Todos estão acessando net etc e com squid.
O meu problema, está na configuração do firewall.
Não consigo colocar algumas regras. Tipo: proibir acesso externo pois dá erro. Veja o meu rc.firewall:
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables - nat -A PREROUTING -p tcp -s 10.1.3.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -p tcp --detination-port 22 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
#######iptables -A INPUT -p udp --syn -j DROP - nesta dá erro no iptables e nada funciona
####iptables -A INPUT -i 200.XXX.XXX.29 -m unclean -j DROP - TAMBEM DA ERRO
###iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT - também não funciona
Estas que estão com comentários, não funcionam e param o meu firewall. Também consigo pingar.
Desde já agradeço a todos.
Lembrando que todos conseguem navegar na net. O que quero é colocar mais segurança.
-
Re: dúvida sobre firewall
# Carrega os modulos
modprobe iptables
modprobe iptable_nat
# Abre a porta
iptables -A INPUT -p tcp --detination-port 22 -j ACCEPT
# Redireciona a porta
iptables - nat -A PREROUTING -p tcp -s 10.1.3.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 >/proc/sys/net/ipv4/ip_forward
# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
# Bloqueia sinais de ping ao firewall
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP
Lembrando uma coisa que nosso amigo ice sempre fala essas regras so bloqueiam pacotes syn, assim sendo sua rede nao esta 100% segura!!!
Valeu galera
-
dúvida sobre firewall
Eu não bloquearia -syn e sim not-syn... (!syn).
Sds