+ Responder ao Tópico



  1. #1
    fisiconuclear18
    Visitante

    Padrão Meu script de firewall, alguém pode dar uma olhada?

    Pessoal segue meu script de firewall que vou implementar, alguém poderia dar uma olhada, algumas sugestoes e afins para que ele não de pau e tudo possa ocorrer bem?
    Pois temos aqui na escola o Suse rodando com o firewall dele pré definido, mas vamos mudar para o fedora core e colocar o script abaixo.
    A eth0 é a interface de entrada e a eth1 e a interface da rede interna
    A idéia é bloquear todas as portas menos a 80 e a 25
    Desde já eu agradeço a atenção

    #Firewall_cefet
    #Abre rede local
    iptables -A INPUT -p tcp --syn -s 192.168.2.0/24 -j ACCEPT
    #compartilhar conexão
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo"1">/proc/sys/net/ipv4/ip_forward
    #Entrar o que deve
    iptables -A INPUT -m state --state ESTABILISHED, RELATED -j ACCEPT
    #Passar o que prescisa
    iptables -A FORWARD -m state --state ESTABILISHED, RELATED -j ACCEPT
    #Liberando a porta 80 para a rede 192.168.2.0/24
    iptables -I INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
    iptables -I INPUT -i eth1 -p udp --dport 80 -j ACCEPT
    #Liberando SMTP para a rede 192.168.2.0/24
    iptables -A FORWARD -o eth0 -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -o eth0 -p udp --dport 25 -j ACCEPT
    #Bloqueando o resto
    iptables -A INPUT -p tcp --syn -s 192.168.2.0/24 -j DROP
    iptables -A OUTPUT -p tcp --syn -s 192.168.2.0/24 -j DROP
    iptables -A FORWARD -p tcp --syn -s 192.168.2.0/24 -j DROP

  2. #2
    felco
    Visitante

    Padrão Meu script de firewall, alguém pode dar uma olhada?

    iptables -A INPUT -p tcp --syn -s 192.168.2.0/24 -j ACCEPT
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo"1">/proc/sys/net/ipv4/ip_forward
    iptables -A INPUT -m state --state ESTABILISHED, RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABILISHED, RELATED -j ACCEPT
    iptables -I INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
    iptables -I INPUT -i eth1 -p udp --dport 80 -j ACCEPT
    Se vc nao tem servidor web(Ex. Apache) nessa maquina nao precisa dessa regra
    iptables -A FORWARD -o eth0 -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -o eth0 -p udp --dport 25 -j ACCEPT
    O protocolo SMTP utiliza apenas TCP
    iptables -A INPUT -p tcp --syn -s 192.168.2.0/24 -j DROP
    iptables -A OUTPUT -p tcp --syn -s 192.168.2.0/24 -j DROP
    iptables -A FORWARD -p tcp --syn -s 192.168.2.0/24 -j DROP
    Vc precisa tirar o DROP --syn do OUTPUT e FORWARD, porque vc irá abrir conexoes externas.

    Faltou vc criar uma regra no FORWARD para a porta 53 UDP porque vc vai precisar fazer consultas DNS de alguma maquina da sua rede.
    Alem disso a primeira regra no INPUT vc deveria colocar as policas de DROP e depois uma regra para abrir a porta ssh para administracao remota.
    Procure nao usar police DROP no OUTPUT e tambem em nenhuma chain da tabela NAT.

    http://focalinux.cipsga.org.br/guia/...w-iptables.htm
    Otimo documento sobre o assunto

  3. #3
    fisiconuclear18
    Visitante

    Padrão Meu script de firewall, alguém pode dar uma olhada?

    ja coloquei o DNS, valeu pela ajuda...
    Voce acha que so liberando essas portas, o msn e o emule nao irá mais conectar, dispensando outras coisas?

  4. #4
    felco
    Visitante

    Padrão Meu script de firewall, alguém pode dar uma olhada?

    Na verdade esses programas costumam usar a porta 80 na falta de uma outra porta disponivel, existem patchs para o kernel que dao uma funcionalidade extra para o iptables controlar esse tipo de trafego da uma olhada aqui:
    https://under-linux.org/wiki/Tutoriais/Layer7