IPTABLES LOCO

[spyderlinux]

Pessoal, eu criei as regras mas algo está ficando estranho.
Acabei de instalar uma maquina na qual vou configurar. A mesma não navega, não pinga e quando eu acesso o GateWay eu consigo pingar ela na rede.
Fiz um teste.
ssh do gateway para a maquina instalada. acessei normal.
Após eu ter acessado ela, a mesma liberou o ssh que eu estava fazendo da maquina instalada para o GateWay. Logo após consegui navegar pela maquina instalada.



Meu firewall eu deixei da seguinte forma


$IPT -t filter -P INPUT DROP
$IPT -t filter -P FORWARD DROP
$IPT -t filter -P OUTPUT DROP
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
#--------------------------------------------------------------
echo ' ================ '
echo ' => Loopback '
echo ' ================ '

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -s $REDE -j ACCEPT
$IPT -A FORWARD -s $REDE -o eth0 -j ACCEPT

echo ' => Mascaramento / Proxy '

echo 1 > /proc/sys/net/ipv4/ip_forward
$IPT -t nat -A POSTROUTING -s $REDE -o eth0 -j MASQUERADE
$IPT -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to-port 3128


echo ' => ESTABLISHED / RELATED '


$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p tcp --syn -s 10.11.20.0/255.255.255.0 -j ACCEPT

echo ' =============== '
echo ' => NAVEGAÇÂO '
echo ' =============== '

$IPT -t mangle -A OUTPUT -o eth0 -p tcp --dport 21 -j TOS --set-tos 0x10
$IPT -t mangle -A OUTPUT -o eth0 -p tcp --dport 80 -j TOS --set-tos 0x10
$IPT -t mangle -A OUTPUT -o eth0 -p udp --dport 53 -j TOS --set-tos 0x10

$IPT -A FORWARD -i eth1 -p tcp -s $REDE -o eth0 --dport 80 -j ACCEPT
$IPT -A FORWARD -s 10.11.20.171/24 -i eth1 -o eth0 -p tcp --dport 20 -j ACCEPT
$IPT -A FORWARD -s 10.11.20.171/24 -i eth1 -o eth0 -p tcp --dport 21 -j ACCEPT
$IPT -A FORWARD -p tcp -s $REDE -o eth0 --dport 20 -j DROP
$IPT -A FORWARD -p tcp -s $REDE -o eth0 --dport 21 -j DROP
$IPT -I FORWARD -p tcp -s $REDE -o eth0 --dport 25 -j ACCEPT
$IPT -I FORWARD -p tcp -s $REDE -o eth0 --dport 110 -j ACCEPT
$IPT -I FORWARD -p udp -s $REDE -o eth0 --dport 53 -j ACCEPT
$IPT -I FORWARD -p tcp -s $REDE -o eth0 --dport 443 -j ACCEPT
$IPT -A OUTPUT -p tcp -o eth0 --dport 80 -j ACCEPT
$IPT -A OUTPUT -p tcp -o eth0 --dport 25 -j ACCEPT
$IPT -A OUTPUT -p tcp -o eth0 --dport 110 -j ACCEPT
$IPT -A OUTPUT -p tcp -o eth0 --dport 20 -j ACCEPT
$IPT -A OUTPUT -p tcp -o eth0 --dport 21 -j ACCEPT
$IPT -A OUTPUT -p tcp -o eth0 --dport 53 -j ACCEPT
$IPT -A OUTPUT -p tcp -o eth0 --dport 443 -j ACCEPT


$IPT -A INPUT -p tcp -i eth0 --sport 10001 -j DROP
$IPT -A FORWARD -p tcp -o eth0 --dport 10001 -j DROP

echo ' ========= '
echo ' => SSH '
echo ' ========= '

$IPT -A INPUT -p tcp --dport 9090 -i eth0 -j ACCEPT
$IPT -A FORWARD -p tcp -s $REDE -i eth1 -o eth0 --dport 22 -j ACCEPT
$IPT -A FORWARD -s $REDE -i eth1 -p tcp --dport 9090 -j ACCEPT
$IPT -A OUTPUT -o eth0 -p tcp --dport ssh -j ACCEPT

echo ' ====================== '
echo ' => Protegendo REDE '
echo ' ====================== '
echo ' ====================== '
echo ' => Spoof Protection '
echo ' ====================== '

$IPT -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP
$IPT -t nat -A PREROUTING -i eth0 -s 172.16.0.0/16 -j DROP
$IPT -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -j DROP





Alguem poderia mi dar um auxilio sobre o que pode ser ?

[luizhumberto]

Não navega e não pinga, porque usou na tabela filter a politica padrão como drop, com isso tem que liberar as portas e protocolos necessários, sujiro que coloque uma por vêz se não se perde e outra, usando essas regras e depois colocando Established e Related no Input, Forward e Output não é legal não apesar que economiza trabalho, pois se quer proteger faça isso no input e para cada porta que liberar. A melhor coisa é fazer um a um e ir testando assim sabe o que está sendo feito. Outra faça o nat apenas de algumas portas tipo 25,110.. assim tem um controle melhor que tua rede está acessando.

[spyderlinux]

Luiz,

Num sei se entendi direito o que você informou mas,


a POLITICA da rede realmente é para ficar como DROP (INPUT, FORWARD, OUTPUT)
PQ ser tão precavido ?
Aqui na empresa os usuários estavam abusando e ferrando demais o tráfego, alguns baixando coisas demais em P2P, FTP e o diabo a 4.
Mantendo essa politica fica mais fácil pra segurança interna e externa da rede.

Quanto as conexões estarem ESTABLISHED,RELATED. Como eu deixei a politica tudo DROP, se eu não deixar assim ele não navega.

Quanto as conexões qual seria melhor eu deixar ?
Você poderia dar alguns modelos ou exemplos para eu analisar e atingir o objetivo.

De qualquer forma, ja agradeço a resposta.

[]'s

SpYdErLiNuX

[luizhumberto]

Correto, eu uso a politica drop, me referi somente a ir por partes tipo coloca uma depois a outra assim terá mais controle do teu firewall e vá testando até ter todas as politicas da tabela filter como drop. Relacionado ao ESTABLISHED,RELATED.

$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Por isso que que você disse se tirar não a tua rede não conecta, porque colocando essas regras tem menos trabalho, mas não tem controle total, tipo no caso do input com ESTABLISHED,RELATED, isso quer dizer que tudo que sair pode entrar, ou seja, não é totalmente seguro.
Ecominiza trabalho isso sem dúvidas, o que indico a você e fazer o ESTABLISHED,RELATED somente no input e das portas que precisa liberar, porque não sabe que porta que o pacote vai usar para sair.

[spyderlinux]

Vc fala de criar assim

iptables -t filter -A FORWARD -s 10.11.12.13 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT


Dessa forma para as portas 80, 110, 25, 443, 53,
assim eu consigo controlar mais os pacotes.

No aguardo,