+ Responder ao Tópico



  1. #1
    diplomacao
    Visitante

    Padrão CONFIGURAR IPTABLES

    Pessoal, estou com um trabalho a faculdade para fazer. Como estou me formando estou sem tempo para estar fazendo pesquisa. Se tivesse com tempo não estaria pedindo ajuda.

    Conto com a ajuda de vcs.

    Abaixo segue o que me foi solicitado:

    1. Apenas pacotes da rede interna com destino a servidores HTTP devem ser liberados;
    2. A rede interna possui um servidor HTTPS e todas as máquinas da Internet devem ter acesso à mesma, este servidor utiliza um endereço da rede local (RFC1918) e os pedidos devem ser redirecionados por NAT. Respostas deste servidor para a Internet devem ser liberadas.
    3. Pacotes ICMP não podem entrar nem sair da rede interna.
    4. Deve ser permitido que pacotes destinados a um servidor de aplicação na rede interna (porta TCP 5000) oriundos da rede interna do Grupo 2 entrem na rede e sejam redirecionados ao servidor de aplicações. Respostas a estas solicitações também devem ser liberadas com destino à rede interna do grupo 2. Para isto deve ser criado um túnel NAT entre as duas rede internas passando pela Internet.
    5. Deve ser bloqueado o acesso das máquinas da rede local ao MSN.
    6. Deve ser impedido IP Spoofing de endereços da rede interna a partir da Internet e de endereços da Internet a partir da rede interna.
    7. Quaisquer pacotes que não estejam liberados nas regras acima devem ser bloqueados.


    Agradeço a ajuda e atenção de todos.

  2. #2

    Padrão Re: CONFIGURAR IPTABLES

    Amigo to com muito sono no momento e ate nao entendi muito bem toda a sua necessidade sou meio devagar mesmo, mas segue abaixo o inicio de tudo, pode estar faltando alguma coisa afinal to quase dormindo !!! hehehe


    # Ativa roteamento via kernel
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #Limpando as regras existentes
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X

    # Política de acesso
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    # Permissões de acesso ao firewall
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # Abrindo algumas portas
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT
    iptables -A INPUT -p tcp --dport 5000 -j ACCEPT

    # Redirecionando algumas portas
    iptables -t nat -A PREROUTING -i ethX -p tcp -d 200.200.200.200 --dport 443 -j DNAT --to 192.168.0.11:443
    iptables -t nat -A PREROUTING -i ethX -p tcp -d 200.200.200.200 --dport 5000 -j DNAT --to 192.168.0.10:5000

    # Mascarando conexao
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    # Evitando ip spoofing
    iptables -A INPUT -s 192.168.0.0/24 -i ! eth1 -j DROP
    iptables -A INPUT ! -s 192.168.0.0/24 -i eth1 -j DROP

    iptables -A INPUT -s ! 200.200.200.0/24 -i eth0 -j DROP
    iptables -A INPUT ! -s 200.200.200.0/24 -i eth0 -j DROP

    iptables -A FORWARD -s ! 200.200.200.0/24 -i eth0 -j DROP
    iptables -A FORWARD ! -s 200.200.200.0/24 i eth0 -j DROP

    # Bloqueando o uso do msn na rede interna
    iptables -A FORWARD -p tcp -m multiport --dport 1863 -j DROP
    iptables -A FORWARD -p tcp -m multiport --dport 5190 -j DROP

    # Bloqueando POrtScanners
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
    iptables -A FORWARD -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
    iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j DROP
    iptables -A FORWARD -p tcp --tcp-flags ALL FIN -j DROP
    iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
    iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
    iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP

    # Fecha o resto mesmo
    iptables -A INPUT -j DROP


    Abraçao