- CONFIGURAR IPTABLES
+ Responder ao Tópico
-
CONFIGURAR IPTABLES
Pessoal, estou com um trabalho a faculdade para fazer. Como estou me formando estou sem tempo para estar fazendo pesquisa. Se tivesse com tempo não estaria pedindo ajuda.
Conto com a ajuda de vcs.
Abaixo segue o que me foi solicitado:
1. Apenas pacotes da rede interna com destino a servidores HTTP devem ser liberados;
2. A rede interna possui um servidor HTTPS e todas as máquinas da Internet devem ter acesso à mesma, este servidor utiliza um endereço da rede local (RFC1918) e os pedidos devem ser redirecionados por NAT. Respostas deste servidor para a Internet devem ser liberadas.
3. Pacotes ICMP não podem entrar nem sair da rede interna.
4. Deve ser permitido que pacotes destinados a um servidor de aplicação na rede interna (porta TCP 5000) oriundos da rede interna do Grupo 2 entrem na rede e sejam redirecionados ao servidor de aplicações. Respostas a estas solicitações também devem ser liberadas com destino à rede interna do grupo 2. Para isto deve ser criado um túnel NAT entre as duas rede internas passando pela Internet.
5. Deve ser bloqueado o acesso das máquinas da rede local ao MSN.
6. Deve ser impedido IP Spoofing de endereços da rede interna a partir da Internet e de endereços da Internet a partir da rede interna.
7. Quaisquer pacotes que não estejam liberados nas regras acima devem ser bloqueados.
Agradeço a ajuda e atenção de todos.
-
Re: CONFIGURAR IPTABLES
Amigo to com muito sono no momento e ate nao entendi muito bem toda a sua necessidade sou meio devagar mesmo, mas segue abaixo o inicio de tudo, pode estar faltando alguma coisa afinal to quase dormindo !!! hehehe
# Ativa roteamento via kernel
echo 1 > /proc/sys/net/ipv4/ip_forward
#Limpando as regras existentes
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
# Política de acesso
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Permissões de acesso ao firewall
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Abrindo algumas portas
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 5000 -j ACCEPT
# Redirecionando algumas portas
iptables -t nat -A PREROUTING -i ethX -p tcp -d 200.200.200.200 --dport 443 -j DNAT --to 192.168.0.11:443
iptables -t nat -A PREROUTING -i ethX -p tcp -d 200.200.200.200 --dport 5000 -j DNAT --to 192.168.0.10:5000
# Mascarando conexao
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Evitando ip spoofing
iptables -A INPUT -s 192.168.0.0/24 -i ! eth1 -j DROP
iptables -A INPUT ! -s 192.168.0.0/24 -i eth1 -j DROP
iptables -A INPUT -s ! 200.200.200.0/24 -i eth0 -j DROP
iptables -A INPUT ! -s 200.200.200.0/24 -i eth0 -j DROP
iptables -A FORWARD -s ! 200.200.200.0/24 -i eth0 -j DROP
iptables -A FORWARD ! -s 200.200.200.0/24 i eth0 -j DROP
# Bloqueando o uso do msn na rede interna
iptables -A FORWARD -p tcp -m multiport --dport 1863 -j DROP
iptables -A FORWARD -p tcp -m multiport --dport 5190 -j DROP
# Bloqueando POrtScanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL FIN -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP
# Fecha o resto mesmo
iptables -A INPUT -j DROP
Abraçao