Bom estou com umas duvidas em relação ao meu firewall segue o mesmo ( Criei o mesmo mas estou com algumas duvidas )
#!/bin/sh
LAN_IP_NET='10.1.1.1/8'
LAN_NIC='eth1'
WAN_IP='XXX.XXX.XXX.XXX'
WAN_NIC='eth0'
FORWARD_IP='10.1.1.254'
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j ACCEPT -p tcp --dport 47
iptables -A INPUT -j ACCEPT -p tcp --dport 1723
iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -j ACCEPT -p tcp --dport 3306
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3306 -j DNAT --to 10.1.1.254:3306
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
Minhas Intenções
- Habilitar externamente somente a porta 22 e a VPN ( 1723 )
- Bloquear o resto
Funcionou mas com uns problemas...
Se eu deixo ele com a NEW setado nestas linhas, ele me abre os outros serviços
que estação levantados no servidor por EX: 80, mas conecto normalmente por VPN, consigo dar ping para o gw atraves da vpn...
iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
Resumindo ainda fica tudo aberto
Massss...
Se eu remover a opção NEW
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Ele fecha todas as portas somente me liberaa 22 e a 1783, conecto na VPN, mas não consigo dar um ping no GW, mas do GW para a estação que conectou por VPN consigo, parece q falta mais um regra..
Ps: Nem compartilhamento ativo consigo acessar pela VPN
Algum help?
-
13-06-2006, 22:34 #1testetesteVisitante
Problemas Firewall - Script
-
14-06-2006, 23:32 #2
- Ingresso
- Apr 2006
- Posts
- 75
Re: Problemas Firewall - Script
Alguns comentários sobre o script.... espero que ajude....
#!/bin/sh
LAN_IP_NET='10.1.1.1/8'
LAN_NIC='eth1'
WAN_IP='XXX.XXX.XXX.XXX'
WAN_NIC='eth0'
FORWARD_IP='10.1.1.254'
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
O "NEW" faz seu firewall aceitar qualquer conexão nova, vc deseja apenas as relacionadas e já estabelecidas nas portas 22, 47 e 1723
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
tente:
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -o $WAN_NIC -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
tente:
iptables -A FORWARD -i $LAN_NIC -s $LAN_IP_NET -j ACCEPT
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j ACCEPT -p tcp --dport 47
iptables -A INPUT -j ACCEPT -p tcp --dport 1723
iptables -A FORWARD -j ACCEPT -p tcp --dport 3306
Sua conexão de FORWARD,
iptables -A FORWARD -i $WAN_NIC -p tcp --dport 3306 -j ACCEPT
iptables -t nat -A PREROUTING -d $WAN_IP -p tcp --dport 3306 -j DNAT --to-dest 10.1.1.254
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT já mencionada anteriormente, deve ser removida.
echo 1 > /proc/sys/net/ipv4/ip_forward
Espero ter ajudado,
[]s
Citação