Firewall iptables com NAT

Este artigo traz e explica um exemplo de script de firewall com NAT totalmente funcional.

[ Hits: 95.469 ]

Por: Cristyan Giovane de Souza Santos em 27/02/2007


FIREWALL.sh



No arquivo FIREWALL.sh é onde será realizada a chamada de todos os outros arquivos. O script abaixo limpa as regras antigas e define a política padrão para DROP.

OBS: Se você optou por um diretório diferente do usado por mim, realize as alterações necessárias.

#***************************************#
#                     Firewall		#
#					#
#     POR: CRISTYAN G. S. SANTOS	#
#					#
#           DATA: 27/12/2006		#	
#					#
#***************************************#
#!/bin/bash

echo "CARREGANDO FIREWALL "

echo -n "DEFAULT POLICY ACCEPT..................."

iptables -t filter -P INPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -P OUTPUT ACCEPT

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT

echo "[OK]"

echo -n "LIMPANDO REGRAS ANTIGAS................."

iptables -t filter -F
iptables -t filter -X
iptables -t filter -Z

iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

echo "[OK]"

echo -n "DEFAULT POLICY DROP....................."

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

echo "[OK]"

echo -n "CARREGANDO REGRAS DE INT-EXT............"
sh /usr/local/bin/firewall/INT-EXT.sh
echo "[OK]"

echo -n "CARREGANDO REGRAS DE EXT-INT............"
sh /usr/local/bin/firewall/EXT-INT.sh
echo "[OK]"

echo -n "CARREGANDO REGRAS DE INPUT.............."
sh /usr/local/bin/firewall/INPUT.sh
echo "[OK]"

echo -n "CARREGANDO REGRAS DE FORWARD............"
sh /usr/local/bin/firewall/FORWARD.sh
echo "[OK]"

echo -n "CARREGANDO REGRAS DE OUTPUT............."
sh /usr/local/bin/firewall/OUTPUT.sh
echo "[OK]"

echo -n "CARREGANDO REGRAS DE NAT-IN............."
sh /usr/local/bin/firewall/NAT-IN.sh
echo "[OK]"

iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 0 > $f
done

echo "FIREWALL CARREGADO."

Agora que seus scripts já estão prontos, vamos carregá-los.

No diretório os os arquivos estão, execute o comando:

# ./FIREWALL.sh

Será exibido o progresso do carregamento.

Para fazer com que o script inicialize automaticamente durante a inicialização da máquina, insira dentro de /etc/rc.d/rc.local a seguinte linha:

sh /usr/local/bin/firewall/FIREWALL.sh

Se você utilizou outro diretório, informe o caminho correto.

Página anterior    

Páginas do artigo
   1. Introdução
   2. EXT-INT.sh, INT-EXT.sh E INPUT.sh
   3. FORWARD.sh, OUTPUT.sh e NAT-IN.sh
   4. FIREWALL.sh
Outros artigos deste autor

Montando regras iptables

Squid autenticando em Windows 2003 com msnt_auth

Leitura recomendada

Automatizando Firewall com IDS Snort e SnortSam

Abrindo e fechando portas com o BlockOutTraffic

Firewall iptables em cinco minutos e compartilhamento de conexão

Entendendo TCP/IP (Parte 6) - Firewall

Um poderoso firewall para a sua rede wireless com IP x MAC

  
Comentários
[1] Comentário enviado por tenchi em 27/02/2007 - 23:42h

Opa, boa dica.
Sei que não é o lugar apropriado, mas gostaria de saber sse alguém aí saberia resolver o meu problema:
Possuo um computador que está atrás de um roteador. E eu preciso mesmo acessar esse computador, mas o roteador "não deixa".
É assim:
O meu modem 'e um siemens 4200, e está roteado, como disse.
Acontece que eu preciso acessar a máquina sob o roteador (na verdade é só uma porta dela). Essa porta é a do ssh.
Normalme nte o ssh usa a 22, mas eu o configurei pra usar uma bem alta (9999), por causa dessa frescura da BrasilTelecom.
Bem, esse não é o problema.
É assim: O modem não atribui IPs por dhcp ,pois eu configurei um IP fixo pra minha máquina. Isso pra usar redirecionamento de portas. Mas mesmo redirecionando, não deu em nada (depois eu comento o problema).
Então eu pesquisei um pouco sobre esse negócio de nat, e pensei eu usar isso pra fazer com que o meu pc ficasse visível na rede externa, mas não conseguir configurar esse nat para o meu modem.
O que eu quero é o seguinte: Alguém aí sabe se existe uma solução para este problema? pode ser usando NAT, redirecionamento de portas, atualizar o firmware desse modem, sei lá.
Como foi possível verificar, eu sou um completo leigo nesse assunto de redes, então espero que compreendam meus prováveis erros conceituais.

Falow.

[2] Comentário enviado por prgs.linux em 29/08/2007 - 12:52h

cara moldei seu firewall para minha realidade... aki uso conexao ppp0...minha dulvida e a seguinte
consigo liberar vnc para entar na maquina que ta habilatda o servico e onde eu redirecionei,

meu probl e que eu consigo entrar pela porta 5900 de fora pra dentro......mais se eu quizer sair o firewall nao deixa.........sair pela mesma maquina que ta habilitada o servico e que tem as regras apontada pra ela


se puder ajudar agradeco

[3] Comentário enviado por cristyangiovane em 03/09/2007 - 13:26h

Libera o ip da maquina que vai sair na porta 5900 dentro do arquivo INT-EXT.sh
A regra fika assim
iptables -A INT2EXT -p tcp -s <ip que sai no vnc> --dport 5900 -j ACEPT

Ou se quiser liberar todas as maquina para sair no vnc

iptables -A INT2EXT -p tcp --dport 5900 -j ACCEPT

[4] Comentário enviado por calaff2 em 06/03/2009 - 21:48h

Velho otimo Firewall! Gostei fica melhor para vc encontrar uma regra. abraços.

[5] Comentário enviado por ederflopes em 27/05/2009 - 16:20h

Amigo onde insiro a regra e qual é a regra para eu redicionar as conexões pro meu proxy?

sei q tem tb uma linha q adiciono que "obrigo" a todos da rede acessarem a internet pelo proxy ... se não por proxy não funciona, vc sabe quias são essas linhas?

Grato

Eder Lopes

[6] Comentário enviado por cristyangiovane em 27/05/2009 - 16:33h

Coloca no arquivo Firewall.sh

Após a regra
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

adiciona a regra.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
(Caso sua rede interna não esteja em eth1, altere para a correta)

[7] Comentário enviado por ederflopes em 27/05/2009 - 16:37h

Obrigado pela resposta...
e com isso já torna Obrigatório a saida somente pelo proxy?

não permitindo o cara tirar o proxy do navegador e ainda ter acesso a internet?

[8] Comentário enviado por cristyangiovane em 27/05/2009 - 18:48h

Com essa regra tudo que chegar na porta 80 sera direcionado para o proxy.

[9] Comentário enviado por erikogp em 01/04/2011 - 07:38h

Como faço para criar um redirecionamento para terminal server de qualquer lugar da internet através deste script?
Dentro do arquivo NAT-IN.sh adicionei a seguinte linha:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-dest 192.168.147.12:3389

Só que não está funcionando. Internamente funciona, mas de fora pra dentro não funciona.

[10] Comentário enviado por mwiezbicki em 16/07/2012 - 17:00h

Opa
Blz parceiro, me fale uma coisa como posso fazer que o so acesse pela porta 3128, sendo que o meu squid esta em outra maquina no ip 192.168.1.10 e o ip do firewall eh 192.168.1.1
Obrigado


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts