Iptables - Segurança total para sua rede
O objetivo aqui neste artigo não é realizar um estudo profundo do iptables, mas sim aprendermos sobre algumas regras do mesmo e criarmos um script simples, porém seguro, para que a partir daí você possa melhorá-lo à sua maneira.
[ Hits: 83.011 ]
Por: Phillip Vieira em 17/01/2012
Políticas do iptables
O iptables tem por padrão deixar tudo liberado, portanto, ele está utilizando como politica padrão o 'ACCEPT', ou seja, todo e qualquer acesso está liberado.
O iptables trabalha com 3 políticas:
As políticas padrões do iptables devem ser definidas antes de qualquer regra, pois assim você vai inserir as regras de acordo com as políticas padrões que foram informadas no início do script.
Esta parte é determinante para você começar a construir seu firewall.
Para definirmos nossas políticas padrões, devemos utilizar o parâmetro '-P' (policy). Vejamos os exemplos abaixo.
- Definir como as políticas padrões como DROP:
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
Da forma descrita acima, nosso firewall estaria com todas as políticas como 'DROP', e você não conseguiria nem realizar um 'ping' para: Viva o Linux - Faça o teste. ;-)
Para 'setar' outra política, basta você trocar o 'DROP', do exemplo acima, para 'REJECT' ou 'ACCEPT' de acordo com sua decisão.
Vejamos:
I. Colocar um cabeçalho no script (esta é uma boa regra de programação):
- O cabeçalho deve conter descrição, data da última alteração, versão (se for o caso), e demais informações necessárias.
II. Declarar as variáveis:
- Inserir as variáveis que serão usadas, assim será mais fácil localizar regras e facilita a sua vida em algumas regras, como por exemplo, regras que lidam com portas.
III. Carregar os módulos necessários:
- Dependendo do seu script, você necessitará carregar alguns módulos.
IV. Separar as regras de acordo com as chains e tabelas:
- Seria também interessante colocar as regras da tabela 'nat' antes das regras da tabela 'filter' (como veremos no nosso exemplo).
Então, nossa organização seria algo como:
O iptables trabalha com 3 políticas:
- ACCEPT: Onde todo e qualquer acesso é liberado.
- REJECT: Onde todo e qualquer acesso é bloqueado, gerando uma mensagem de retorno.
- DROP: Onde todo e qualquer acesso é bloqueado, porém ele não gera nenhuma resposta (exceto para localhost).
As políticas padrões do iptables devem ser definidas antes de qualquer regra, pois assim você vai inserir as regras de acordo com as políticas padrões que foram informadas no início do script.
Esta parte é determinante para você começar a construir seu firewall.
Para definirmos nossas políticas padrões, devemos utilizar o parâmetro '-P' (policy). Vejamos os exemplos abaixo.
- Definir como as políticas padrões como DROP:
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
Da forma descrita acima, nosso firewall estaria com todas as políticas como 'DROP', e você não conseguiria nem realizar um 'ping' para: Viva o Linux - Faça o teste. ;-)
Para 'setar' outra política, basta você trocar o 'DROP', do exemplo acima, para 'REJECT' ou 'ACCEPT' de acordo com sua decisão.
Como organizar o script do iptables?
Em ajudas a pessoas em fóruns e também no meu trabalho, quando peguei um "falhowall" pronto, me deparei com muita bagunça no script; isto atrapalha bastante na manutenção dele, portanto, para mantermos uma boa aparência do nosso script e facilitar futuras manutenções, devemos manter tudo organizado.Vejamos:
I. Colocar um cabeçalho no script (esta é uma boa regra de programação):
- O cabeçalho deve conter descrição, data da última alteração, versão (se for o caso), e demais informações necessárias.
II. Declarar as variáveis:
- Inserir as variáveis que serão usadas, assim será mais fácil localizar regras e facilita a sua vida em algumas regras, como por exemplo, regras que lidam com portas.
III. Carregar os módulos necessários:
- Dependendo do seu script, você necessitará carregar alguns módulos.
IV. Separar as regras de acordo com as chains e tabelas:
- Seria também interessante colocar as regras da tabela 'nat' antes das regras da tabela 'filter' (como veremos no nosso exemplo).
Então, nossa organização seria algo como:
# VARIÁVEIS #
# MÓDULOS #
# REGRAS DE NAT #
# REGRAS DE INPUT #
# REGRAS DE OUTPUT #
# REGRAS DE FORWARD #
# MÓDULOS #
# REGRAS DE NAT #
# REGRAS DE INPUT #
# REGRAS DE OUTPUT #
# REGRAS DE FORWARD #
Páginas do artigo
1. Introdução2. Políticas do iptables
3. Exemplo de script
Outros artigos deste autor
Linux e Windows - Prós e Contras
Samba - Dançando conforme a música
Instalando o Linux Fedora 8 no Notebook Positivo v53
Squid + Iptables - Combinação Infalível
Recuperando dados do Windows usando um live-CD
Leitura recomendada
UFW e GuFW, firewall simples ao alcance de todos
Implementando prioridade nos serviços com TOS no Iptables
Firewall seguro com o IPTables
GUI para Iptables via web, linha de comando e outros
Squid + iptables (método ninja)
Comentários
[1] Comentário enviado por eldermarco em 17/01/2012 - 17:22h
Legal o seu artigo. Não trate o assunto de maneira mais detalhada, mas de forma bastante didática. Acho que já passei da hora de estudar esse assunto e o seu artigo me motivou a fazê-lo.
Legal o seu artigo. Não trate o assunto de maneira mais detalhada, mas de forma bastante didática. Acho que já passei da hora de estudar esse assunto e o seu artigo me motivou a fazê-lo.
[2] Comentário enviado por phrich em 17/01/2012 - 18:08h
Fico feliz em saber que pude ajudar.
Estudar é sempre bom, seja em qual assunto for, eu por exemplo, sempre releio alguns livros, tutoriais, dicas, etc, assim posso me lembrar sempre de algo que eu tenha esquecido.
Fico feliz em saber que pude ajudar.
Estudar é sempre bom, seja em qual assunto for, eu por exemplo, sempre releio alguns livros, tutoriais, dicas, etc, assim posso me lembrar sempre de algo que eu tenha esquecido.
[3] Comentário enviado por danniel-lara em 17/01/2012 - 18:52h
Parabens pelo artigo
ficou muito bom mesmo
Parabens pelo artigo
ficou muito bom mesmo
[4] Comentário enviado por phrich em 17/01/2012 - 19:31h
Obrigado, espero que tenha lhe ajudado em algo.
Obrigado, espero que tenha lhe ajudado em algo.
[5] Comentário enviado por arc em 17/01/2012 - 22:17h
Ótimo artigo
Mas tem um erro na linha que libera o squid para rede interna, da forma que esta libera para qualquer origem.
Mas ressaltando ficou ótimo e será de grande ajuda para muitos aqui do site.
Ótimo artigo
Mas tem um erro na linha que libera o squid para rede interna, da forma que esta libera para qualquer origem.
Mas ressaltando ficou ótimo e será de grande ajuda para muitos aqui do site.
[6] Comentário enviado por darcanjo em 17/01/2012 - 23:30h
O artigo ficou ótimo, mas existem dois erros nas regras da chain NAT:
#####ORIGINAL:
# COMPARTILHA A INTERNET #
iptables -t nat -A PREROUTING -s $REDE_INTERNA -o $IFACE_WEB -j MASQUERADE
# REDIRECIONA O ACESSO RDP PARA OUTRO SERVIDOR DENTRO DA REDE INTERNA#
iptables -t nat -A POSTROUTING -p tcp --dport 3389 -j REDIRECT --to 10.0.0.2:33
#####CORRETO:
# COMPARTILHA A INTERNET #
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -o $IFACE_WEB -j MASQUERADE
# REDIRECIONA O ACESSO RDP PARA OUTRO SERVIDOR DENTRO DA REDE INTERNA#
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j REDIRECT --to 10.0.0.2:33
O artigo ficou ótimo, mas existem dois erros nas regras da chain NAT:
#####ORIGINAL:
# COMPARTILHA A INTERNET #
iptables -t nat -A PREROUTING -s $REDE_INTERNA -o $IFACE_WEB -j MASQUERADE
# REDIRECIONA O ACESSO RDP PARA OUTRO SERVIDOR DENTRO DA REDE INTERNA#
iptables -t nat -A POSTROUTING -p tcp --dport 3389 -j REDIRECT --to 10.0.0.2:33
#####CORRETO:
# COMPARTILHA A INTERNET #
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -o $IFACE_WEB -j MASQUERADE
# REDIRECIONA O ACESSO RDP PARA OUTRO SERVIDOR DENTRO DA REDE INTERNA#
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j REDIRECT --to 10.0.0.2:33
[7] Comentário enviado por phrich em 17/01/2012 - 23:53h
Pessoal, se houver correções a fazer, por favor fiquem a vontade.
Isto não é um livro e sim um artigo para compartilhar os meus conhecimentos com todos os usuários do vivaolinux.com.br
darcanjo sua colocação está certíssima!
arc vc está certo, eu deveria ter colocado o acesso apenas para a rede interna (falha no erro kkk), mas tudo bem, sinta-se a vontade para corrigir.
Abraços!
Pessoal, se houver correções a fazer, por favor fiquem a vontade.
Isto não é um livro e sim um artigo para compartilhar os meus conhecimentos com todos os usuários do vivaolinux.com.br
darcanjo sua colocação está certíssima!
arc vc está certo, eu deveria ter colocado o acesso apenas para a rede interna (falha no erro kkk), mas tudo bem, sinta-se a vontade para corrigir.
Abraços!
[8] Comentário enviado por ecbr em 18/01/2012 - 08:01h
Tem certeza que isso esta correto?
##############
# REGRAS DE NAT #
#############
# COMPARTILHA A INTERNET #
iptables -t nat -A PREROUTING -s $REDE_INTERNA -o $IFACE_WEB -j MASQUERADE
# REDIRECIONA O ACESSO RDP PARA OUTRO SERVIDOR DENTRO DA REDE INTERNA#
iptables -t nat -A POSTROUTING -p tcp --dport 3389 -j REDIRECT --to 10.0.0.2:3389
Tem certeza que isso esta correto?
##############
# REGRAS DE NAT #
#############
# COMPARTILHA A INTERNET #
iptables -t nat -A PREROUTING -s $REDE_INTERNA -o $IFACE_WEB -j MASQUERADE
# REDIRECIONA O ACESSO RDP PARA OUTRO SERVIDOR DENTRO DA REDE INTERNA#
iptables -t nat -A POSTROUTING -p tcp --dport 3389 -j REDIRECT --to 10.0.0.2:3389
[9] Comentário enviado por phrich em 18/01/2012 - 08:40h
Caro ecbr, o correto seria:
iptables -t nat -A PREROUTING -i $IFACE_WEB -p tcp --dport 3389 -j DNAT --to 192.168.0.2:3389
iptables -t nat -A PREROUTING -o $REDE_INTERNA -o $IFACE_WEB -j MASQUERADE
Obrigado por ter visto o erro.
Eu estava escrevendo o artigo e ao mesmo tempo trabalhando e escrevendo um outro artigo, talvez eu tenha me embolado nas regras ;-)
Mais tarde, postarei novamente o script com as devidas correções ok?
Mais uma vez obrigado a todos!
Caro ecbr, o correto seria:
iptables -t nat -A PREROUTING -i $IFACE_WEB -p tcp --dport 3389 -j DNAT --to 192.168.0.2:3389
iptables -t nat -A PREROUTING -o $REDE_INTERNA -o $IFACE_WEB -j MASQUERADE
Obrigado por ter visto o erro.
Eu estava escrevendo o artigo e ao mesmo tempo trabalhando e escrevendo um outro artigo, talvez eu tenha me embolado nas regras ;-)
Mais tarde, postarei novamente o script com as devidas correções ok?
Mais uma vez obrigado a todos!
[10] Comentário enviado por levi linux em 18/01/2012 - 09:55h
Parabéns phrich, excelente artigo, bastante didático. Assim como o eldermarco fiquei motivado a estudar o iptables. 10, favoritado!
Parabéns phrich, excelente artigo, bastante didático. Assim como o eldermarco fiquei motivado a estudar o iptables. 10, favoritado!
[11] Comentário enviado por removido em 18/01/2012 - 12:06h
Phillip,
Assim que preparar todas as modificações, descreva a página, o trecho sobre como está e como quer deixar. OK?
Envie tudo para este e-mail: izac.cf@gmail.com
É bem melhor efetuarmos as correções no próprio artigo do que postá-las nos comentários.
Os trabalhos devem estar corretos para quem faz a leitura, e fora que tem pessoas que nem leem os comentários.
Agradecemos também ao pessoal que está colaborando com as correções.
Esta é a melhor comunidade que existe!
Um abraço a todos.
Phillip,
Assim que preparar todas as modificações, descreva a página, o trecho sobre como está e como quer deixar. OK?
Envie tudo para este e-mail: izac.cf@gmail.com
É bem melhor efetuarmos as correções no próprio artigo do que postá-las nos comentários.
Os trabalhos devem estar corretos para quem faz a leitura, e fora que tem pessoas que nem leem os comentários.
Agradecemos também ao pessoal que está colaborando com as correções.
Esta é a melhor comunidade que existe!
Um abraço a todos.
[12] Comentário enviado por phrich em 18/01/2012 - 12:24h
Perfeito izaias, vou realizar as correções e lhe enviar.
Perfeito izaias, vou realizar as correções e lhe enviar.
[13] Comentário enviado por phrich em 21/01/2012 - 11:06h
Prezados, já foi enviado ao moderador as correções do script, agora ele está certinho ok?
Mais uma vez obrigado a todos!
Prezados, já foi enviado ao moderador as correções do script, agora ele está certinho ok?
Mais uma vez obrigado a todos!
[14] Comentário enviado por dalveson em 02/02/2012 - 15:29h
Otimo artigo, para mim ja esta sendo bastante util a tempos que queria organizar um script aqui e nao tinha muito noção de como fazer, este artigo clareu bastante!
tenho algumas duvidas:
1-em outros artigos aqui do viva o linux mesmo, os autores nos orientam a colocar os parametos iptables - F, iptables - Z e iptables - X vc coloca apenas o F para limpar, na sua opniao os demais nao seriam muito uteis ou depende de cada um?
2-Na variavel das Portas UDP e TCP eu posso colocar quantas portas que quiser sem dar problema na regras, ou tenho um limite sei lá tipo 30 portas?
abraços
Otimo artigo, para mim ja esta sendo bastante util a tempos que queria organizar um script aqui e nao tinha muito noção de como fazer, este artigo clareu bastante!
tenho algumas duvidas:
1-em outros artigos aqui do viva o linux mesmo, os autores nos orientam a colocar os parametos iptables - F, iptables - Z e iptables - X vc coloca apenas o F para limpar, na sua opniao os demais nao seriam muito uteis ou depende de cada um?
2-Na variavel das Portas UDP e TCP eu posso colocar quantas portas que quiser sem dar problema na regras, ou tenho um limite sei lá tipo 30 portas?
abraços
[15] Comentário enviado por [gregory] em 03/02/2012 - 15:50h
Boa tarde amigos... gostei muito do post só queria deixar uma dica caso vocês estejam tendo muitas dificuldades com iptables que nem eu.. Uso como regra de firewall o ipfw no freebsd. Ele é muito bom e muito, mas absurdamente simples... Fica a dica pra quem quizer pesquisar sobre o assunto.
Boa tarde amigos... gostei muito do post só queria deixar uma dica caso vocês estejam tendo muitas dificuldades com iptables que nem eu.. Uso como regra de firewall o ipfw no freebsd. Ele é muito bom e muito, mas absurdamente simples... Fica a dica pra quem quizer pesquisar sobre o assunto.
[16] Comentário enviado por phrich em 03/02/2012 - 19:29h
Caro dalveson vamos a suas dúvidas:
O parâmetro -Z é para zerar os contadores.
O parâmetro -X é para deletar uma chain.
O parâmetro -F é para limpar as regras que estão atualmente carregadas.
O módulo multiport suporta até 15 portas em sequência, ou vc pode especificar um intervalo de portas, por exemplo:
A linha abaixo libera as portas especificadas:
iptables -A INPUT -p tcp -m multiport --dports "1,2,3,4,5,6,7,8,9,10,11,12,13,14,15" -j ACCEPT
A linha abaixo substitui a linha acima:
iptables -A INPUT -p tcp -m multiport --dports "1:15" -j ACCEPT
Qualquer dúvida basta consultar o manual, ele é bem detalhado.
#man iptables
Até a próxima!
Caro dalveson vamos a suas dúvidas:
O parâmetro -Z é para zerar os contadores.
O parâmetro -X é para deletar uma chain.
O parâmetro -F é para limpar as regras que estão atualmente carregadas.
O módulo multiport suporta até 15 portas em sequência, ou vc pode especificar um intervalo de portas, por exemplo:
A linha abaixo libera as portas especificadas:
iptables -A INPUT -p tcp -m multiport --dports "1,2,3,4,5,6,7,8,9,10,11,12,13,14,15" -j ACCEPT
A linha abaixo substitui a linha acima:
iptables -A INPUT -p tcp -m multiport --dports "1:15" -j ACCEPT
Qualquer dúvida basta consultar o manual, ele é bem detalhado.
#man iptables
Até a próxima!
[17] Comentário enviado por phrich em 03/02/2012 - 19:31h
Gregory, eu já tive a oportunidade de trabalhar com o ipfw, acho que a maior diferença está na sintaxe mesmo, acho mais uma questão de costume.
Eu particularmente, acostumei com o iptables, qdo usei o ipfw, fiquei meio perdido, mas é muito bom também. :-)
Obrigado por compartilhar com esta dica, afinal somos livres!
Gregory, eu já tive a oportunidade de trabalhar com o ipfw, acho que a maior diferença está na sintaxe mesmo, acho mais uma questão de costume.
Eu particularmente, acostumei com o iptables, qdo usei o ipfw, fiquei meio perdido, mas é muito bom também. :-)
Obrigado por compartilhar com esta dica, afinal somos livres!
[18] Comentário enviado por dalveson em 04/02/2012 - 17:21h
Boa tarde phrich, obrigado pela atenção dada a minha duvida.
Estou aplicando o exemplo em um ambiente virtual, afinal não tenho muito conhecimento sobre iptables.
Porem estou com uma duvida, quando eu dou um start no firewall não consigo acessar nada na estação, qdo eu dou um stop tudo funciona de boa porem com tudo ACCEPT conforme descrito no script, então fui ate a parte "# CRIA A IDA E VOLTA DO ACESSO NAS CHAINS INPUT, OUTPUT E FORWARD, ASSIM NÃO PRECISAMOS CRIAR A IDA E VOLTA NAS REGRAS" , e adicione NEW ao state ficando assim:
iptables -A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
Funcionou de boa porem ta permitindo toda nova conexão sem restrição de portas, por mais que as politicas estejam DROP, se eu retirar o NEW as estação não acessam, vc tem ideia do que estaria acontecendo?
Boa tarde phrich, obrigado pela atenção dada a minha duvida.
Estou aplicando o exemplo em um ambiente virtual, afinal não tenho muito conhecimento sobre iptables.
Porem estou com uma duvida, quando eu dou um start no firewall não consigo acessar nada na estação, qdo eu dou um stop tudo funciona de boa porem com tudo ACCEPT conforme descrito no script, então fui ate a parte "# CRIA A IDA E VOLTA DO ACESSO NAS CHAINS INPUT, OUTPUT E FORWARD, ASSIM NÃO PRECISAMOS CRIAR A IDA E VOLTA NAS REGRAS" , e adicione NEW ao state ficando assim:
iptables -A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
Funcionou de boa porem ta permitindo toda nova conexão sem restrição de portas, por mais que as politicas estejam DROP, se eu retirar o NEW as estação não acessam, vc tem ideia do que estaria acontecendo?
[19] Comentário enviado por phrich em 15/02/2012 - 08:59h
Caro dalveson teriamos que ver seu script de firewall....
Depois me envie por email ok?
Caro dalveson teriamos que ver seu script de firewall....
Depois me envie por email ok?
[20] Comentário enviado por beyraq em 16/02/2012 - 14:52h
Olá, me ajude aqui http://www.vivaolinux.com.br/topico/Redes/iptables-bloqueia-tudo
Obrigado desde já.
Olá, me ajude aqui http://www.vivaolinux.com.br/topico/Redes/iptables-bloqueia-tudo
Obrigado desde já.
[21] Comentário enviado por dalveson em 23/03/2012 - 19:54h
Boa noite phrich,
Acabei de enviar um e-mail para vc com o script, obrigado pela atenção dedicada.
att
Boa noite phrich,
Acabei de enviar um e-mail para vc com o script, obrigado pela atenção dedicada.
att
[22] Comentário enviado por xanddydf em 08/05/2012 - 22:32h
Boa Noite phrich
Estou com o mesmo problema que o dalveson está passando.
Qual foi a solução? você pode me ajudar?
Meu e-mail é carlosalexandre@crtisolutions.com.br
Estou usando Debian Squeeze
Obrigado pela atenção
Boa Noite phrich
Estou com o mesmo problema que o dalveson está passando.
Qual foi a solução? você pode me ajudar?
Meu e-mail é carlosalexandre@crtisolutions.com.br
Estou usando Debian Squeeze
Obrigado pela atenção
[23] Comentário enviado por phrich em 08/05/2012 - 22:58h
Caro xanddydf, já enviei ao seu email, pedi no email que vc abrisse um tópico na comunidade http://www.vivaolinux.com.br/comunidade/Squid-Iptables pois assim teriamos até mais pessoas para lhe ajudar ok?
Assim se eu estiver sem tempo, outras pessoas lhe ajudarão. ;-)
Caro xanddydf, já enviei ao seu email, pedi no email que vc abrisse um tópico na comunidade http://www.vivaolinux.com.br/comunidade/Squid-Iptables pois assim teriamos até mais pessoas para lhe ajudar ok?
Assim se eu estiver sem tempo, outras pessoas lhe ajudarão. ;-)
[24] Comentário enviado por embura em 06/07/2012 - 16:28h
Essa regra esta liberando INPUT na 3128 para todo.
# Libera o squid a partir da rede interna
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
assim só libera para a rede interna
iptables -A INPUT -s $REDE_INTERNA -p tcp --dport 3128 -j ACCEPT
Essa regra esta liberando INPUT na 3128 para todo.
# Libera o squid a partir da rede interna
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
assim só libera para a rede interna
iptables -A INPUT -s $REDE_INTERNA -p tcp --dport 3128 -j ACCEPT
[25] Comentário enviado por phrich em 08/07/2012 - 09:45h
Caro embura, eu já havia realizado algumas correções no script, porém outras não foram corrigidas devido a falta de atenção e falta de tempo, de qualquer forma obrigado pela correção.
Caro embura, eu já havia realizado algumas correções no script, porém outras não foram corrigidas devido a falta de atenção e falta de tempo, de qualquer forma obrigado pela correção.
[26] Comentário enviado por cpa83 em 11/12/2013 - 08:52h
Muito bom realmente seu artigo, queria saber se vc pode me enviar por email esse seu script corrigido.
Desde já queria te agradecer.
Meu email:cristiano.paiva@gmail.com
Muito bom realmente seu artigo, queria saber se vc pode me enviar por email esse seu script corrigido.
Desde já queria te agradecer.
Meu email:cristiano.paiva@gmail.com
[27] Comentário enviado por Cesar29 em 31/03/2014 - 15:09h
Muito bom seu artigo, acabei tirando varias dúvidas com ele em meu ambiente teste, so encontrei dois detalhes que precisam ser corrigidos.
-----------------------------------------------------
# CRIA FUNÇÃO STOP #
# Esta função limpa todas as regras, deixa as políticas padrões com ACCEPT e deixa todo e qualquer acesso liberado
############################################################################
functio stop () { <------- Falta um "n" no final da palavra function.
# LIMPA AS REGRAS EXISTENTES #
-----------------------------------------------------
-----------------------------------------------------
*)
echo "Insira um parâmetro para /etc/init.d/firewall... start | stop | restart <-------- Falta uma " após restart.
exit 0
;;
-----------------------------------------------------
Mais uma vez muito obrigado pela contribuição.
Muito bom seu artigo, acabei tirando varias dúvidas com ele em meu ambiente teste, so encontrei dois detalhes que precisam ser corrigidos.
-----------------------------------------------------
# CRIA FUNÇÃO STOP #
# Esta função limpa todas as regras, deixa as políticas padrões com ACCEPT e deixa todo e qualquer acesso liberado
############################################################################
functio stop () { <------- Falta um "n" no final da palavra function.
# LIMPA AS REGRAS EXISTENTES #
-----------------------------------------------------
-----------------------------------------------------
*)
echo "Insira um parâmetro para /etc/init.d/firewall... start | stop | restart <-------- Falta uma " após restart.
exit 0
;;
-----------------------------------------------------
Mais uma vez muito obrigado pela contribuição.
[28] Comentário enviado por GonzalezRS em 19/07/2014 - 20:09h
Queria saber como libero um ip para não passar pelo proxy nem pelo iptables.
Estou usando esse script, meu professor me indicou pois está muito didático e fácil compreensão.
desde já agradeço.
Queria saber como libero um ip para não passar pelo proxy nem pelo iptables.
Estou usando esse script, meu professor me indicou pois está muito didático e fácil compreensão.
desde já agradeço.
[29] Comentário enviado por phrich em 22/07/2014 - 11:48h
[28] Comentário enviado por GonzalezRS em 19/07/2014 - 20:09h:
Queria saber como libero um ip para não passar pelo proxy nem pelo iptables.
Estou usando esse script, meu professor me indicou pois está muito didático e fácil compreensão.
desde já agradeço.
Se o seu firewall está na "borda" da rede, os hosts obrigatoriamente terão que passar pelo firewall, agora se algum host não precisa passar pelo proxy é outra história...
Pesquise sobre excessões de proxy.
[28] Comentário enviado por GonzalezRS em 19/07/2014 - 20:09h:
Queria saber como libero um ip para não passar pelo proxy nem pelo iptables.
Estou usando esse script, meu professor me indicou pois está muito didático e fácil compreensão.
desde já agradeço.
Se o seu firewall está na "borda" da rede, os hosts obrigatoriamente terão que passar pelo firewall, agora se algum host não precisa passar pelo proxy é outra história...
Pesquise sobre excessões de proxy.
[30] Comentário enviado por HeitorMiranda em 09/12/2015 - 18:34h
Boa tarde, estou tentando entender comando a comando, porém estou com uma dúvida, o que de fato efetua "--icmp-type 8", tem algo relacionado com o TOS?
Boa tarde, estou tentando entender comando a comando, porém estou com uma dúvida, o que de fato efetua "--icmp-type 8", tem algo relacionado com o TOS?
[31] Comentário enviado por thiagosc em 21/12/2016 - 16:22h
Muito bom o artigo, parabéns.
Uma dúvida, esse script bloqueia utilização de torrents?
Muito bom o artigo, parabéns.
Uma dúvida, esse script bloqueia utilização de torrents?
[32] Comentário enviado por phrich em 29/12/2016 - 10:16h
Caro thiagosc, em tese sim, tudo vai depender de como vc for configurar o script, com as políticas padrões como DROP ele bloqueia tudo e libera só o que vc especificar, aí vc terá que ver como o seu programa de torrent se conecta.
Caro thiagosc, em tese sim, tudo vai depender de como vc for configurar o script, com as políticas padrões como DROP ele bloqueia tudo e libera só o que vc especificar, aí vc terá que ver como o seu programa de torrent se conecta.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Não to conseguindo resolver este problemas ao instalar o playonelinux (1)
Excluir banco de dados no xampp (1)
Top 10 do mês
-
Xerxes
1° lugar - 65.395 pts -
Fábio Berbert de Paula
2° lugar - 50.839 pts -
Buckminster
3° lugar - 17.543 pts -
Mauricio Ferrari
4° lugar - 15.308 pts -
Alberto Federman Neto.
5° lugar - 13.919 pts -
Diego Mendes Rodrigues
6° lugar - 13.622 pts -
Daniel Lara Souza
7° lugar - 12.989 pts -
Andre (pinduvoz)
8° lugar - 10.372 pts -
edps
9° lugar - 10.477 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.384 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
