[9] Comentário enviado por juno em 08/10/2012 - 16:01h:
Prezado rjdiniz,
Ao executar acusa algum erro? Estou utilizando essas regras do meu fw em Debain e funcionam normalmente.
Se puder poste o script de seu firewall para analisarmos.
abs,
Não dá erro algum...
#!/bin/bash
# Manutenção: Raul Júnior
# Arquivo: sharing-firewall
# Caminho: /etc/init.d/
# Versão: 1.5
# Por: Raul Júnior <raul.junior.diniz@gmail.com>
iniciar(){
# Ativando o roteamento entre as placas de rede (eth0 e et1)
echo "1" > /proc/sys/net/ipv4/ip_forward
# Limpando as tabelas de entrada do IPTables e Fechando Todas as Partes
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
# Conectividade Social - Parte 1
iptables -t nat -A PREROUTING -i eth1 -d 200.201.174.0/24 -j ACCEPT
iptables -t filter -A FORWARD -i eth1 -d 200.201.174.0/24 -j ACCEPT
CAIXA="200.252.47.0/24 200.201.160/20 "
for ip in $CAIXA
do
iptables -t nat -A PREROUTING -p tcp -d $ip -j ACCEPT
iptables -A FORWARD -p tcp -d $ip -j ACCEPT
done
iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
# Barrando o Facebook
# Créditos:
http://kdn2.info/2010/11/block-facebook-com-with-iptables/
FACEBOOK_ALLOW="192.168.0.10 192.168.0.25 192.168.0.30 192.168.0.35 192.168.0.74 192.168.0.75"
iptables -N FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 443 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 80 -j FACEBOOK
iptables -I FORWARD -m tcp -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 80 -j FACEBOOK
# Facebook Allow
for face in $FACEBOOK_ALLOW; do
iptables -A FACEBOOK -s $face -j ACCEPT
done
iptables -A FACEBOOK -j REJECT
# Liberando MSN para IP´s Fixos
# Nome do Usuário
#iptables -A FORWARD -s 192.168.0.181 -p tcp --dport 1863 -j ACCEPT
#iptables -A FORWARD -s 192.168.0.181 -p tcp --dport 5190 -j ACCEPT
#iptables -I FORWARD -s 190.168.0.181 -d loginnet.password.com -j ACCEPT
#iptables -I FORWARD -s 190.168.0.181 -d hotmail.com -j ACCEPT
#iptables -I FORWARD -s 190.168.0.181 -d hotmail.com.br -j ACCEPT
# (Mudar) Abre - Fecha as Portas do MSN para o Resto da Rede
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 5190 -j ACCEPT
#iptables -I FORWARD -s 190.168.0.0/24 -d loginnet.password.com -j DROP
#iptables -I FORWARD -s 190.168.0.0/24 -d hotmail.com -j DROP
#iptables -I FORWARD -s 190.168.0.0/24 -d hotmail.com.br -j DROP
# Mascarando conexões da rede, fazendo NAT (Compartilha a Conexão)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# IP fora do Squid
# Raul
iptables -A FORWARD -s 192.168.0.74 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -s 192.168.0.74 -j RETURN
iptables -A FORWARD -s 192.168.0.75 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -s 192.168.0.75 -j RETURN
# Direcionando as solicitações da Rede para a porta do SQUID
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
# Libera para Rede Local
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
# Conectividade Social - Parte 2
iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -d 200.201.174.207 --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -d 200.201.174.204 --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -d 200.201.174.204 --dport 2631 -j ACCEPT
# Abre as Portas de fora (Internet) para dentro (Rede)
# Todas as Portas que forem necessárias tem que ser liberadas
# SSH
iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
# FTP
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# Pokets
#iptables -A INPUT -p tcp --dport 81 -j ACCEPT
# HTTP
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
# Terminal Server
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
# Almentando a Segurança
# Ignora Pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Proteção Contra Ip Spoofing
echo "1" > /proc/sys/net/ipv4/conf/default/rp_filter
# Proteção Contra Synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
# Proteção Contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Proteção Contra ataques DOS
iptables -A INPUT -m state --state INVALID -j DROP
# Redireciona as Portas de fora (Internet) para dentro (Rede)para um endereçde
# IP especÃfico...
# Todas as Portas que forem necessárias tem que ser redirecionadas
# SSH
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2222 -j DNAT --to-dest 192.168.0.254
iptables -A FORWARD -p tcp -i eth0 --dport 2222 -d 192.168.0.254 -j ACCEPT
# FTP
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to-dest 192.168.0.150
#iptables -A FORWARD -p tcp -i eth0 --dport 21 -d 192.168.0.150 -j ACCEPT
# Pokets
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 81 -j DNAT --to-dest 192.168.0.150
#iptables -A FORWARD -p tcp -i eth0 --dport 81 -d 192.168.0.150 -j ACCEPT
# Remote
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5899 -j DNAT --to-dest 192.168.0.18
#iptables -A FORWARD -p tcp -i eth0 --dport 5899 -d 192.168.0.18 -j ACCEPT
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4899 -j DNAT --to-dest 192.168.0.18
#iptables -A FORWARD -p tcp -i eth0 --dport 4899 -d 192.168.0.18 -j ACCEPT
# pcAnywhare
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5631 -j DNAT --to-dest 192.168.0.150
#iptables -A FORWARD -p tcp -i eth0 --dport 5631 -d 192.168.0.150 -j ACCEPT
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5632 -j DNAT --to-dest 192.168.0.150
#iptables -A FORWARD -p tcp -i eth0 --dport 5632 -d 192.168.0.150 -j ACCEPT
# Terminal Server
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-dest 192.168.0.10
iptables -A FORWARD -p tcp -i eth0 --dport 3389 -d 192.168.0.10 -j ACCEPT
# (Mudar) Libera - Bloqueia as portas de saÃda, tanto local quanto
# forward do MSN
iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT
iptables -A OUTPUT -p udp --dport 1863 -j ACCEPT
iptables -A FORWARD -p udp --dport 1863 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 5190 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5190 -j ACCEPT
iptables -A OUTPUT -p udp --dport 5190 -j ACCEPT
iptables -A FORWARD -p udp --dport 5190 -j ACCEPT
# Impede a abertura de novas conexes, efetivamente bloqueando o acesso
# externo ao seu servidor, com exeções das portas e faixas de endereço
# especificados anteriormente...
iptables -A INPUT -p tcp --syn -j DROP
# Mensagem de Fim das Configurações
echo "FireWall ativo..."
}
parar(){
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
echo "FireWall desativado..."
}
case "$1" in
"start") iniciar;;
"stop") parar;;
"restart") parar; iniciar;;
*)echo "Use os parâmetros sart ou stop ou restart"
esac
# Fim do Arquivo!