Iptables (Firewall)

Firewall muito bom para servidores

Categoria: Segurança

Software: Iptables

[ Hits: 30.964 ]

Por: Cassio


Este Firewall atualmente esta vigorando na minha empresa. Ate hoje nao tive problemas com ele. Coloquei a liberação do Kazaa para dar exemplo caso seja necessario barrar ou liberar alguma outra porta que seja solicitada.

Abraços


echo
echo
echo
echo
echo
echo "#########################################################"
echo "#########################################################"
echo "########   LAN = ETH2      -     WAN = ETH0   ###########"
echo "#########################################################"
echo "#########################################################"
echo "################    ALCX CONSULTING   ###################"
echo "#########################################################"
echo "#########################################################"

#=========================================================================================

echo
echo
echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo "@@@        CONFIGURACAO DO FIREWALL @@@@@@@@@@"
echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo
echo

#=========================================================================================

echo " LIMPANDO AS REGRAS DO IPTABLES ------------------------ OK"
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

#=========================================================================================

echo " DEFININDO POLITICA DE REGRAS DO IPTABLES -------------- OK"

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#=========================================================================================

echo " LIBERANDO ACESSO AO SERVIDOR -------------------------- OK"

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 0/0 -p udp -m multiport --sport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp -m multiport --sport 22,25,80,110,443 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp -m multiport --dport 22,25,80,110,443 -j ACCEPT

#=========================================================================================

echo " BARRANDO SERVIÇOS E SITES EXTRAS ---------------------- OK"

iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d gateway.messenger.hotmail.com -j DROP
iptables -A FORWARD -d messenger.hotmail.com -j DROP
iptables -A FORWARD -d loginnet.passport.com -j DROP
iptables -A FORWARD -d login.passport.net -j DROP
iptables -A FORWARD -d login.icq.com -j DROP

#=========================================================================================

echo " LIBERANDO ACESSO A REDE LOCAL ------------------------- OK"

iptables -A INPUT -i eth2 -p tcp -m multiport --dport 80,22,25,110,137,138,139,443,445,3128 -j ACCEPT
iptables -A INPUT -i eth2 -p tcp -m multiport --sport 80,22,25,110,137,138,139,443,445,3128 -j ACCEPT
iptables -A INPUT -i eth2 -p udp -m multiport --dport 137,138,139,445,3128 -j ACCEPT
iptables -A INPUT -i eth2 -p udp -m multiport --sport 137,138,139,445,3128 -j ACCEPT

iptables -A FORWARD -i eth2 -p tcp -m multiport --dport 80,22,25,110,443 -j ACCEPT  ### QUESTIONAVEL ###
iptables -A FORWARD -s 0/0 -p tcp -m multiport --sport 80,22,25,110,443 -j ACCEPT
iptables -A FORWARD -s 0/0 -p udp -m multiport --sport 53 -j ACCEPT
iptables -A FORWARD -i eth2 -p udp -m multiport --dport 53 -j ACCEPT

#=========================================================================================

echo " LIBERANDO SERVIÇOS E SITES EXTRAS ---------------------- OK"

iptables -A FORWARD -i eth2 -p udp -m multiport --dport 1214,32656 -j ACCEPT #### KAZAA
iptables -A FORWARD -i eth2 -p tcp -m multiport --dport 1214,32656 -j ACCEPT #### KAZAA
iptables -A FORWARD -s 0/0 -p tcp -m multiport --sport 1214,32656 -j ACCEPT #### KAZAA
iptables -A FORWARD -s 0/0 -p udp -m multiport --sport 1214,32656 -j ACCEPT #### KAZAA

#=========================================================================================

echo " LIBERAÇÃO DOS SOCKETES -------------------------------- OK"

#### COM A LIBERACAO DAS PORTAS UDP-137,138,139,445 NAO EH NECESSARIO COLOCAR A CHAIN ABAIXO
#### SO EM CASO DE ERRO 

#iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT  #### DESCOMENTEM ESTA LINHA CASO SEJA NECESSARIO

#=========================================================================================

echo " COMPARTILHAMENTO DA INTERNET, MASCARAMENTO ------------ OK"

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#=========================================================================================

echo " PERMITINDO PROXY TRANSPARENTE ------------------------- OK"

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

#=========================================================================================

echo " PERMITINDO REDIRECIONAMENTO DE PACOTES ---------------- OK"

echo 1 >/proc/sys/net/ipv4/ip_forward

echo
echo
echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo "@@@        TERMINO DA CONFIGURAÇÃO         @@@"
echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo
echo
  


Comentários
[1] Comentário enviado por cah666 em 15/04/2006 - 17:51h

muito bom ^^

[2] Comentário enviado por daminelli em 18/04/2006 - 19:39h

gostaria de fazer uma perguntra para vc...

as linhas de mascaramento e de proxy transparentes, devem ser sempre as ultimas linhas do firewall?
favor responder tambem para o e-mail dad@unesc.net

Obrigado.

Diniz


[3] Comentário enviado por daminelli em 18/04/2006 - 19:54h

outra pergunta....

a sequencia: primeiro mascaramento e depois a configuração do uso do proxy, tem que ser esta? pois li o seguinte:

"Forçar as estações passarem pelo proxy, precisa colocar uma regra no firewall pra redirecionar todo o trafego da porta 80 para a porta 3128, o local de inserir a regra também é muito importante, tem que ser antes da regra que faz nat para evitar que as estações continue navegando sem passar pelo proxy... "

fonte:
http://72.14.203.104/search?q=cache:lBeKD0pwR5QJ:www.zago.eti.br/squid/dicas-e-truques.html+multipor...


acho que a sua regra está ao contrario.. é isto mesmo?

Obrigado

Diniz

[4] Comentário enviado por lipecys em 26/09/2007 - 15:36h

Muito bom.

Valew.


Contribuir com comentário

  



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts