robsoncb
(usa Outra)
Enviado em 25/05/2008 - 15:54h
Pessoal,
Montei esse firewall para um servidor proxy, através de estudos que fiz na net.
Nele vai ser acessado externamente ssh e ftp, a qual coloquei regras na Chain INPUT.
Na rede local, fiz encaminhamento da chain FORWARD, sem restringir portas.
O proxy não vai ser transparente, usa squid, e já está funcionando, vai ser configurado no browser pela porta 3128, para a minha rede local soemnte.
-Estou com dúvida se devo liberar a porta 80 na chain INPUT ?
-Essa máquina tem um banco de dados, que vai ser acessado da minha rede, será devo colocar a porta do banco de dados na chain INPUT ? Se for na chain FORWARD, como já fiz a liberação dela para a rede interna, suponho que não seja preciso colocar nehuma regra na FORWARD, correto ?
Estou postando ele para ver se vocês concordam com as regras:
---------------
#Limpando regras
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Aceita todo o tráfego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT
#CHAIN INPUT
iptables -A INPUT -p tcp -m state --state NEW -s 0/0 --dport 20 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -s 0/0 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -s 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -s 192.168.1.0/24 --dport 80 -j ACCEPT (dúvida)
iptables -A INPUT -p tcp -m state --state NEW -s 192.168.1.0/24 --dport 3128 -j ACCEPT
#CHAIN FORWARD
iptables -A FORWARD -m state --state NEW -s 192.168.1.0/24 -j ACCEPT
Vou fazer os testes com ele durante a semana, se acharem que alguma regra não está legal podem me dizer !!
Robson.