Ajudem

1. Ajudem

Adriano Faria
adriansmith

(usa Debian)

Enviado em 05/03/2008 - 18:01h

Pessoalll... boa tarde...

Estou tentando fazer um firewall pra minha maquina... estou usando linux num VMware...

Alterei meu squid pra porta 3128.. antes tava 8080....
mas bom... quando rodo o FW...
eu pingo mais nao conecto em nenhum site.. o estranho eh q pingo estes sites...

abaixo meu FW..
me ajudem por favor...

abraços...

####****** Regras de entrada (INPUT)

##Zerando todas as regras que vem por padrão:

iptables -F

##bloquear entrada(INPUT), encaminhamento(FORWARD) e saída(OUTPUT).

iptables -P INPUT DROP # (bloqueia entrada)
iptables -P FORWARD DROP # (bloqueia encaminhamento)
iptables -P OUTPUT DROP # Drop(bloqueia saída)

## liberar serviços de entrada:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #aceita conexões estabelecidas#
iptables -A INPUT -i lo -j ACCEPT #(aceita localhost 127.0.0.1)
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT #(aceita ssh)
iptables -A INPUT -p tcp -m tcp --dport 5432 -j ACCEPT #(aceita postgresql)

##########################

iptables -A INPUT -s 10.1.1.0/8 -d 10.1.1.254 -p tcp -m tcp --dport 3128 -j ACCEPT #(aceita Squid somente para rede)
iptables -A INPUT -s 10.1.1.0/8 -d 10.1.1.254 -p udp -m udp --dport 53 -j ACCEPT #(aceita DNS somente para rede)


##### ****** Regras de encaminhamento(FORWARD) e nat
####Sempre que for habilitar uma regra de FORWARD para a internet você precisa adicionar uma regra para que o iptables possa fazer nat.

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -A POSTROUTING -o ppp -j MASQUERADE

### Se usar FORWARD como DROP por padrão, mas mesmo assim quer que a porta 80(http) e a porta 443(https) passe pelo Squid, adicione a seguinte regra:

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128

####presumindo que use FORWARD como DROP, vamos liberar alguns acessos:

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT #(aceita conexões estabelecidas)

iptables -A FORWARD -d 10.1.1.2 -j ACCEPT #(aceita todas as porta para o ip 10.1.1.2)
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT #(aceita pop3)
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT #(aceita smtp)
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT #( aceita ssh)
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT #( aceita terminal service)
iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT

#### *********** Regras de saída(OUTPUT)
# Caso uso DROP em OUTPUT como padrao

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #(aceita conexões estabelecidas)
iptables -A OUTPUT -o lo -j ACCEPT #(aceita saída localhost 127.0.0.1)
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT #(aceita HTTP)
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT #(aceita HTTPS)
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT #(aceita DNS)
iptables -A OUTPUT -p tcp --dport 3128 -j ACCEPT

# ip6tables -F (limpando as regras)
# ip6tables -P INPUT DROP (bloqueia entrada)
# ip6tables -P FORWARD DROP (bloqueia encaminhamento)
# ip6tables -P OUTPUT DROP (bloqueia saída)



  


2. teste esse:

Marcelo Corrêa
exercitobr

(usa Debian)

Enviado em 05/03/2008 - 20:55h

#Limpando regras e politicas.
iptables -F
iptables -X

#Negando todo trafico de pacotes.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#Barrando SSH (porta 4632)
#iptables -A INPUT -p TCP --dport 4632 -j DROP

#Barrando Time
iptables -A INPUT -p TCP --dport 113 -j DROP

#Barrando Auth
iptables -A INPUT -p TCP --dport 37 -j DROP

#Barrando VNC
iptables -A INPUT -p TCP --dport 5901 -j DROP

#Barrando X11
iptables -A INPUT -p TCP --dport 6000 -j DROP
iptables -A INPUT -p TCP --dport 6001 -j DROP

##################### PARTE 2 #####################

#liberando tráfego de rede local (127.0.0.1)
iptables -A INPUT -i lo -j ACCEPT
#iptables -A OUTPUT -o lo -j ACCEPT


#Liberando nessus
#iptables -A INPUT -p tcp --destination-port 1241 -j ACCEPT


#Liberando socks
iptables -A OUTPUT -p tcp --sport 1024:5999 --dport 1080:1080 -m state --state NEW -j ACCEPT

#Liberando SSH (porta 4632)
iptables -A INPUT -p tcp --destination-port 4632 -j ACCEPT

#Abrindo interface lo
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

#Liberando pacotes que realmente devem estabelecer conexão.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Liberar Apache na porta 8080
iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT
#iptables -A FORWARD -j ACCEPT -p tcp --dport 8080

#Liberar acesso http (www)
iptables -A OUTPUT -p tcp --sport 1024:5999 --dport 80:80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:5999 --dport 8080:8080 -m state --state NEW -j ACCEPT

#Liberando MSN
iptables -A OUTPUT -p tcp --sport 1024:5999 --dport 1863:1863 -m state --state NEW -j ACCEPT







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts