Bloquear acesso externo

rubens_web
(usa Debian)

Enviado em 30/12/2011 - 10:01h

Galera do VOL, primeiramente, QUE TODOS TENHA UM FELIZ ANO NOVO!

bom... a situação é o seguinte, tenho um GATEWAY na rede e por ele tenho acesso externo as minhas cameras de segurança internas da empresa. Porém o samba também está configurado apenas uma pasta PUBLICO, mas quando eu estou externo também consigo acessar esta pasta PÚBLICO.

Onde eu devo bloquear no meu FIREWALL para que nao consiga acessar externo sem prejudicar o acesso as minhas CAM de segurança que utilizam a porta 6061

grato!

phrich
(usa Slackware)

Enviado em 30/12/2011 - 10:23h

Bom, primeiro precisamos saber como está o seu firewall para podermos te dar uma luz.

Teria como vc postar seu script de firewall aqui?

rubens_web
(usa Debian)

Enviado em 30/12/2011 - 10:44h

#REGRAS DE IPTABLES

##########TODOS PACOTES RECEBIDOS NA REDE LOCAL DIRECIONADO PARA SQUID
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128


##########FIREWALL LIBERA HTTPS (443)
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE


##########LIBERA ACESSO CAMERAS (STAND ALONE)
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 3130 -j DNAT --to-destination 192.168.1.xx
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 6036 -j DNAT --to-destination 192.168.1.xx


##########LIBERA ACESSO CAMERAS (CAM3)
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 6061 -j DNAT --to-destination 192.168.1.yy
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 4551 -j DNAT --to-destination 192.168.1.yy
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 5551 -j DNAT --to-destination 192.168.1.yy


##########BLOQUEIA PORTA MSN
iptables -A FORWARD -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -p tcp --dport 5223 -j REJECT

rubens_web
(usa Debian)

Enviado em 30/12/2011 - 11:04h

Segue acima o meu Firewall.

phrich
(usa Slackware)

Enviado em 30/12/2011 - 11:11h

Acredito eu que suas politicas padrões estejam como ACCEPT...

Bom se eu estiver certo recomendo que vc coloque elas como DROP


# Colocar as regras abaixo antes de qqr regra de liberação
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Adicione essas linhas para vc nao precisar criar ida/volta da conexão
# Mas estude essas linhas para vc compreender o que está sendo feito ok?
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT


Assim todos os acesso estarão bloqueados e vc coloca as suas regras abaixo das linhas descritas aqui, não esquecendo de acrescentar as regras de liberação, por exemplo:

# Libera o squid para a rede local
iptables -A INPUT -p tcp --dport 3128 -s range_da_sua_rede -j ACCEPT

# Libera a WEB para localhost
iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT

Crie também as regras de FORWARD para as portas de sua câmera (após das regras de NAT)

iptables -A FORWARD -p tcp --dport porta_das_cameras -j ACCEPT

Testa ai e nos avise ok?

rubens_web
(usa Debian)

Enviado em 30/12/2011 - 11:27h

Desculpe, sou iniciante!

Entao... se eu colocar isso abaixo antes de qqr comando meu deverá bloquear o acesso externo ao meu server?

# Colocar as regras abaixo antes de qqr regra de liberação
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Adicione essas linhas para vc nao precisar criar ida/volta da conexão
# Mas estude essas linhas para vc compreender o que está sendo feito ok?
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT


Mas...
E as minhas regras existentes terá que ser reformuladas? ou não sofrerá nenhuma alteração?

phrich
(usa Slackware)

Enviado em 30/12/2011 - 11:45h

Algumas regras vão sofrer alterações sim, vamos lá:

# Habilita o roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward

# Faz o roteamento da rede interna para a WEB
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

# coloca as políticas padrões como DROP (Leia sobre política padrão do iptables)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Faz a ida/volta dos pacotes (Estude sobre essas linhas)
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# REGRAS DE NAT (coloque aqui todas as regras da tabela nat)

##########TODOS PACOTES RECEBIDOS NA REDE LOCAL DIRECIONADO PARA SQUID
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128


##########LIBERA ACESSO CAMERAS (STAND ALONE)
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 3130 -j DNAT --to-destination 192.168.1.xx
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 6036 -j DNAT --to-destination 192.168.1.xx

##########LIBERA ACESSO CAMERAS (CAM3)
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 6061 -j DNAT --to-destination 192.168.1.yy
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 4551 -j DNAT --to-destination 192.168.1.yy
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 5551 -j DNAT --to-destination 192.168.1.yy


###################
# REGRAS DE INPUT #
###################
# Libera squid para rede interna
iptables -A INPUT -p tcp --dport 3128 -s range_da_rede_interna -j ACCEPT

####################
# REGRAS DE OUTPUT #
####################
# Libera web para localhost/squid
iptables -A OUTPUT -m multiport --dports 80,443 -j ACCEPT

# Libera consulta DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

# Libera ftp para apt-get e outros
iptables -A OUTPUT -p tcp -m multiport --dports 20,21 -j ACCEPT

#####################
# REGRAS DE FORWARD #
#####################
# Cameras
iptables -A FORWARD -p tcp -d MEU_IPFIXO --dport 4551 -j ACCEPT
iptables -A FORWARD -p tcp -d MEU_IPFIXO --dport 5551 -j ACCEPT
iptables -A FORWARD -p tcp -d MEU_IPFIXO --dport 6061 -j ACCEPT


#####################################################################################
# As regras abaixo não são necessárias pq já estão bloqueadas retire do seu script
##########BLOQUEIA PORTA MSN
iptables -A FORWARD -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -p tcp --dport 5223 -j REJECT




Ai vc vai acrescentando as demais regras de liberação, pois tudo o que não estiver liberado já estará automaticante bloqueado.

Teste e nos avise ok?

rubens_web
(usa Debian)

Enviado em 30/12/2011 - 14:11h

OK... Vou testar e posto ai!!!

rubens_web
(usa Debian)

Enviado em 04/01/2012 - 08:36h

Realizei as devidas alterações, porém o meu PUTTY ficou bloqueado o que eu faço para liberar o acesso ao PUTTY na minha rede interna/externa?

O acesso as pasta compartilhadas na rede pelo SAMBA também bloqueou tipo quando eu digitava \\IP_SERVIDOR\publico de um terminal, é para abrir a pasta PÚBLICO compartilhada no servidor.

phrich
(usa Slackware)

Enviado em 04/01/2012 - 11:06h

Vc está usando VPN?

Onde fica o SSH no firewall e/ou em outro host da sua rede interna?

Temos que entender sua estrutura para poder lhe dar uma luz

rubens_web
(usa Debian)

Enviado em 06/01/2012 - 08:20h

Fiz o que o amigo "phrich" enviou porém NAO navega na internet.
O que está faltando para liberar a internet com tudo DROP??

Observação/dúvida:
Como eu faço para fazer um RELOAD do meu firewall após eu ter alterado? Pois sempre preciso reiniciar o servidor para que o firewall tenha efeito.

O meu firewall eu coloquei para iniciar junto ao sistema no "rc.local" mas na pasta "init.d" não tem o serviço do "iptables" e/ou "firewall" para eu executar os comandos "stop, start e reload".

O que eu faço também neste caso?

phrich
(usa Slackware)

Enviado em 06/01/2012 - 10:13h

Vamos lá:

Para vc ter a função de start, stop, e restart, vc precisa criá-las, então vc teria que fazer algo do tipo:

function start () {

COLOCAR NESTE BLOCO TODO OS COMANDOS QUE SERIAM DAS REGRAS ATIVAS, OU SEJA, TODAS AS POLÍTICAS COMO DROP E AS REGRAS DE LIBERAÇÃO.

}

function stop () {

COLOCAR TODAS AS POLITICAS COMO ACCEPT E TAMBÉM COLOCAR A REGRA DE MASQUERADE
}


Após isto vc coloca o seguinte código:


case $1 in

start)
start
;;

stop)
stop
;;

restart)
stop
start
;;

*)
echo
echo "use start | stop | restart"
exit 0
;;
esac

Como vc usa Debian o script de firewall deve estar em /etc/init.d/nome_do_arquivo_de_firewall


Para navegar na internet nas suas regras de OUTPUT vc deve liberar as portas 80, 443 e 53(tcp e udp).

Testa ai e nos avise ok?