Criar maquina de Firewall

Buckminster
(usa Debian)

Enviado em 23/05/2013 - 05:19h

Testa esse script abaixo.
Veja bem, no arquivo interfaces que você colocou aqui antes, a placa de rede de entrada da internet está como eth1 e a placa de rede de saída para sua rede interna está como eth0.

Copiei e colei o conteúdo do teu interfaces abaixo e fiz o script de acordo com ele. Se você não mudou o interfaces, o script irá funcionar.

Em "Protecao contra ping, SYN Cookie, IP Spoofing e protecoes do kernel" você comenta o que não quiser, por exemplo, como está nas regras, o servidor não responde à ping.
Mas não mude as duas primeiras regras 'echo' dessa seção.

As portas na seção "Liberando portas somente para a rede interna" você também pode comentar as que você não precisa liberar.

Testa esse script, depois podemos implementar outras regras nele se você quiser.

#!/bin/bash
#
#Desabilitando o trafego entre as placas
##########################
echo 0 > /proc/sys/net/ipv4/ip_forward
#
##Apagando e restaurando as chains e tabelas
##############################
iptables -Z # Zera as regras das chains
iptables -F # Remove as regras das chains
iptables -X # Apaga as chains
iptables -t nat -Z
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -Z
iptables -t mangle -F
iptables -t mangle -X
#
IP_range=192.168.09.0/24
WAN_iface=eth1 #conexao com a internet
LAN_iface=eth0 #conexao com a rede interna
#
##Protecao contra ping, SYN Cookie, IP Spoofing e protecoes do kernel
#####################################################
echo 1 > /proc/sys/net/ipv4/tcp_syncookies #Syn Flood-DoS
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter #Ip Spoofing
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts #Sem ping e port scanners
echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses #Sem resposta remota
for i in /proc/sys/net/ipv4/conf/*; do
echo 0 > $i/accept_redirects #Sem redirecionar rotas
echo 0 > $i/accept_source_route #Sem traceroute
echo 1 > $i/log_martians #Loga pacotes suspeitos no kernel
echo 1 > $i/rp_filter #Ip Spoofing
echo 1 > $i/secure_redirects; done #Redirecionamento seguro de pacotes
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #Sem ping e tracert
#
#Carregando os modulos.
#################
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe iptable_mangle
modprobe ip_conntrack
#
##Definindo politicas padroes
####################
iptables -P INPUT DROP # iptables a política padrão da chain INPUT é proibir tudo
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#
##Liberando a Loopback
################
iptables -A INPUT -i lo -j ACCEPT # adiciona regra na chain INPUT para liberar a loopback
#
##Regras de segurança na internet e de aceitacao de pacotes
########################################
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW ! -i $WAN_iface -j DROP # << Interface de entrada da internet
iptables -A FORWARD -m state --state NEW ! -i $WAN_iface -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
#
##Liberando portas somente para a rede interna
###############################
iptables -A INPUT -p tcp --dport 3128 -i $LAN_iface -j ACCEPT #Proxy
iptables -A INPUT -p tcp --dport 80 -i $LAN_iface -j ACCEPT #HTTP
iptables -A INPUT -p tcp --dport 21 -i $LAN_iface -j ACCEPT #FTP
iptables -A INPUT -p tcp --dport 53 -i $LAN_iface -j ACCEPT #DNS
iptables -A INPUT -p udp --dport 53 -i $LAN_iface -j ACCEPT #DNS
iptables -A INPUT -p tcp --dport 25 -i $LAN_iface -j ACCEPT #SMTP
iptables -A INPUT -p tcp --dport 110 -i $LAN_iface -j ACCEPT #SSL
iptables -A INPUT -p udp --dport 110 -i $LAN_iface -j ACCEPT #SSL
iptables -A INPUT -p tcp --dport 8080 -j ACEPT #HTTP - Apache
iptables -A INPUT -p udp --dport 8080 -j ACCEPT #HTTP - Apache
#
# Habilita o roteamento no kernel #
echo 1 > /proc/sys/net/ipv4/ip_forward
#
# Compartilha a internet
iptables -t nat -A POSTROUTING -o $WAN_iface -j MASQUERADE
#
# Redirecionando para o Squid
#iptables -t nat -A PREROUTING -i $LAN_iface -p tcp --dport 80 -j REDIRECT --to-port 3128

## FIM ##


# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface

auto lo
iface lo inet loopback

# Primeira placa de rede
allow-hotplug eth0
iface eth0 inet static
address 192.168.0.1
netmask 255.255.255.0
broadcast 192.168.0.255

# The secondary network interface
allow-hotplug eth1
iface eth1 inet dhcp

linux-4ever
(usa CentOS)

Enviado em 24/05/2013 - 16:23h

Cara testei teu script... e tal

mas continua com problema, acredito ser DNS pq da minha rede interna consigo pingar o 192.168.0.1 (ip da minha eth0) mas não consigo pintar o DNS do google (8.8.8.8) da mensagem de esgotado tempo limite permitido

e quando acesso algum navegar e tento acessar alguma página da "ERRO 105 não foi possivel resolver o nome"

como citei no ultimo post o DHCP ta funcionando corretamente.

abraçoo

Buckminster
(usa Debian)

Enviado em 24/05/2013 - 16:34h

ERRO 105 não foi possivel resolver o nome.

É erro de DNS.
Você configurou um DNS interno?

option domain-name-servers 200.175.89.139,200.175.5.139,192.168.0.1;
Nessa linha acima do dhcpd.conf você colocou esses DNSs da GVT.
Os DNSs da GVT são muito ruins.
Coloca os do Google ou do Gigadns:
8.8.8.8 e 8.8.4.4
189.38.95.95 e 189.38.95.96
ou coloca um de cada, assim:
8.8.8.8,189.38.95.95;
e por último o IP do gateway.

E se você configurou um DNS interno como no artigo, você deve aponta-lo por primeiro na linha option domain-name-servers, assim:

option domain-name-servers 192.168.0.2,8.8.8.8,189.38.95.95,192.168.0.1;

supondo que o IP do DNS interno seja 192.168.0.2.

E se você tem um DNS interno configurado, deve colocar esses mesmos DNSs públicos (8.8.8.8,189.38.95.95) como forwarders nas configurações do DNS.

linux-4ever
(usa CentOS)

Enviado em 24/05/2013 - 16:39h

mas no resolv.conf está configurado o dns da GVT que preciso.. no dhcpd.conf está configurado o DNS da gtv e por ainda o ip da minha eth0 como você me explico


já tentei até no própria configuração da placa de rede do note que estou usando forçar o DNS
e mesmo assim não funfa...

o que posso fazer??

Buckminster
(usa Debian)

Enviado em 24/05/2013 - 16:50h

O resolv.conf se renova a cada reinicio da máquina (esse é o comportamento correto dele). E ele "pega" as configurações de DNS do DHCP.

Executa um ping do servidor para o IP do modem/roteador da tua rede e veja se ele responde.

Executa nslookup www.google.com.br
Esse comando retornará o DNS. Posta aqui a saída dele e posta aqui o conteúdo do resolv.conf do servidor.

Você configurou um DNS interno?

E porque você precisa especificamente dos DNSs da GVT?

Outra coisa: você deu permissão de execução para o arquivo de script do IPtables?
Colocou /etc/init.d/firewall start dentro do rc.local?
No caso ali coloquei 'firewall', mas deve ser o nome que você deu ao arquivo.

linux-4ever
(usa CentOS)

Enviado em 24/05/2013 - 17:47h

bom o servidor pinga certinho o Ip do modem
executei o nslookup e apontou o DNS primário da GVT

nslookup www.google.com.br

server 200.175.89.139
address 200.175.89.139#53

Eu preciso deixar configurado o DNS da gvt pq se não nem minha internet funciona

E eu tenho somente o meu script firewall.sh dentro do init.d

Buckminster
(usa Debian)

Enviado em 24/05/2013 - 18:35h

Executa como root no terminal:

# chmod +x /etc/init.d/firewall.sh



E coloca a seguinte linha dentro do arquivo /etc/rc.local antes de exit 0, assim:

/etc/init.d/firewall.sh start
exit 0

Salva e sai do arquivo.
E reinicia o IPtables com o comando abaixo.

Dessa maneira você pode iniciar, parar e reiniciar o IPtables com o comando:

# /etc/init.d/firewall.sh start, stop ou restart

E você ainda não respondeu se tem um DNS interno configurado.
E não postou o conteúdo do resolv.conf.
E essa não é toda a saída do nslookup.

Assim não vou poder te ajudar se você não me ajudar a te ajudar.

Como está a configuração do teu modem/roteador?
Veja bem, se pinga até o modem, mas não pinga para fora dele, logicamente uma boa parte do problema está no modem.

linux-4ever
(usa CentOS)

Enviado em 24/05/2013 - 19:25h

cara eu to com aqueles modem que a GVT da gratuitamente, tinha um dlink 500b Geração 2 mas deu pau nele e ele não se reseta de jeito nenhumm

linux-4ever
(usa CentOS)

Enviado em 24/05/2013 - 19:35h

nslookup www.google.com.br
Server: 192.168.1.1
Address: 192.168.1.1#53

Non-authoritative answer:
Name: www.google.com.br
Address: 177.99.179.113
Name: www.google.com.br
Address: 177.99.179.93
Name: www.google.com.br
Address: 177.99.179.94
Name: www.google.com.br
Address: 177.99.179.108
Name: www.google.com.br
Address: 177.99.179.123
Name: www.google.com.br
Address: 177.99.179.119
Name: www.google.com.br
Address: 177.99.179.99
Name: www.google.com.br
Address: 177.99.179.118
Name: www.google.com.br
Address: 177.99.179.88
Name: www.google.com.br
Address: 177.99.179.103
Name: www.google.com.br
Address: 177.99.179.104
Name: www.google.com.br
Address: 177.99.179.114
Name: www.google.com.br
Address: 177.99.179.98
Name: www.google.com.br
Address: 177.99.179.89
Name: www.google.com.br
Address: 177.99.179.84
Name: www.google.com.br
Address: 177.99.179.109

Agora eu resetei o modem e o resolv.conf ficou assim

nameserver 192.168.1.1

ou seja o IP do modem

Buckminster
(usa Debian)

Enviado em 24/05/2013 - 19:38h

Está certo. O resolv.conf deve fazer isso mesmo.

E agora o servidor está acessando a internet pelo navegador?

E as estações da rede?

Você resetou o modem ou só desligou e ligou ele?
Se você resetou, deve configurar ele, porque ao resetar ele volta às configurações de fábrica.

linux-4ever
(usa CentOS)

Enviado em 24/05/2013 - 19:43h

eu resetei.. esta com as configurações padrões, o que eu devo configurar nele?

Buckminster
(usa Debian)

Enviado em 24/05/2013 - 19:51h

Coloca ele como pppoe.
Em VPI e VCI coloca os da GVT: 0 e 35

No usuário coloca turbonet@turbonet
Na senha de acesso coloca gvt25

Verifica se o DHCP está habilitado.

Os DNSs você coloca: 8.8.8.8 como principal e 189.38.95.95 como secundário.

E deixa assim no dhcpd.conf em option domain-name-servers 8.8.8.8,189.38.95.95,192.168.0.1;

Qual é a marca e o modelo desse modem?