Firewall-Sugestões/Correções [RESOLVIDO]

DMS_
(usa elementary OS)

Enviado em 15/09/2011 - 10:16h

Bom Dia a todos,
em breve irei implantar este firewall abaixo, juntamente com squid, a máquina do firewall será o gateway da rede e compartilhará conexão com as maquinas locais, atualmente fazemos isso com o IPcop. Gostaria de vocês que tem mais experiência, dessem algumas dicas, o que vocês acham do script, enfim criticas construtivas são bem vindas, obrigado.

#! /bin/bash

iniciar(){

#eth0 rede externa
#eth1 rede local

# Ativando compartilhamento de Internet
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Permite conexões da rede local/ na porta 22
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j LOG
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Liberação de Portas
iptables -I FORWARD -o eth1 -p tcp --dport 80 -j DROP # Bloqueira porta 80 para forçar o uso da porta do proxy
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # HTTP
iptables -A INPUT -p tcp --dport 110 -j ACCEPT # POP3
iptables -A INPUT -p tcp --dport 25 -j ACCEPT # SMTP
iptables -A INPUT -p tcp --dport 53 -j ACCEPT # DNS
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT # PROXY
iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS

# Redireciona porta 8899 para Servidor de acesso externo 2003 TS
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8899 -j DNAT --to-destination 192.168.1.203:3389
iptables -A FORWARD -s 192.168.1.203:3389 -j ACCEPT
iptables -A FORWARD -d 192.168.1.203:3389 -j ACCEPT

# Regras básicas: Aceita conexões da iface loopback, aceita PING apenas 1 por seg para evitar DoS
# Regra --syn -j DROP desativa tentativa de novas conexões, apenas mantendo as já estabelecidas
# rp_filter protege contra ip_spoofing
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
#iptables -A INPUT -p tcp --syn -j DROP

echo "Regras de Firewall ativadas"
}
parar(){
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo "###Regras de Firewall desativadas###"
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâmetros start, stop ou restart"
esac

DMS_
(usa elementary OS)

Enviado em 15/09/2011 - 11:15h

Não quero deixa-lo transparent, conclui que autenticado será a melhor solução, são poucas máquinas, não será trabalhoso configurar todas pelo navegadorm, bloquei a porta 80 justamente para que os "espertinhos" que tirarem a configuração do proxy não consigam navegar. Objetivo é autenticado mesmo.
Vlw

dennis.leandro
(usa Debian)

Enviado em 15/09/2011 - 11:26h

Aaaah, entendi!
;D
Entao o firewall esta bom!
Qualquer coisa grite aqui!
Abraco

DMS_
(usa elementary OS)

Enviado em 15/09/2011 - 13:54h

Bom, inseri mais alguns redirecionamentos, a grande maioria, são máquina com windows server, que acessamos externamente:
Atualmente fazemos assim, vou citar um exemplo que aconteceu:
Estava em casa e a moça do financeiro me ligou pedindo pra recuperar alguns e-mails do rapaz que tinha sido desligado da empresa, abri o mstsc no Ruindows, e digite
IPVALIDONAINTERNET:8899 e cai na máquina da redelocal da empresa, mais especificamente o IP 192.168.1.203 que é um Windows Server com alguns aplicativos:
Pra ficar mais claro está ae:
http://imageshack.us/photo/my-images/546/ipcop.jpg/

Fora isso há outras situações, gostaria de saber se os redirecionamentos estão ok? Primeira vez q faço isso, então não quero fazer feio...
Obrigado :]

Segue o script

#! /bin/bash

iniciar(){

#eth0 rede externa
#eth1 rede local

# Ativando compartilhamento de Internet
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Permite conexões da rede local/ na porta 22
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j LOG
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Liberação de Portas
iptables -I FORWARD -o eth1 -p tcp --dport 80 -j DROP # Bloqueira porta 80 para forçar o uso da porta do proxy
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # HTTP
iptables -A INPUT -p tcp --dport 110 -j ACCEPT # POP3
iptables -A INPUT -p tcp --dport 25 -j ACCEPT # SMTP
iptables -A INPUT -p tcp --dport 53 -j ACCEPT # DNS
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT # PROXY
iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS

# Redireciona porta 8899 para Servidor de acesso externo 2003 TS
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8899 -j DNAT --to-destination 192.168.1.203:3389
iptables -A FORWARD -s 192.168.1.203:3389 -j ACCEPT
iptables -A FORWARD -d 192.168.1.203:3389 -j ACCEPT

# Redireciona porta 3389 para SERVER02 na porta 3389
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.12:3389
iptables -A FORWARD -s 192.168.1.12:3389 -j ACCEPT
iptables -A FORWARD -d 192.168.1.12:3389 -j ACCEPT

# Redireciona porta 2223 para LINUX 10 na porta 22(SSH)
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.1.10:22
iptables -A FORWARD -s 192.168.1.10:22 -j ACCEPT
iptables -A FORWARD -d 192.168.1.10:22 -j ACCEPT

# Redireciona porta 2224 para LINUX 50 na porta 22(SSH)
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2224 -j DNAT --to-destination 192.168.1.50:22
iptables -A FORWARD -s 192.168.1.50:22 -j ACCEPT
iptables -A FORWARD -d 192.168.1.50:22 -j ACCEPT

# Redireciona porta 8089 para LINUX 10 acesso via Browser
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8089 -j DNAT --to-destination 192.168.1.10:80
iptables -A FORWARD -s 192.168.1.10:80 -j ACCEPT
iptables -A FORWARD -d 192.168.1.10:80 -j ACCEPT

# Redireciona porta 3390 para SERVER01 na porta 3389
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 3390 -j DNAT --to-destination 192.168.1.11:3389
iptables -A FORWARD -s 192.168.1.11:3389 -j ACCEPT
iptables -A FORWARD -d 192.168.1.11:3389 -j ACCEPT

# Redireciona porta 1433 para SQLSERVER (SERVER01) na porta 1433
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 1433 -j DNAT --to-destination 192.168.1.11:1433
iptables -A FORWARD -s 192.168.1.11:1433 -j ACCEPT
iptables -A FORWARD -d 192.168.1.11:1433 -j ACCEPT

# Redireciona porta 8081 para WEBCOINFO 105 na porta 80(HTTP)
#iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8081 -j DNAT --to-destination 192.168.1.105:80
#iptables -A FORWARD -s 192.168.1.105:80 -j ACCEPT
#iptables -A FORWARD -d 192.168.1.105:80 -j ACCEPT

# Redireciona porta 2299 para WEBCOINFO 105 na porta 22(SSH)
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2299 -j DNAT --to-destination 192.168.1.105:22
iptables -A FORWARD -s 192.168.1.105:22 -j ACCEPT
iptables -A FORWARD -d 192.168.1.105:22 -j ACCEPT

# Redireciona porta 8088 para BRINCITY+ESL+BANCO
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8088 -j DNAT --to-destination 192.168.1.14:3389
iptables -A FORWARD -s 192.168.1.14 -j ACCEPT
iptables -A FORWARD -d 192.168.1.14 -j ACCEPT

# Redireciona porta 8083 para Sistema Help-Desk Ocomon
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8083 -j DNAT --to-destination 192.168.1.170:80
iptables -A FORWARD -s 192.168.1.170:80 -j ACCEPT
iptables -A FORWARD -d 192.168.1.170:80 -j ACCEPT

# Redireciona porta 8087 para Servidor WMS na porta 3389
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8087 -j DNAT --to-destination 192.168.1.117:3389
iptables -A FORWARD -s 192.168.1.117:3389 -j ACCEPT
iptables -A FORWARD -d 192.168.1.117:3389 -j ACCEPT

# Redireciona porta 5432 para ACESSO AO BANCO WMS
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 5432 -j DNAT --to-destination 192.168.1.117:5432
iptables -A FORWARD -s 192.168.1.117:5432 -j ACCEPT
iptables -A FORWARD -d 192.168.1.117:5432 -J ACCEPT

# Redireciona porta 8085 para Acesso a Camera IP porta 80(HTTP)
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8085 --to-destination 192.168.1.251:80
iptables -A FORWARD -s 192.168.1.251:80 -j ACCEPT
iptables -A FORWARD -d 192.168.1.251:80 -j ACCEPT



# Regras básicas: Aceita conexões da iface loopback, aceita PING apenas 1 por seg para evitar DoS
# Regra --syn -j DROP desativa tentativa de novas conexões, apenas mantendo as já estabelecidas
# rp_filter protege contra ip_spoofing
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
#iptables -A INPUT -p tcp --syn -j DROP

echo "Regras de Firewall ativadas"
}
parar(){
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo "###Regras de Firewall desativadas###"
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâmetros start, stop ou restart"
esac

dennis.leandro
(usa Debian)

Enviado em 15/09/2011 - 14:19h

A questao dos redirecionamentos estao corretos!
Voce fez corretamente os redirecionamentos, parabeens!
Se fosse possivel testar, pra nao dar dores de cabeca depois, seria otimo...mas pelo que pude analisar, esta certinho os redirecionamentos!
Abraco

DMS_
(usa elementary OS)

Enviado em 15/09/2011 - 15:03h

Opa valeu cara,
Então o que vamos fazer é o seguinte, iremos deixar o IP que está numa VMWare de lado, ai iremos testar o novo servidor com squid+iptables, caso tenha algum erro, iremos voltar o IPcop até a solução do msm.
:] Valeu.

dennis.leandro
(usa Debian)

Enviado em 15/09/2011 - 16:07h

Ok entao brother!
;D
Se precisar de ajuda estamos aqui!
Abraco