IPTABLES - LIBERAR TUDO DE DENTRO PARA FORA DA REDE INTERNA

ewandrocesar
(usa Conectiva)

Enviado em 05/01/2012 - 10:31h

Pessoal,

Bom dia!


Poderia me ajudar com o meu firewall (script abaixo)

Da forma que está configurado as políticas padrões é necessário que eu libere porta a porta o acesso para qualquer aplicativo (ESPECÍFICOS), eu gostaria que da rede interna para fora seja tudo liberado, e que apenas eu precise 1 a 1 liberar o que vem de fora, alguém poderia me dizer o que preciso alterar para que isso aconteça?


Obrigado!


#!/bin/bash
iniciar(){
echo Carregando Regras de FIREWALL...


##INTERFACES
INT_LAN=eth2
INT_WAN=eth0


##REDES LAN
LAN1="10.1.0.0/24"
LAN2="10.2.0.0/24"
LAN3="10.0.0.0/24"


####### LIMPA AS REGRAS #########
iptables -F

####################### Politica padrao ####################################

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP

########ROUTER##########

route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.1.0.250
route add -net 10.2.0.0 netmask 255.255.255.0 gw 10.1.0.250

###LIBERA COMUNICAÇÃO ENTRE LANS###

iptables -t filter -A FORWARD -s $LAN1 -d $LAN2 -j ACCEPT
iptables -t filter -A FORWARD -s $LAN2 -d $LAN1 -j ACCEPT
iptables -t filter -A FORWARD -s $LAN1 -d $LAN3 -j ACCEPT
iptables -t filter -A FORWARD -s $LAN3 -d $LAN1 -j ACCEPT
iptables -t filter -A FORWARD -s $LAN2 -d $LAN3 -j ACCEPT
iptables -t filter -A FORWARD -s $LAN3 -d $LAN2 -j ACCEPT

######## Compartilhando conexao.###########
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

######################### Conexao Estabelecida ############################

iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED


########################## Libera DNS ######################################
iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT



#### Proxy ####
iptables -t filter -A FORWARD -i eth2 -p tcp --dport 3128 -j ACCEPT
iptables -t filter -A INPUT -i eth2 -p tcp --dport 3128 -j ACCEPT
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128


##ESPECIFICOS
iptables -t filter -A FORWARD -i eth2 -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -i eth2 -p tcp --dport 443 -j ACCEPT

#iptables -t filter -A FORWARD -i eth2 -p tcp --dport 25 -j ACCEPT
#iptables -t filter -A INPUT -i eth2 -p tcp --dport 25 -j ACCEPT

iptables -t filter -A FORWARD -i eth2 -p tcp --dport 465 -j ACCEPT
iptables -t filter -A INPUT -i eth2 -p tcp --dport 465 -j ACCEPT
############# DIRECIONAMENTOS #######################

##### ACESSO REMOTE TS #####

##SRV01##

iptables -t filter -A INPUT -p tcp --dport 3389 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 10.1.0.101:9901



}
parar(){
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
echo "Regras de firewall desativadas."
}
regras(){
iptables -L
}
case "$1" in
"rules") regras ;;
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parametros start, stop ou rules."
esac

phrich
(usa Slackware)

Enviado em 05/01/2012 - 10:55h

Se vc quer liberar tudo da sua rede interna para fora é só vc trocar a linha

iptables -P FORWARD DROP

para

iptables -P FORWARD ACCEPT


Ai ele vai liberar tudo de dentro para fora e de fora para dentro, porém acho que vc terá mais trabalho de bloquear assim...

Deixar o seu FORWARD como DROP é o mais correto...

ewandrocesar
(usa Conectiva)

Enviado em 05/01/2012 - 11:33h

Sim, Concordo com vc mas não faço isso pq tenho alguns acessos que preciso especificar de fora para dentro, por exemplo apenas determinados IP's acessam determinada aplicação...por isso estou tentando achar uma forma de liberar tudo da REDE INTERNA > REDE EXTERNA e manter bloqueado REDE EXTERNA > REDE INTERNA.

rodrigom
(usa Debian)

Enviado em 05/01/2012 - 11:54h

Acredito que não tenha um meio termo, ou dropa tudo e libera o que precisar, ou libera tudo e dropa o que não precisar..

phrich
(usa Slackware)

Enviado em 05/01/2012 - 12:20h

Exato, pode até dar trabalho, mas a conf de um firewall é assim mesmo, geralmente um pouco trabalhosa mas depois compensa...

ewandrocesar
(usa Conectiva)

Enviado em 06/01/2012 - 09:59h

Pessoal,

Será que realmente não há alternativa? Derrepente determinando que para o trafego originado da interface da internet ou da placa da rede interna.

phrich
(usa Slackware)

Enviado em 06/01/2012 - 10:24h

Você pode fazer o seguinte:


#libera tudo da rede interna para a web
iptables -A FORWARD -s $RANGE_IP_REDE_INTERNA -j ACCEPT

#nega o acesso da web para a rede interna
iptables -A FORWARD -d $RANGE_IP_REDE_INTERNA -j ACCEPT


Mas ai vc tem que organizar suas regras pq a última regra vai bloquear todo o tráfego mesmo.

rafaelbarth
(usa Ubuntu)

Enviado em 02/05/2017 - 14:56h

Simplesmente usei a dica do amigo PHRICH.
#iptables -A FORWARD -d $RANGE_IP_REDE_INTERNA -j ACCEPT
E fui pro abraço...