Liberação de portas servidores geovision

celocampos2
(usa Ubuntu)

Enviado em 21/06/2011 - 10:19h

Ola pessoa, eu sou novo aqui e tenho uma pergunta. Eu tenho um servidor firewall com iptables(que peguei aqui mesmo no site), entao so que eu tenho que coloca mais 3 servidores de monitoramento geovision para acesso a http, eu tenho 3 ips validos pra eles, os servidores usam a faixa de porta 3550:5550.Como eu adiciono isso no meu firewall

segue script do meu firewall


ETH0 - 200.178.114.162
ETH2 - 192.168.1.254

IPS PARA SERVIDOR DE MONITORAMENTO - 200.178.114.163/164/165

# IP da Rede
NETWORK=192.168.1.0/24

# Interface da Rede Local - LAN
ILAN=eth2

# Interface da Rede Externa - Internet
INET=eth0

IPT=/sbin/iptables

/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe iptable_mangle
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REDIRECT
/sbin/modprobe ipt_MASQUERADE

INTERNET () {
# Mascaramento
$IPT -t nat -A POSTROUTING -o $INET -s $NETWORK -j MASQUERADE

# Ativando o redirecionamento de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
}

LIMPAR () {
# Removendo regras
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

# Apagando chains
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Zerando contadores
$IPT -Z
$IPT -t nat -Z
$IPT -t mangle -Z
}

PARAR () {
# Limpando regras
LIMPAR

# Políca Padrã
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT

# Compartilhando a Internet
INTERNET
}

INICIAR () {
# Limpando regras
LIMPAR

# Políca Padrã
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP

# Compartilhando a Internet
INTERNET

################### ATRIBUINDO SEGURANÇ ####################

# Proteç para SYN Flood
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# Rejeitar requisiç de ICMP Echo destinado a Broadcasts e Multicasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Ignorar Mensagens Falsas de icmp_error_responses
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

for i in /proc/sys/net/ipv4/conf/*; do
# NãRedirecionar Mensagens ICMP
echo 0 > $i/accept_redirects

# Proteç a Ataques IP Spoofing
echo 0 > $i/accept_source_route

# Permitir que Pacotes Forjados sejam logados pelo próo kernel
echo 1 > $i/log_martians

# Verificar Endereçde Origem do Pacote (Proteç a Ataques IP Spoofing)
echo 1 > $i/rp_filter
done

############### ADICIONANDO REGRAS P/ SERVIDORES ################

# Apache - Servidor Web
$IPT -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT

# Apache TomCat - Servidor Web
$IPT -A INPUT -p tcp --dport 8080 -j ACCEPT

# Bind9 - Servidor DNS
$IPT -A INPUT -p udp --dport 53 -j ACCEPT

# DHCP - Servidor DHCP
$IPT -A INPUT -i $ILAN -p udp --sport 68 --dport 67 -j ACCEPT


# ProFTP - Servidor FTP
$IPT -A INPUT -i $ILAN -p tcp --dport 21 -j ACCEPT
$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 49152:49162 -j ACCEPT

# Postfix - Servidor de E-mail
$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 25,110,587 -j ACCEPT
$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 465,995 -j ACCEPT

# Samba - Serviç de Diretó da Microsoft
$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 445,139 -j ACCEPT
$IPT -A INPUT -i $ILAN -p udp -m multiport --dports 137,138 -j ACCEPT

# Squid - Servidor Proxy
$IPT -A INPUT -i $ILAN -p tcp --dport 3128 -j ACCEPT

# SSH - Servidor SSH
$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 10 -j DROP
$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT

# VNC - Servidor de Acesso Remoto
$IPT -A INPUT -p tcp --dport 5900 -j ACCEPT

# Webmin - Gerenciador Web de Servidor
$IPT -A INPUT -i $INET -p tcp --dport 10000 -j ACCEPT
$IPT -A INPUT -i $ILAN -p tcp --dport 10000 -j ACCEPT

############### Redirecionamento da porta 80 para Squid #########

# Redireciona porta 80 para 3128 (squid)
$IPT -t nat -A PREROUTING -i $INET -p tcp --dport 80 -j REDIRECT --to-port 3128

############### ADICIONANDO REGRAS P/ SERVIÇS ##################

# DNS - Serviçde Nomes de Dominios
$IPT -A FORWARD -o $INET -p udp -m multiport --dports 53,5353 -j ACCEPT

# FTP - Protocolo de Transferêia de Arquivo
$IPT -A FORWARD -o $INET -p tcp --dport 21 -j ACCEPT

# HTTP - Protocolo de Transferêia de Hypertext
$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 80,8080 -j ACCEPT

# HTTPS - Protocolo de Transferêia de Hypertext Seguro
$IPT -A FORWARD -o $INET -p tcp --dport 443 -j ACCEPT

# NTP - Protocolo para sincronizaç dos relós
$IPT -A FORWARD -o $INET -p udp --dport 123 -j ACCEPT

# POP3 - Protocolo de Correio
$IPT -A FORWARD -o $INET -p tcp --dport 110 -j ACCEPT

# POP3S - Protocolo de Correio Seguro
$IPT -A FORWARD -o $INET -p tcp --dport 995 -j ACCEPT

# RDP - Protocolo de Áea de Trabalho Remota
$IPT -A FORWARD -o $INET -p tcp --dport 3389 -j ACCEPT

# SSH - Shell Seguro
$IPT -A FORWARD -o $INET -p tcp --dport 22 -j ACCEPT

# SMTP - Protocolo Simples para Transferêia de Correio
$IPT -A FORWARD -o $INET -p tcp --dport 25 -j ACCEPT

# SMTPS - Protocolo usado pelo Microsoft Exchenge
$IPT -A FORWARD -o $INET -p tcp --dport 587 -j ACCEPT

# SSMTP - Protocolo Simples para Transferêia de Correio Seguro
$IPT -A FORWARD -o $INET -p tcp --dport 465 -j ACCEPT

# TELNET
$IPT -A FORWARD -o $ILAN -p tcp --dport 23 -j ACCEPT

# VNC - Computaç em Rede Virtual
$IPT -A FORWARD -o $ILAN -p tcp --dport 5900 -j ACCEPT

# Manter ConexõEstabelecidas
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Liberando o Trágo na Interface loopback
$IPT -A INPUT -i lo -j ACCEPT

########################## LOG ##########################

$IPT -A INPUT -p tcp -m multiport ! --dports 0:1056 -j DROP
$IPT -A INPUT -p udp -j DROP
$IPT -A INPUT -p icmp -j DROP
$IPT -A INPUT -m limit --limit 3/m --limit-burst 3 -j LOG --log-prefix "LOG-FW: "
}

case "$1" in
start)
echo " * Starting Firewall iptables"
INICIAR
;;
stop)
echo " * Stopping Firewall iptables"
PARAR
;;
restart|reload)
echo " * Reloading Firewall iptables"
INICIAR
;;
*)
echo " * Usage: $0 {start|stop|restart|reload}"
exit 1
esac

exit 0

quig0n
(usa Fedora)

Enviado em 21/06/2011 - 11:18h

tenta isso aqui (confirma se eh tcp mesmo)

$IPT -A FORWARD -o $INET -p tcp --dport 3550:5550 -j ACCEPT

quig0n
(usa Fedora)

Enviado em 21/06/2011 - 11:22h

vc pode tambem adicionar o parametro -s ip_do_servidor para deixar o firewall mais fechado ;)

celocampos2
(usa Ubuntu)

Enviado em 21/06/2011 - 11:44h

mas ai os servidores ficariam um ip da lan e usariam o mesmo ip valido do firewall ne?
eu queria coloca cada maquina com um ip valido diferente

quig0n
(usa Fedora)

Enviado em 21/06/2011 - 13:03h

bom, nunca fiz isso, mas acredito que funcione. pelo menos não tem pq nao funcionar...
vc vai ter q usar aliases na placa de rede do seu gateway (no caso, a placa que tem acesso direto a internet.)
digamos que a eth0 seja a placa da rede local e o eth1 a placa de rede conectada a internet. vc vai ter q alocar os aliases com o comando:
ifconfig eth1:srv1 inet 200.123.123.123 netmask 255.255.255.0 up

e criar a regra de masquerade para este alias:

ALIAS1=eth1:srv1
SERVER1=192.168.0.123
$IPT -t nat -A POSTROUTING -o $ALIAS1 -s $SERVER1 -j MASQUERADE

abcs,