sidneyacjunior
(usa Conectiva)
Enviado em 19/10/2007 - 10:29h
E ai Galera beleza, estou com um problema no meu firewall, a principio as estações navegam normalmnte na internet conectam o messenger, a regras de acessso funcionam bem, mais as estações no outlook e MSOutlook enviam normal mais não recebem por favro alguem pode me ajudar tenho que liberar esse firewall amanhã
LOCALHOST="127.0.0.1"
INTERFACE_INTERNET="eth1"
INTERFACE_LOCAL="eth0"
BASE_REDE="192.168.1.0"
MASK="24"
ROUTE_DEFAULT="192.168.1.252"
#dns primário
DNS1="200.204.0.10"
#dns secundário
DNS2="200.204.0.138"
# ativando o modulo
modprobe ip_tables
modprobe iptable_nat
# ativando suportes especiais
modprobe ip_nat_ftp
# zerando as regras "indesejadas"
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
# ativando o "roteamento" no servidor
echo "1" > /proc/sys/net/ipv4/ip_forward
#SEGURANÇA "CONTRA DIVERSOS ATAQUES"
#"ataques D-dos ou syn-floods "
iptables -A INPUT -i eth1 -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --syn -m limit --limit 1/s -j ACCEPT
#"ping da morte"
iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#"scarnners ocultos"
iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT
# Proteção contra IP Spoofing?
# O IP Spoofing é uma técnica de forjar endereços IP falsos
# para executar ataques a uma máquina na web. geralmente utilizam-se IP
# falsos nas rede 10.0.0.0, 172.16.0.0 e o 192.168.0.0. Para bloquear estes endereços
# acrescente as seguintes regras no IPTABLES (através da eth1 da net)
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j DROP
# LIBERAÇÃO DE PORTAS & PROXY/SQUID
# liberando a conexão para "lo" localhost
iptables -A INPUT -i lo -j ACCEPT
# Antes ainda do tráfego "conexão" ser liberada para o servidor Web,
# recomenda-se fazer com que o firewall permita que os pacotes pertencentes
# às conexões já estabelecidas e os pacotes relacionados a essas conexões possam passar
# pelo firewall. Para isso, são necessários os seguintes comandos:
iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
#liberando a rede interna p/ enviar "pacotes"para o firewall
iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
# liberando o SQUID para a rede interna
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --sport 3128 -j ACCEPT
iptables -A INPUT -p udp --dport 5800 -j ACCEPT
iptables -A INPUT -p udp --dport 5900 -j ACCEPT
iptables -A INPUT -p udp --dport 3389 -j ACCEPT
iptables -A INPUT -p udp --dport 80 -j ACCEPT
#REDIRECIONANDO A PORTA 80 DA REDE INTERNA (eth0) P/ A PORTA 3128 DO SQUID (eth1) DO FIREWALL
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s xxx.xxx.xxx.xxx -m tcp -p tcp -i eth1 --dport 3389 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -s xxx.xxx.xxx.xxx -m tcp -p tcp -i eth1 --dport 80 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 3389 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 80 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -s xxx.xxx.xxx.xxx -m tcp -p tcp -i eth1 --dport 5800 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 5800 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -s xxx.xxx.xxx.xxx -m tcp -p tcp -i eth1 --dport 5900 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 5900 -j DNAT --to-destination 192.168.1.200
##### Chain POSTROUTING #####
# Permite qualquer conexão vinda com destino a lo e rede local para eth0
iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j ACCEPT
# LIBERANDO POP3 EXTERNO PARA AS ESTAÇÕES DA REDE INTERNA
#iptables -A INPUT -p TCP -s 200.204.144.60 --sport 25 -j ACCEPT
#//libera acesso ao smtp do superig
#iptables -A INPUT -p TCP -s 200.204.144.60 --sport 110 -j ACCEPT
#//libera acesso ao pop do superig
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --sport 25 -j ACCEPT
# LIBERANDO SSH
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --sport 22 -j ACCEPT
#rejeite qualquer "pacote" diferente que não casarem com as regras anteriores
iptables -t filter -A FORWARD -j REJECT
#COMPARTILHANDO A INTERNET
#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -d 0/0 -j MASQUERADE