daripe
(usa Fedora)
Enviado em 09/12/2014 - 16:05h
Segue abaixo o código completo, arquivo rc.firewall atual:
# description: Inicializacao do Iptables
#
# chkconfig: 2345 80 30
# processname: iptables
# pidfile: /var/run/iptablesu.pid
# ----------------------------------------------------------------------------------------------------------------------------------------------------------
# Consideracoes (Ricardo 14/03/2010)
#INPUT --> Refere-se a todos os pacotes destinados a maquina firewall.
#OUTPUT --> Refere-se a todos os pacotes gerados na maquina firewall.
#FORWARD --> Refere-se a todos os pacotes oriundos de uma maquina e destinados a outra. Faz o encaminhamento de pacotes
# -t --> Table (Tabela) eh o tipo de regra, pode ser (filter, nat ou mangle)
# filter: atividade normal de trafego de fados
# nat : passagem de dados de um de uma rede privada para a internet
# -s --> Source (Origem) eh a maquina que origina um pacote de dados
# -d --> Destination (Destino) eh o destino de um pacote de dados
# -p --> Protocol (Protocolo) especifica o protocolo a ser filtrado (Ex: udp, tcp, icmp)
# -i --> In-Interface (Interface de Entrada) especifica as interfaces de entrada (placas de rede) (Ex: eth0, eth1)
# -o --> Out-Interface (Interface de Saida) especifica as interfaces de saida
# ! --> Exclusao, Negacao ou Excessao Utilizado com -s, -d, -p, -i: Cria uma excessao para a regra (Ex: -p! tcp -> todos os protocolos exceto o tcp)
# --sport --> Source Port (Porta de Origem) referencia a uma porta especifica. Utilizado com: -p tcp e -p udp
# --dport --> Destination Port (Porta de Destino) referencia a uma porta
# -j --> Especifica qual acao (listadas abaixo) sera aplicada a regra
# ACCEPT --> Aceitar, permite a passagem do pacote
# DROP --> Descarta, nao permite a passagem do pacote e nao avisa a origem
# REJECT --> Destarta, mas avisa a origem que o pacote foi recusado
# LOG --> Gera um log dos pacotes no arquivo /var/log/messages
# ----------------------------------------------------------------------------------------------------------------------------------------------------------
# Ativacao do Roteamento Dinamico, necessario quanto existem mais de uma faixa de rede na empresa
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -P OUTPUT DROP # Libera a politica de Saida de pacotes do servidor
iptables -P INPUT DROP # Libera a politica de Entrada de pacotes do servidor
iptables -P FORWARD DROP # Libera a politica de Encaminhamento de pacotes pelo servidor
iptables -F # Apaga todas as regras do iptables
iptables -t mangle -F # Flush no mangle
iptables -t nat -F # Flush no NAT
iptables -X # Flush nas chains personalizadas
iptables -Z # Flush em todas as regras especificas
echo "IPTABLES - Flushing.........OK!"
modprobe ip_conntrack_ftp # habilita o canal de comunicacao com o FTP
modprobe ip_nat_ftp # permite que a internet enxergue o FTP
IP_GVT=192.168.3.10
NETS=192.168.0.0/16
NET=192.168.1.0/24
ADM=192.168.1.151 # Maquina do Danilo
ADM2=192.168.1.0/24
# Neste ponto todos os pacotes de INPUT, ou seja, destinados ao servidor, sao descartados.
# Um pacote s¢ ser aceito se uma regra -A for utilizada depois desta regra. ( Ricardo 14/03/2010 )
# ----------------------------------------------------------------------------------------------------------------------------------------------------------
iptables -t filter -P INPUT DROP
# Permite as redes internas acessarem os servicos do servidor
iptables -t filter -A INPUT -j ACCEPT -s $NETS
iptables -t filter -A INPUT -j ACCEPT -s 172.16.1.11
# Libera o SQUID para todas as redes
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 3128 -s $NETS
# DNS
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 53 -s $NETS
iptables -t filter -A INPUT -j ACCEPT -p udp --dport 53 -s $NETS
# Libera todo o acesso a interface loopback
iptables -t filter -A INPUT -j ACCEPT -i lo
# Mantem as conexoes estabelecidades e relatadas
iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# FTP
iptables -t filter -A INPUT -j ACCEPT -p udp --dport 21
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 21
iptables -t filter -A INPUT -j ACCEPT -p udp --dport 20
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 20
# WEBSERVICES + SERVIDOR PALM (SETOR DE DESENVOLVIMENTO MÓVEL)
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 9000
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 9001
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 9015 /* Cristiano */
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 9020 /* Leandro */
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 9050
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 9080
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 52050
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 52051
# TS WEB ACCESS
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 8081
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 4045
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 135
# REAL VNC - ASSISTE 3k
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 5910
# TS
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 3389 #Acesso Remoto (VM-SRV-REMOTO) (Novo)
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 10009 #Acesso Remoto (VM-SRV-REMOTO) (Novo)
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 52001 #ServidorPalm
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 52002 #Leandro
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 52003 #Enrico
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 52004 #Rossini
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 52100 #Sistema Financeiro JJA
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 9026 #Danilo
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 52005 #Cristiano
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 56000 #vm-remoto-new TESTE
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 52006 #Silvio
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 52007 #João
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 52009 #Roteamento VM Cristiano
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 52010 #Sergio Diniz
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 52020 #GCAMPOS
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 10003 #ASSSERVER
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 10010 #ASSISTE3K
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 10013 #SERVER2801
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 52193 #HPOfficeJet Pro 8600 (Impressora)
# SUPORTE (Chamados via WEB)
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 9005
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 9006
# ACESSO AO SSH DO LINUX PARA CONEXÃO REMOTA
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 22 -s $NETS
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 22 -s $TUX
# LIBERA O PING PARA MAQUIANS INTERNAS
iptables -t filter -A INPUT -j ACCEPT -p icmp -s $NET
# Libera porta para JJA - atualização do programa
iptables -A FORWARD -p tcp --dport $211 -d 187.115.25.109 -j ACCEPT
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport 211
echo "IPTABLES - Input............OK!"
# Neste ponto todos os pacotes de OUTPUT, ou seja, que estao saindo de dentro do servidor, sao LIBERADOS
# ----------------------------------------------------------------------------------------------------------------------------------------------------------
iptables -P OUTPUT ACCEPT
# SUPORTE (Chamados via WEB)
iptables -t filter -A OUTPUT -j ACCEPT -p tcp --dport 9005
iptables -t filter -A OUTPUT -j ACCEPT -p tcp --dport 9006
# LIBERA RETORNO DO LINUX PARA A REDE DA ASSISTE PARA O IP da TUX
iptables -t filter -A OUTPUT -j ACCEPT -p tcp -s $NETS
iptables -t filter -A OUTPUT -j ACCEPT -p tcp -s $TUX
#JJA
iptables -A OUTPUT -p tcp --dport 211 -j ACCEPT
iptables -t filter -A OUTPUT -j ACCEPT -p tcp -s $JJA
echo "IPTABLES - Output...........OK!"
# Neste ponto todos os pacotes de FORWARD, ou seja, que passam pelo servidor para outro host, sao descartados.
# Um pacote s¢ ser aceito se uma regra -A for utilizada depois desta regra. ( Ricardo 14/03/2010 )
# ----------------------------------------------------------------------------------------------------------------------------------------------------------
iptables -t filter -P FORWARD ACCEPT
# Mantem as conexoes estabelecidas e relatadas
iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
# Libera o trafego para a PODIUM (Campinas)
iptables -t filter -A FORWARD -j ACCEPT -s 200.198.190.226/28
iptables -t filter -A FORWARD -j ACCEPT -d 200.198.190.226/28
iptables -t filter -A FORWARD -j ACCEPT -s 200.198.190.227/28
iptables -t filter -A FORWARD -j ACCEPT -D 200.198.190.227/28
iptables -t filter -A FORWARD -j ACCEPT -s 187.115.25.109/211 #jja
# Libera o trafego de ISS para PREFEITURA.
iptables -t filter -A FORWARD -j ACCEPT -s 189.44.186.0/24
iptables -t filter -A FORWARD -j ACCEPT -d 189.44.186.0/24
# Encaminha todos os pacotes entre as redes da Assiste
iptables -t filter -A FORWARD -j ACCEPT -s $NETS
iptables -t filter -A FORWARD -j ACCEPT -d $NETS
# Libera conexoes seguras do tipo https
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 443
# Libera trafego de dados para WEBSERIVCES + SERVIDOR PALM
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 9000
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 9001
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 9015 /* Cristiano */
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 9020 /* Leandro */
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 9050
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 9080
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 52050
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 52051
# Libera porta para JJA - atualização do programa
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 211
# Libera porta para a PODIUM (Campinas)
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 5721
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 10051
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 4242
# Libera trafego de dados para WEBSERVICE LEANDRO
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 9022
# Libera trafego de dados para SUPORTE (Chamados via WEB)
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 9005
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 9006
# Libera trafego de dados para MAIL
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 25
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 110
# Libera trafego de dados para PROXY TRANSPARENTE
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 80
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 443
# Libera o acesso para o DNS PRIMARIO E SECUNDARIO
iptables -t filter -A FORWARD -j ACCEPT -p tcp --dport 53 -s $NETS
iptables -t filter -A FORWARD -j ACCEPT -p udp --dport 53 -s $NETS
# Libera acesso para o servidor ASSSERVER
iptables -t filter -A FORWARD -j ACCEPT -s 192.168.1.3
iptables -t filter -A FORWARD -j ACCEPT -d 192.168.1.3
# Libera acesso para o servidor ASSISTE3K
iptables -t filter -A FORWARD -j ACCEPT -s 192.168.1.10
iptables -t filter -A FORWARD -j ACCEPT -d 192.168.1.10
# Libera acesso para o servidor SERVER2801
iptables -t filter -A FORWARD -j ACCEPT -s 192.168.1.13
iptables -t filter -A FORWARD -j ACCEPT -d 192.168.1.13
# Demais Acessos
iptables -A FORWARD -d 192.168.1.154 -m state --state NEW -m tcp -p tcp -m multiport --dports 9022 -j ACCEPT
iptables -A FORWARD -d 192.168.1.156 -m state --state NEW -m tcp -p tcp -m multiport --dports 9001 -j ACCEPT #WebService - Enrico
iptables -A FORWARD -d 192.168.1.2 -m state --state NEW -m tcp -p tcp -m multiport --dports 52001 -j ACCEPT # Servidor Palm
iptables -A FORWARD -d 192.168.1.154 -m state --state NEW -m tcp -p tcp -m multiport --dports 52002 -j ACCEPT # Leandro
iptables -A FORWARD -d 192.168.1.156 -m state --state NEW -m tcp -p tcp -m multiport --dports 52003 -j ACCEPT # Enrico
iptables -A FORWARD -d 192.168.1.153 -m state --state NEW -m tcp -p tcp -m multiport --dports 52004 -j ACCEPT # Rossini
iptables -A FORWARD -d 192.168.1.27 -m state --state NEW -m tcp -p tcp -m multiport --dports 52100 -j ACCEPT # JJA
iptables -A FORWARD -d 192.168.1.151 -m state --state NEW -m tcp -p tcp -m multiport --dports 9026 -j ACCEPT # Danilo
iptables -A FORWARD -d 192.168.1.157 -m state --state NEW -m tcp -p tcp -m multiport --dports 52005 -j ACCEPT # Cristiano
iptables -A FORWARD -d 192.168.1.170 -p tcp --dport 56000 -j ACCEPT # vm-remoto-new - TESTE
iptables -A FORWARD -d 192.168.1.163 -m state --state NEW -m tcp -p tcp -m multiport --dports 52006 -j ACCEPT # Silvio
iptables -A FORWARD -d 192.168.1.152 -m state --state NEW -m tcp -p tcp -m multiport --dports 52007 -j ACCEPT # João
iptables -A FORWARD -d 192.168.1.21 -m state --state NEW -m tcp -p tcp -m multiport --dports 52009 -j ACCEPT # Roteamento VM Cristiano
iptables -A FORWARD -d 192.168.1.164 -m state --state NEW -m tcp -p tcp -m multiport --dports 52010 -j ACCEPT # Sergio Diniz
iptables -A FORWARD -d 192.168.1.154 -m state --state NEW -m tcp -p tcp -m multiport --dports 52020 -j ACCEPT # GCAMPOS
iptables -A FORWARD -d 192.168.1.193 -m state --state NEW -m tcp -p tcp -m multiport --dports 52193 -j ACCEPT # Roteamento VM Cristiano
iptables -A FORWARD -d 192.168.1.3 -m state --state NEW -m tcp -p tcp -m multiport --dports 10003 -j ACCEPT # ASSSERVER
iptables -A FORWARD -d 192.168.1.10 -m state --state NEW -m tcp -p tcp -m multiport --dports 10010 -j ACCEPT # ASSISTE3K
iptables -A FORWARD -d 192.168.1.13 -m state --state NEW -m tcp -p tcp -m multiport --dports 10013 -j ACCEPT # SERVER2801
iptables -A FORWARD -p tcp --dport 56000 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 56000 -j ACCEPT
iptables -A INPUT -p tcp --dport 56000 -j ACCEPT
iptables -A FORWARD -m multiport -p tcp --dport 25000:30000 -j ACCEPT
echo "IPTABLES - Forward..........OK!"
# Neste ponto sao criadas as regras de NAT ( Ricardo 14/03/2010 )
# ----------------------------------------------------------------------------------------------------------------------------------------------------------
# SQUID PROXY
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128 -s ! $ADM
# Encaminha pacotes para WEBSERVICE + SERVIDOR PALM - CRISTIANO
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 9000 -j DNAT --to-destination 192.168.1.157:9000
iptables -t nat -A PREROUTING -d $NETS -p tcp -m tcp --dport 9000 -j DNAT --to-destination 192.168.1.157:9000
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 9030 -j DNAT --to-destination 192.168.1.170:9000 # TESTE
iptables -t nat -A PREROUTING -d $NETS -p tcp -m tcp --dport 9030 -j DNAT --to-destination 192.168.1.170:9000 # TESTE
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 9015 -j DNAT --to-destination 192.168.1.157:9015
iptables -t nat -A PREROUTING -d $NET -p tcp -m tcp --dport 9015 -j DNAT --to-destination 192.168.1.157:9015
iptables -t nat -A PREROUTING -s $NET -p tcp -m tcp --dport 9015 -j DNAT --to-destination 192.168.1.157:9015
# Encaminha pacotes para WEBSERVICE + SERVIDOR PALM - LEANDRO
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 9020 -j DNAT --to-destination 192.168.1.154:9020
iptables -t nat -A PREROUTING -d $NET -p tcp -m tcp --dport 9020 -j DNAT --to-destination 192.168.1.154:9020
iptables -t nat -A PREROUTING -s $NET -p tcp -m tcp --dport 9020 -j DNAT --to-destination 192.168.1.154:9020
# Encaminha pacotes para WEBSERVICE - MÁQUINA VIRTUAL PALM
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 9050 -j DNAT --to-destination 192.168.1.2:9050
# Encaminha pacotes para WEBSERVICE - ENRICO
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 9001 -j DNAT --to-destination 192.168.1.156:80
# Encaminha pacotes para WEBSERVICE - LEANDRO
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 9022 -j DNAT --to-destination 192.168.1.154:8080
# Encaminha pacotes para SUPORTE
iptables -t nat -A PREROUTING -p tcp --dport 9005 -j DNAT --to-destination 192.168.1.10:9005
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 52001 -j DNAT --to-destination 192.168.1.2:3389
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 52002 -j DNAT --to-destination 192.168.1.154:3389
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 52003 -j DNAT --to-destination 192.168.1.156:3389
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 52004 -j DNAT --to-destination 192.168.1.153:3389
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 52100 -j DNAT --to-destination 192.168.1.27:3389
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 9026 -j DNAT --to-destination 192.168.1.151:3389
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 52005 -j DNAT --to-destination 192.168.1.157:3389
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 56000 -j DNAT --to-destination 192.168.1.170:3389 # TESTE
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 52006 -j DNAT --to-destination 192.168.1.163:3389
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 52007 -j DNAT --to-destination 192.168.1.152:3389
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 52009 -j DNAT --to-destination 192.168.1.21:9025
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 52010 -j DNAT --to-destination 192.168.1.164:3389
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 52020 -j DNAT --to-destination 192.168.1.154:3389
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 52193 -j DNAT --to-destination 192.168.1.193:3389
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 10003 -j DNAT --to-destination 192.168.1.3:3389
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 10010 -j DNAT --to-destination 192.168.1.10:3389
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 10013 -j DNAT --to-destination 192.168.1.13:3389
# Encaminha pacotes para REAL VNC - ASSISTE3K
iptables -t nat -A PREROUTING -d $IP_GVT -p tcp -m tcp --dport 5910 -j DNAT --to-destination 192.168.1.10:5900
# Encaminha pacotes para Administracao Modem GVT
#iptables -t nat -A PREROUTING -d 192.168.1.6 -p tcp -m tcp --dport 9025 -j DNAT --to-destination 192.168.1.51:80 #DRP
iptables -t nat -A POSTROUTING -d 192.168.1.3 -j SNAT --to $IP_GVT
iptables -t nat -A POSTROUTING -d 192.168.1.11 -j SNAT --to $IP_GVT
iptables -t nat -A POSTROUTING -d 192.168.1.13 -j SNAT --to $IP_GVT
# NAT para redes internas
iptables -t nat -A POSTROUTING -s $NETS -j MASQUERADE ! -d $NETS
echo "IPTABLES - Nat..............OK!"
echo "IPTABLES - Finalizando......OK!"
#############
#### FIM ####
#############
