rkrterada
(usa Ubuntu)
Enviado em 07/01/2010 - 09:07h
Pessoal bom dia. Estou começando a mexer no linux e fiz um firewall para a empresa onde eu trabalho utilizando o ubuntu server 8.10 com iptables + squid + dansguardian. Meu proxy é transparent.
No iptables eu fiz algumas regras de liberacao e fiz o redirecionamento das portas 3128 e 80 para a porta 8080 que é utlizada pelo dansguardian. E o Squid so faz o cache.
Minha duvida é em que ordem eu coloco as regras de firewall e o redirecionamento para a porta 8080 para que uma regra nao atrapalhe a outra e seja otimizado.
Gostaria de saber também como eu posso fazer para quando os usuarios da rede interna forem acessar o meu site (outro servidor da rede), haja um redirecionamento diretamento para o servidor do site, sem utilizar a banda externa.
Outra coisa, como eu posso liberar o acesso externo pelo vnc para determinada maquina.
Minha rede interna é 10.25.0.0/16.
Estou no aguardo. Obrigado!
Meu firewall:
#!/bin/sh
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.
################# REGRAS DE PROTECAO DO KERNEL ##########
echo "Starting Forward and Protection Rules..."
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 2 > /proc/sys/net/ipv4/tcp_synack_retries
echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
################## IPTables ##################
iptables -t nat -F
iptables -F
#Redirecionamento
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -m multiport -p tcp --dport 80,3128 -j REDIRECT --to-port 8080
iptables -A INPUT -p TCP --source ! 10.26.0.0/8 --dport 8080 -j REJECT
iptables -A INPUT -p TCP --source ! 10.25.0.0/8 --dport 8080 -j REJECT
iptables -A INPUT -p TCP --source ! 10.27.0.0/8 --dport 8080 -j REJECT
iptables -I INPUT -p ALL --source 192.168.1.0/24 -j ACCEPT
iptables -I INPUT -p TCP --source 172.17.1.0/24 --dport 8080 -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -p udp --sport 1194 -j ACCEPT
# ftp radar estatico - LaserTech
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
#Porta Receita Net
iptables -I FORWARD -p tcp --dport 3456 -j ACCEPT
iptables -I FORWARD -p tcp --sport 3456 -j ACCEPT
#Raiz
iptables -I FORWARD -p TCP -s 161.148.185.46 -j ACCEPT
iptables -I FORWARD -p TCP -d 161.148.185.46 -j ACCEPT
iptables -I FORWARD 1 -p all -s 10.25.20.104 -j ACCEPT
iptables -I FORWARD 1 -p all -d 10.25.20.104 -j ACCEPT
iptables -I FORWARD 1 -p tcp --dport 53 -j ACCEPT
iptables -I FORWARD 1 -p tcp --sport 53 -j ACCEPT
#Porta Segura 443
iptables -I FORWARD 1 -p tcp --dport 443 -j ACCEPT
iptables -I FORWARD 1 -p tcp --sport 443 -j ACCEPT
iptables -I FORWARD 1 -p tcp --dport 443 -j ACCEPT
iptables -I FORWARD 1 -p udp --sport 443 -j ACCEPT
iptables -I FORWARD 1 -s 172.17.16.0/24 -j ACCEPT
iptables -I FORWARD 1 -d 172.17.16.0/24 -j ACCEPT
#Conectividade Social Caixa
#CAIXA=200.201.174.0/24 # IP da CAIXA a ser liberado para toda a rede.
iptables -t nat -I PREROUTING -d 200.201.174.0/24 -j ACCEPT
iptables -I FORWARD -d 200.201.174.0/24 -j ACCEPT
iptables -I FORWARD -s 200.201.174.0/24 -j ACCEPT
iptables -t nat -I PREROUTING -d 200.201.160.0/24 -j ACCEPT
iptables -I FORWARD -d 200.201.160.0/24 -j ACCEPT
iptables -I FORWARD -s 200.201.160.0/24 -j ACCEPT
#Libera Porta 5017 - Programa CAT (Acidente de Trabalho)
iptables -I INPUT -p tcp --dport 5017 --source 10.0.0.0/8 -i eth0 -j ACCEPT
iptables -I FORWARD -p tcp --dport 5017 -j ACCEPT
iptables -I FORWARD -p tcp --sport 5017 -j ACCEPT
iptables -I FORWARD -p all -s cafe.dataprev.gov.br -j ACCEPT
iptables -I FORWARD -p all -d cafe.dataprev.gov.br -j ACCEPT
#iptables -I INPUT -p tcp -s 200.171.3.56 -j ACCEPT
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
#Dataprev - CAT
iptables -I FORWARD 1 -p all -s 10.25.0.0/24 -d cafe.dataprev.gov.br -j ACCEPT
iptables -I FORWARD 1 -p all -d 10.25.0.0/24 -s cafe.dataprev.gov.br -j ACCEPT
iptables -I INPUT -p tcp -s 172.17.1.0/24 -d 10.25.0.0/16 -j DROP
/sbin/iptables -P FORWARD DROP