Denuncie   Favoritos   Indicar  

iptables, firewall desktop bloqueia tudo

1. iptables, firewall desktop bloqueia tudo

Antônio Carlos
carlosac
(usa Ubuntu)

Enviado em 16/07/2013 - 15:01h

Fala pessoal, estou passando por um certo problema aqui na empresa em que trabalho ai resolvi pedir uma ajuda aos amigos da comunidade.

Meu problema é o seguinte tenho que colocar uma maquina na rede, mas está maquina tem que ter alguma peculiaridades. Ela não poderá ter comunicação com outras maquinas exceto as que estiverem liberadas no firewall “IPTABLES”.
Primeiro pretendo bloquear todas as entradas e saídas, e depois liberar só pra onde eu quero que ela saia.

Ex: tenho um servidor FTP em uma rede fora da minha e quero que a maquina comunique com ele, vou lá e coloco uma regra de OUTPUT especifica para a maquina que eu quero sair.


iptables -P INPUT DROP #(bloqueia entrada)

iptables -P FORWARD DROP #(bloqueia encaminhamento)

iptables -P OUTPUT DROP #(bloqueia saída) 





iptables -A OUTPUT -s 10.10.10.100 -d 10.10.10.1 -p tcp --dport 443 -j ACCEPT

Estou pedindo essa ajuda pois já fiz de varias formas e nenhuma deu certo, todas deram bloqueios errados.


Segue como a coisas está no momento.


#!/bin/bash

##################################################

#declarando variáveis

IPT=iptables



#zerar todas as regras

$IPT -F 



# Abre para a interface de loopback.

$IPT -A INPUT -i lo -j ACCEPT



#Bloqueando entrada(INPUT), encaminhamento(FORWARD) e saída(OUTPUT). 



#$IPT -P INPUT DROP #(bloqueia entrada)

#$IPT -P FORWARD DROP #(bloqueia encaminhamento)

#$IPT -P OUTPUT DROP #(bloqueia saída) 



##################################################

#PROTECOES

##################################################



# Ignora pings

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all



# Protecao contra IP spoofing

echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter



# Protege contra synflood

echo "1" > /proc/sys/net/ipv4/tcp_syncookies



# Bloqueia traceroute

$IPT -A INPUT -p udp --dport 33435:33525 -j DROP



# Protecoes diversas contra portscanners, ping of death, ataques DoS, etc

$IPT -A INPUT -m state --state INVALID -j DROP



$IPT -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP



#Abrindo portas:



$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT #(aceita conexões estabelecidas)



$IPT -A OUTPUT -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp -j ACCEPT

$IPT -A FORWARD -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp -j ACCEPT

$IPT -A INPUT -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp -j ACCEPT



$IPT -A OUTPUT -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp --dport 443 -j ACCEPT

$IPT -A FORWARD -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp --dport 443 -j ACCEPT

$IPT -A INPUT -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp --dport 443 -j ACCEPT



 

#$IPT -A FORWARD -p tcp --dport 80 -d 10.10.10.1 -j ACCEPT #(aceita pop3)

#$IPT -A OUTPUT -p tcp --dport 80  -j ACCEPT



#####################################################



##########################

##Coracao do firewall

##########################



#Bloqueia qualquer regra que nao tenha sido liberada acima.

#$IPT -A OUTPUT -p tcp -m multiport --dports 80,443 -j DROP #bloqueia http https

$IPT -A INPUT -p tcp --syn -j DROP

$IPT -A INPUT -p udp --dport 1:1024 -j DROP



#Bloqueia protocolo ipv6



#TCP

ip6tables -A INPUT -p tcp --syn -j DROP

ip6tables -A OUTPUT -p tcp --syn -j DROP



#UDP

ip6tables -A INPUT -p udp --dport 1:32000 -j DROP

ip6tables -A OUTPUT -p udp --dport 1:32000 -j DROP



#ICMPv6

ip6tables -A INPUT -p icmp -j DROP

ip6tables -A OUTPUT -p icmp -j DROP



#$IPT -P FORWARD DROP #(bloqueia encaminhamento)


0 0
  • Quote

    •   


    2. Re: iptables, firewall desktop bloqueia tudo

    Reginaldo de Matias
    saitam
    (usa Slackware)

    Enviado em 16/07/2013 - 15:29h

    carlosac escreveu:

    Fala pessoal, estou passando por um certo problema aqui na empresa em que trabalho ai resolvi pedir uma ajuda aos amigos da comunidade.

    Meu problema é o seguinte tenho que colocar uma maquina na rede, mas está maquina tem que ter alguma peculiaridades. Ela não poderá ter comunicação com outras maquinas exceto as que estiverem liberadas no firewall “IPTABLES”.
    Primeiro pretendo bloquear todas as entradas e saídas, e depois liberar só pra onde eu quero que ela saia.

    Ex: tenho um servidor FTP em uma rede fora da minha e quero que a maquina comunique com ele, vou lá e coloco uma regra de OUTPUT especifica para a maquina que eu quero sair.

    
iptables -P INPUT DROP #(bloqueia entrada)
    
iptables -P FORWARD DROP #(bloqueia encaminhamento)
    
iptables -P OUTPUT DROP #(bloqueia saída) 
    

    

    
iptables -A OUTPUT -s 10.10.10.100 -d 10.10.10.1 -p tcp --dport 443 -j ACCEPT

    Estou pedindo essa ajuda pois já fiz de varias formas e nenhuma deu certo, todas deram bloqueios errados.


    Segue como a coisas está no momento.

    
#!/bin/bash
    
##################################################
    
#declarando variáveis
    
IPT=iptables
    

    
#zerar todas as regras
    
$IPT -F 
    

    
# Abre para a interface de loopback.
    
$IPT -A INPUT -i lo -j ACCEPT
    

    
#Bloqueando entrada(INPUT), encaminhamento(FORWARD) e saída(OUTPUT). 
    

    
#$IPT -P INPUT DROP #(bloqueia entrada)
    
#$IPT -P FORWARD DROP #(bloqueia encaminhamento)
    
#$IPT -P OUTPUT DROP #(bloqueia saída) 
    

    
##################################################
    
#PROTECOES
    
##################################################
    

    
# Ignora pings
    
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
    

    
# Protecao contra IP spoofing
    
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
    

    
# Protege contra synflood
    
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
    

    
# Bloqueia traceroute
    
$IPT -A INPUT -p udp --dport 33435:33525 -j DROP
    

    
# Protecoes diversas contra portscanners, ping of death, ataques DoS, etc
    
$IPT -A INPUT -m state --state INVALID -j DROP
    

    
$IPT -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
    

    
#Abrindo portas:
    

    
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT #(aceita conexões estabelecidas)
    

    
$IPT -A OUTPUT -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp -j ACCEPT
    
$IPT -A FORWARD -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp -j ACCEPT
    
$IPT -A INPUT -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp -j ACCEPT
    

    
$IPT -A OUTPUT -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp --dport 443 -j ACCEPT
    
$IPT -A FORWARD -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp --dport 443 -j ACCEPT
    
$IPT -A INPUT -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp --dport 443 -j ACCEPT
    

    
 
    
#$IPT -A FORWARD -p tcp --dport 80 -d 10.10.10.1 -j ACCEPT #(aceita pop3)
    
#$IPT -A OUTPUT -p tcp --dport 80  -j ACCEPT
    

    
#####################################################
    

    
##########################
    
##Coracao do firewall
    
##########################
    

    
#Bloqueia qualquer regra que nao tenha sido liberada acima.
    
#$IPT -A OUTPUT -p tcp -m multiport --dports 80,443 -j DROP #bloqueia http https
    
$IPT -A INPUT -p tcp --syn -j DROP
    
$IPT -A INPUT -p udp --dport 1:1024 -j DROP
    

    
#Bloqueia protocolo ipv6
    

    
#TCP
    
ip6tables -A INPUT -p tcp --syn -j DROP
    
ip6tables -A OUTPUT -p tcp --syn -j DROP
    

    
#UDP
    
ip6tables -A INPUT -p udp --dport 1:32000 -j DROP
    
ip6tables -A OUTPUT -p udp --dport 1:32000 -j DROP
    

    
#ICMPv6
    
ip6tables -A INPUT -p icmp -j DROP
    
ip6tables -A OUTPUT -p icmp -j DROP
    

    
#$IPT -P FORWARD DROP #(bloqueia encaminhamento)



    #Bloqueando entrada(INPUT), encaminhamento(FORWARD) e saída(OUTPUT).

    #$IPT -P INPUT DROP #(bloqueia entrada)
    #$IPT -P FORWARD DROP #(bloqueia encaminhamento)
    #$IPT -P OUTPUT DROP #(bloqueia saída)
    descomenta as regras acima que estão em DROP


    0 0
  • Quote

    • 3. Re: iptables, firewall desktop bloqueia tudo

    Antônio Carlos
    carlosac
    (usa Ubuntu)

    Enviado em 16/07/2013 - 22:36h

    saitam escreveu:

    carlosac escreveu:

    Fala pessoal, estou passando por um certo problema aqui na empresa em que trabalho ai resolvi pedir uma ajuda aos amigos da comunidade.

    Meu problema é o seguinte tenho que colocar uma maquina na rede, mas está maquina tem que ter alguma peculiaridades. Ela não poderá ter comunicação com outras maquinas exceto as que estiverem liberadas no firewall “IPTABLES”.
    Primeiro pretendo bloquear todas as entradas e saídas, e depois liberar só pra onde eu quero que ela saia.

    Ex: tenho um servidor FTP em uma rede fora da minha e quero que a maquina comunique com ele, vou lá e coloco uma regra de OUTPUT especifica para a maquina que eu quero sair.

    
iptables -P INPUT DROP #(bloqueia entrada)
    
iptables -P FORWARD DROP #(bloqueia encaminhamento)
    
iptables -P OUTPUT DROP #(bloqueia saída) 
    

    

    
iptables -A OUTPUT -s 10.10.10.100 -d 10.10.10.1 -p tcp --dport 443 -j ACCEPT

    Estou pedindo essa ajuda pois já fiz de varias formas e nenhuma deu certo, todas deram bloqueios errados.


    Segue como a coisas está no momento.

    
#!/bin/bash
    
##################################################
    
#declarando variáveis
    
IPT=iptables
    

    
#zerar todas as regras
    
$IPT -F 
    

    
# Abre para a interface de loopback.
    
$IPT -A INPUT -i lo -j ACCEPT
    

    
#Bloqueando entrada(INPUT), encaminhamento(FORWARD) e saída(OUTPUT). 
    

    
#$IPT -P INPUT DROP #(bloqueia entrada)
    
#$IPT -P FORWARD DROP #(bloqueia encaminhamento)
    
#$IPT -P OUTPUT DROP #(bloqueia saída) 
    

    
##################################################
    
#PROTECOES
    
##################################################
    

    
# Ignora pings
    
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
    

    
# Protecao contra IP spoofing
    
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
    

    
# Protege contra synflood
    
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
    

    
# Bloqueia traceroute
    
$IPT -A INPUT -p udp --dport 33435:33525 -j DROP
    

    
# Protecoes diversas contra portscanners, ping of death, ataques DoS, etc
    
$IPT -A INPUT -m state --state INVALID -j DROP
    

    
$IPT -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
    

    
#Abrindo portas:
    

    
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT #(aceita conexões estabelecidas)
    

    
$IPT -A OUTPUT -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp -j ACCEPT
    
$IPT -A FORWARD -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp -j ACCEPT
    
$IPT -A INPUT -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp -j ACCEPT
    

    
$IPT -A OUTPUT -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp --dport 443 -j ACCEPT
    
$IPT -A FORWARD -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp --dport 443 -j ACCEPT
    
$IPT -A INPUT -s 10.10.10.100 -d 10.10.10.1 -p tcp -m tcp --dport 443 -j ACCEPT
    

    
 
    
#$IPT -A FORWARD -p tcp --dport 80 -d 10.10.10.1 -j ACCEPT #(aceita pop3)
    
#$IPT -A OUTPUT -p tcp --dport 80  -j ACCEPT
    

    
#####################################################
    

    
##########################
    
##Coracao do firewall
    
##########################
    

    
#Bloqueia qualquer regra que nao tenha sido liberada acima.
    
#$IPT -A OUTPUT -p tcp -m multiport --dports 80,443 -j DROP #bloqueia http https
    
$IPT -A INPUT -p tcp --syn -j DROP
    
$IPT -A INPUT -p udp --dport 1:1024 -j DROP
    

    
#Bloqueia protocolo ipv6
    

    
#TCP
    
ip6tables -A INPUT -p tcp --syn -j DROP
    
ip6tables -A OUTPUT -p tcp --syn -j DROP
    

    
#UDP
    
ip6tables -A INPUT -p udp --dport 1:32000 -j DROP
    
ip6tables -A OUTPUT -p udp --dport 1:32000 -j DROP
    

    
#ICMPv6
    
ip6tables -A INPUT -p icmp -j DROP
    
ip6tables -A OUTPUT -p icmp -j DROP
    

    
#$IPT -P FORWARD DROP #(bloqueia encaminhamento)



    #Bloqueando entrada(INPUT), encaminhamento(FORWARD) e saída(OUTPUT).

    #$IPT -P INPUT DROP #(bloqueia entrada)
    #$IPT -P FORWARD DROP #(bloqueia encaminhamento)
    #$IPT -P OUTPUT DROP #(bloqueia saída)
    descomenta as regras acima que estão em DROP



    Já fiz isso também, é justamente oq eu quero. Porem quando faço acontece um bloqueio geral e não consigo fazer as liberações necessárias, fica tudo bloqueado.


    0 0
  • Quote

    • 4. Re: iptables, firewall desktop bloqueia tudo

    Reginaldo de Matias
    saitam
    (usa Slackware)

    Enviado em 16/07/2013 - 23:02h

    carlosac escreveu:
    Já fiz isso também, é justamente oq eu quero. Porem quando faço acontece um bloqueio geral e não consigo fazer as liberações necessárias, fica tudo bloqueado.


    É que faltou liberar as portas de saída(OUTPUT) 80, 443, 53 (para resolver nomes), 20,21 (ftp),25,587,110,143,995 e demais portas necessários que deseja liberar na saída(OUTPUT), caso deseja liberar algum serviço na máquina para acesso remoto nessa máquina, deve liberar na entrada (INPUT).

    Lembrete
    INPUT: tudo que entra na máquina (serviços ativos liberados para acesso remoto)
    OUTPUT: tudo que sai da máquina

    0 0
  • Quote

    • 5. Re: iptables, firewall desktop bloqueia tudo

    Antônio Carlos
    carlosac
    (usa Ubuntu)

    Enviado em 17/07/2013 - 11:03h

    saitam escreveu:

    carlosac escreveu:
    Já fiz isso também, é justamente oq eu quero. Porem quando faço acontece um bloqueio geral e não consigo fazer as liberações necessárias, fica tudo bloqueado.


    É que faltou liberar as portas de saída(OUTPUT) 80, 443, 53 (para resolver nomes), 20,21 (ftp),25,587,110,143,995 e demais portas necessários que deseja liberar na saída(OUTPUT), caso deseja liberar algum serviço na máquina para acesso remoto nessa máquina, deve liberar na entrada (INPUT).

    Lembrete
    INPUT: tudo que entra na máquina (serviços ativos liberados para acesso remoto)
    OUTPUT: tudo que sai da máquina


    Isso tudo eu já fiz, na verdade estavam comentadas pois vieram de vareias tentativas frustradas.

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Como renomear arquivos de letras maiúsculas para minúsculas

    Imprimindo no formato livreto no Linux

    Vim - incrementando números em substituição

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Tópicos

    Ubuntu não sai som (1)

    SysAdmin ou DevOps: Qual curso inicial pra essa área? (0)

    Melhores Práticas de Nomenclatura: Pastas, Arquivos e Código (3)

    Setxkb persistente (1)

    Preciso resolver um erro de DPKG (1)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: