script de firewall

removido
(usa Nenhuma)

Enviado em 23/09/2008 - 10:54h

Esta eh minha configuração nao sei se esta certo mas a intençao é utilizar o squid para cache para HTTP e FTP ( porta 80 e 21 ), e os outros serviços web que o squid nao gerencia utilizar o compartilhamento com o iptables, no caso abaixo liberei o serviço de email (porta 25 e 110). Esta correto as regras a seguir ? o que devo fazer para melhorar as regras ?

#!/bin/bash

# Ativa os modulos
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
modprobe ipt_LOG


# Limpa a tabela do iptables

iptables -t filter -F
iptables -t nat -F
iptables -t filter -Z
iptables -t nat -Z
iptables -t filter -X
iptables -t nat -X

# Configura as variaveis

INET="eth0" # interface que possui conexao com a internet
IR="eth1" # interface de rede local
REDE_INTERNA="192.168.2.0/24" # A rede interna

# Habilita a função forward no kernel

echo "1" > /proc/sys/net/ipv4/ip_forward

# Altera a politica padrao

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# Abre as portas para a interface de loopback

iptables -A INPUT -i lo -j ACCEPT

# Libera a comunicaçao para $REDE_INTERNA

iptables -A INPUT -s $REDE_INTERNA -j ACCEPT
iptables -A FORWARD -s $REDE_INTERNA -d $REDE_INTERNA -j ACCEPT

# Rejeita/Aceita alguns pacotes com base no seu estado

iptables -A INPUT -i $IR -m state --state NEW -s ! $REDE_INTERNA -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Compartilha a internet

iptables -t nat -A PREROUTING -i $IR -s $REDE_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 3128 #HTTP
iptables -t nat -A PREROUTING -i $IR -s $REDE_INTERNA -p tcp --dport 21 -j REDIRECT --to-port 3128 #FTP

iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT

iptables -t nat -A POSTROUTING -s $REDE_INTERNA -o $INET -j MASQUERADE