Firewall socorro

1. Firewall socorro

Julio Jose Jordão
Julio_Jose

(usa Debian)

Enviado em 18/08/2007 - 21:02h

olha pessoal, to com esse firewall na maquina, peguei ai no site do vol, ele ta funcionando certinho, ta bloqueando msn, ta bloqueando shareaza, emule etc...mais porém ele ainda ta liberarno acesso ao downloadmanager....

a minha duivda e eh: como que eu faço para que ele bloquei tudo...e soh permita que o pessoal navegue na internet?


veja como ele esta:


# -------------------------------------------------------
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe sch_sfq
/sbin/modprobe sch_htb
/sbin/modprobe cls_u32

# Desativando o filtro de ip ( seguranca )
#-------------------------------------------------
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter

# Habilitando repasse de pacote
#-------------------------------------------------
echo 1 > /proc/sys/net/ipv4/ip_forward

# Definicao de variaveis
#-------------------------------------------------
IPR=/sbin/ip
IPT=/sbin/iptables
LAN=192.168.0.0/24

#INTERFACES
#-------------------------------------------------
IFWAN=eth0
IFLAN=eth1

# APAGA TODAS AS REGRAS
#---------------------------------------------
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

# POLITICAS DE ACESSO
#----------------------------------------------
$IPT -P INPUT ACCEPT
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
#$IPT -P OUTPUT ACCEPT

# Aceita pacotes que ja estabelecerao conexao ( Statefull)
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#pacotes originados pelo firewall
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Aceitando pela interface interna
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT


# Liberando ICMP para rede
$IPT -A INPUT -p icmp -i $IFLAN -s $LAN -j ACCEPT
$IPT -A OUTPUT -o $IFWAN -p icmp -m state --state NEW -j ACCEPT
$IPT -A FORWARD -p icmp -i $IFLAN -o $IFWAN -j ACCEPT

#
# Acesso ssh (firewall)
#------------------------------------------------
$IPT -A INPUT -p tcp -i $IFLAN -s $LAN --dport 22 -j ACCEPT

#
# CONEXAO DE SAIDA ( Acesso da rede interna direto para Internet via proxy)
#---------------------------------------------------------------------

#consulta dns do firewall
$IPT -A INPUT -p udp -i $IFLAN -s $LAN --dport 53 -j ACCEPT
$IPT -A OUTPUT -p udp -s $LAN --dport 53 -j ACCEPT
$IPT -A FORWARD -p udp -s $LAN --dport 67 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LAN --dport 53 -j ACCEPT
$IPT -A FORWARD -p tcp -s $LAN --dport 67 -j ACCEPT

#transferencia de zonas entre o firewall e o ad
$IPT -A INPUT -p tcp -i $IFLAN -s $LAN --dport 53 -j ACCEPT

#dhcp
$IPT -A INPUT -p udp -i $IFLAN -s $LAN --dport 67 -j ACCEPT
$IPT -A INPUT -p tcp -i $IFLAN -s $LAN --dport 68 -j ACCEPT

#
# Acesso as servidores da DMZ pela Internet
#----------------------------------------------------------
$IPT -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.0.4

#Libera https, imap, pop3, smtp, 587=smtp locaweb
$IPT -A FORWARD -p tcp -i $IFLAN -s $LAN -m multiport --dport 53,80,8080,110,143,25,443,587 -j ACCEPT

#libera a lan pra ela mesmo
$IPT -A FORWARD -p tcp -i $IFLAN -s $LAN -d $LAN -j ACCEPT

#libera a lan pra consultar o dns do firewall AQUI
$IPT -A FORWARD -p tcp -i $IFLAN -s $LAN -d $LAN -j ACCEPT

#redireciona a porta 80 para a 3128 do squid
$IPT -t nat -A PREROUTING -i $IFLAN -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPT -A INPUT -i $IFLAN -p tcp --dport 3128 -j ACCEPT
$IPT -A OUTPUT -p icmp -m state --state NEW -j ACCEPT

#----------------------------------------------------------------
# Mascaramento link
$IPT -t nat -A POSTROUTING -o $IFWAN -j MASQUERADE


....qual seria a solução?


  


2. bloqueia tudo...

Fernandino Mesquita e Silva
FireBird

(usa Debian)

Enviado em 18/08/2007 - 22:19h

a primeira regra de um firwall que se preze,é BLOQUEAR TUDO... input, outup, forward, nat...etc...

depois vc vailiberando....

pra liberar a navegação, vc pode liberar pelo postrouting mesmo colocando so os ips desejados ouliberar pra todo mundo a distribuição da rede... ai tem de liberar porta 80,8080,53,etc... vai /etc/services que vc ve as portas que sao de navegação, smtp, pop, ssh, http,https, DNS também...rs...


duvida, posta ai... []s


3. firewall

Juno Kim
juno

(usa Linux Mint)

Enviado em 20/08/2007 - 23:41h

Cara
depois de limpar as regras DROPa tudo nas cadeias e define como padrao.


Falou !


4. Duvida

Paulo
paulocelsojr

(usa Debian)

Enviado em 27/09/2007 - 17:33h

Amigo,

Gostei bastante das suas regras e gostaria de tirar a seguinte dúvida com vc.
Apliquei essas suas regras aqui no meu servidor e notei que depois de algum tempo depois que executo o script as estações param de navegar.
Ai vi que o que está parando é o proxy transparente porque se coloco manual a estação navega. O estranho é que logo quando executo ele funciona e depois de um tempo é que para.
Então fiz o seguinte... coloquei no cron pra executar de cinco em cinco minutos o script. Sei que não é o correto mais assim funcionou...
Isso aconteceu com você ou com mais alguém? já tem um mais completo para postar aqui? será que teria alguma dica para resolver esse problema?
Estou usando Debian como SO.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts