Iptables (Firewall)
Firewall muito bom para servidores
Categoria: Segurança
Software: Iptables
[ Hits: 31.094 ]
Por: Cassio
Este Firewall atualmente esta vigorando na minha empresa. Ate hoje nao tive problemas com ele. Coloquei a liberação do Kazaa para dar exemplo caso seja necessario barrar ou liberar alguma outra porta que seja solicitada.
Abraços
echo echo echo echo echo echo "#########################################################" echo "#########################################################" echo "######## LAN = ETH2 - WAN = ETH0 ###########" echo "#########################################################" echo "#########################################################" echo "################ ALCX CONSULTING ###################" echo "#########################################################" echo "#########################################################" #========================================================================================= echo echo echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@" echo "@@@ CONFIGURACAO DO FIREWALL @@@@@@@@@@" echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@" echo echo #========================================================================================= echo " LIMPANDO AS REGRAS DO IPTABLES ------------------------ OK" iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD #========================================================================================= echo " DEFININDO POLITICA DE REGRAS DO IPTABLES -------------- OK" iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT #========================================================================================= echo " LIBERANDO ACESSO AO SERVIDOR -------------------------- OK" iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 0/0 -p udp -m multiport --sport 53 -j ACCEPT iptables -A INPUT -s 0/0 -p tcp -m multiport --sport 22,25,80,110,443 -j ACCEPT iptables -A INPUT -s 0/0 -p tcp -m multiport --dport 22,25,80,110,443 -j ACCEPT #========================================================================================= echo " BARRANDO SERVIÇOS E SITES EXTRAS ---------------------- OK" iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j DROP iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j DROP iptables -A FORWARD -d gateway.messenger.hotmail.com -j DROP iptables -A FORWARD -d messenger.hotmail.com -j DROP iptables -A FORWARD -d loginnet.passport.com -j DROP iptables -A FORWARD -d login.passport.net -j DROP iptables -A FORWARD -d login.icq.com -j DROP #========================================================================================= echo " LIBERANDO ACESSO A REDE LOCAL ------------------------- OK" iptables -A INPUT -i eth2 -p tcp -m multiport --dport 80,22,25,110,137,138,139,443,445,3128 -j ACCEPT iptables -A INPUT -i eth2 -p tcp -m multiport --sport 80,22,25,110,137,138,139,443,445,3128 -j ACCEPT iptables -A INPUT -i eth2 -p udp -m multiport --dport 137,138,139,445,3128 -j ACCEPT iptables -A INPUT -i eth2 -p udp -m multiport --sport 137,138,139,445,3128 -j ACCEPT iptables -A FORWARD -i eth2 -p tcp -m multiport --dport 80,22,25,110,443 -j ACCEPT ### QUESTIONAVEL ### iptables -A FORWARD -s 0/0 -p tcp -m multiport --sport 80,22,25,110,443 -j ACCEPT iptables -A FORWARD -s 0/0 -p udp -m multiport --sport 53 -j ACCEPT iptables -A FORWARD -i eth2 -p udp -m multiport --dport 53 -j ACCEPT #========================================================================================= echo " LIBERANDO SERVIÇOS E SITES EXTRAS ---------------------- OK" iptables -A FORWARD -i eth2 -p udp -m multiport --dport 1214,32656 -j ACCEPT #### KAZAA iptables -A FORWARD -i eth2 -p tcp -m multiport --dport 1214,32656 -j ACCEPT #### KAZAA iptables -A FORWARD -s 0/0 -p tcp -m multiport --sport 1214,32656 -j ACCEPT #### KAZAA iptables -A FORWARD -s 0/0 -p udp -m multiport --sport 1214,32656 -j ACCEPT #### KAZAA #========================================================================================= echo " LIBERAÇÃO DOS SOCKETES -------------------------------- OK" #### COM A LIBERACAO DAS PORTAS UDP-137,138,139,445 NAO EH NECESSARIO COLOCAR A CHAIN ABAIXO #### SO EM CASO DE ERRO #iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT #### DESCOMENTEM ESTA LINHA CASO SEJA NECESSARIO #========================================================================================= echo " COMPARTILHAMENTO DA INTERNET, MASCARAMENTO ------------ OK" iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE #========================================================================================= echo " PERMITINDO PROXY TRANSPARENTE ------------------------- OK" iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128 #========================================================================================= echo " PERMITINDO REDIRECIONAMENTO DE PACOTES ---------------- OK" echo 1 >/proc/sys/net/ipv4/ip_forward echo echo echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@" echo "@@@ TERMINO DA CONFIGURAÇÃO @@@" echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@" echo echo
Comentários
[2] Comentário enviado por daminelli em 18/04/2006 - 19:39h
gostaria de fazer uma perguntra para vc...
as linhas de mascaramento e de proxy transparentes, devem ser sempre as ultimas linhas do firewall?
favor responder tambem para o e-mail dad@unesc.net
Obrigado.
Diniz
gostaria de fazer uma perguntra para vc...
as linhas de mascaramento e de proxy transparentes, devem ser sempre as ultimas linhas do firewall?
favor responder tambem para o e-mail dad@unesc.net
Obrigado.
Diniz
[3] Comentário enviado por daminelli em 18/04/2006 - 19:54h
outra pergunta....
a sequencia: primeiro mascaramento e depois a configuração do uso do proxy, tem que ser esta? pois li o seguinte:
"Forçar as estações passarem pelo proxy, precisa colocar uma regra no firewall pra redirecionar todo o trafego da porta 80 para a porta 3128, o local de inserir a regra também é muito importante, tem que ser antes da regra que faz nat para evitar que as estações continue navegando sem passar pelo proxy... "
fonte:
http://72.14.203.104/search?q=cache:lBeKD0pwR5QJ:www.zago.eti.br/squid/dicas-e-truques.html+multipor...
acho que a sua regra está ao contrario.. é isto mesmo?
Obrigado
Diniz
outra pergunta....
a sequencia: primeiro mascaramento e depois a configuração do uso do proxy, tem que ser esta? pois li o seguinte:
"Forçar as estações passarem pelo proxy, precisa colocar uma regra no firewall pra redirecionar todo o trafego da porta 80 para a porta 3128, o local de inserir a regra também é muito importante, tem que ser antes da regra que faz nat para evitar que as estações continue navegando sem passar pelo proxy... "
fonte:
http://72.14.203.104/search?q=cache:lBeKD0pwR5QJ:www.zago.eti.br/squid/dicas-e-truques.html+multipor...
acho que a sua regra está ao contrario.. é isto mesmo?
Obrigado
Diniz
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Monitorando o Preço do Bitcoin ou sua Cripto Favorita em Tempo Real com um Widget Flutuante
IA Turbina o Desktop Linux enquanto distros renovam forças
Como extrair chaves TOTP 2FA a partir de QRCODE (Google Authenticator)
Dicas
Como realizar um ataque de força bruta para desobrir senhas?
Como usar Gpaste no ambiente Cinnamon
Atualizando o Fedora 42 para 43
Tópicos
É normal não gostar de KDE? (15)
Erro ao instalar programa, "você tem pacotes retidos quebrados&qu... (13)
Top 10 do mês
-
Xerxes
1° lugar - 117.112 pts -
Fábio Berbert de Paula
2° lugar - 87.073 pts -
Mauricio Ferrari
3° lugar - 25.318 pts -
Alberto Federman Neto.
4° lugar - 24.769 pts -
edps
5° lugar - 22.523 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
6° lugar - 21.126 pts -
Daniel Lara Souza
7° lugar - 20.811 pts -
Buckminster
8° lugar - 20.380 pts -
Andre (pinduvoz)
9° lugar - 19.589 pts -
Diego Mendes Rodrigues
10° lugar - 16.768 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
