Firewall

Iptables (Firewall)

Alcx

Firewall muito bom para servidores

Categoria: Segurança

Software: Iptables

[ Hits: 31.130 ]

Por: Cassio

0 0
Denuncie   Favoritos   Indicar  

Este Firewall atualmente esta vigorando na minha empresa. Ate hoje nao tive problemas com ele. Coloquei a liberação do Kazaa para dar exemplo caso seja necessario barrar ou liberar alguma outra porta que seja solicitada.

Abraços


echo
echo
echo
echo
echo
echo "#########################################################"
echo "#########################################################"
echo "########   LAN = ETH2      -     WAN = ETH0   ###########"
echo "#########################################################"
echo "#########################################################"
echo "################    ALCX CONSULTING   ###################"
echo "#########################################################"
echo "#########################################################"

#=========================================================================================

echo
echo
echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo "@@@        CONFIGURACAO DO FIREWALL @@@@@@@@@@"
echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo
echo

#=========================================================================================

echo " LIMPANDO AS REGRAS DO IPTABLES ------------------------ OK"
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

#=========================================================================================

echo " DEFININDO POLITICA DE REGRAS DO IPTABLES -------------- OK"

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#=========================================================================================

echo " LIBERANDO ACESSO AO SERVIDOR -------------------------- OK"

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 0/0 -p udp -m multiport --sport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp -m multiport --sport 22,25,80,110,443 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp -m multiport --dport 22,25,80,110,443 -j ACCEPT

#=========================================================================================

echo " BARRANDO SERVIÇOS E SITES EXTRAS ---------------------- OK"

iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d gateway.messenger.hotmail.com -j DROP
iptables -A FORWARD -d messenger.hotmail.com -j DROP
iptables -A FORWARD -d loginnet.passport.com -j DROP
iptables -A FORWARD -d login.passport.net -j DROP
iptables -A FORWARD -d login.icq.com -j DROP

#=========================================================================================

echo " LIBERANDO ACESSO A REDE LOCAL ------------------------- OK"

iptables -A INPUT -i eth2 -p tcp -m multiport --dport 80,22,25,110,137,138,139,443,445,3128 -j ACCEPT
iptables -A INPUT -i eth2 -p tcp -m multiport --sport 80,22,25,110,137,138,139,443,445,3128 -j ACCEPT
iptables -A INPUT -i eth2 -p udp -m multiport --dport 137,138,139,445,3128 -j ACCEPT
iptables -A INPUT -i eth2 -p udp -m multiport --sport 137,138,139,445,3128 -j ACCEPT

iptables -A FORWARD -i eth2 -p tcp -m multiport --dport 80,22,25,110,443 -j ACCEPT  ### QUESTIONAVEL ###
iptables -A FORWARD -s 0/0 -p tcp -m multiport --sport 80,22,25,110,443 -j ACCEPT
iptables -A FORWARD -s 0/0 -p udp -m multiport --sport 53 -j ACCEPT
iptables -A FORWARD -i eth2 -p udp -m multiport --dport 53 -j ACCEPT

#=========================================================================================

echo " LIBERANDO SERVIÇOS E SITES EXTRAS ---------------------- OK"

iptables -A FORWARD -i eth2 -p udp -m multiport --dport 1214,32656 -j ACCEPT #### KAZAA
iptables -A FORWARD -i eth2 -p tcp -m multiport --dport 1214,32656 -j ACCEPT #### KAZAA
iptables -A FORWARD -s 0/0 -p tcp -m multiport --sport 1214,32656 -j ACCEPT #### KAZAA
iptables -A FORWARD -s 0/0 -p udp -m multiport --sport 1214,32656 -j ACCEPT #### KAZAA

#=========================================================================================

echo " LIBERAÇÃO DOS SOCKETES -------------------------------- OK"

#### COM A LIBERACAO DAS PORTAS UDP-137,138,139,445 NAO EH NECESSARIO COLOCAR A CHAIN ABAIXO
#### SO EM CASO DE ERRO 

#iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT  #### DESCOMENTEM ESTA LINHA CASO SEJA NECESSARIO

#=========================================================================================

echo " COMPARTILHAMENTO DA INTERNET, MASCARAMENTO ------------ OK"

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#=========================================================================================

echo " PERMITINDO PROXY TRANSPARENTE ------------------------- OK"

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

#=========================================================================================

echo " PERMITINDO REDIRECIONAMENTO DE PACOTES ---------------- OK"

echo 1 >/proc/sys/net/ipv4/ip_forward

echo
echo
echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo "@@@        TERMINO DA CONFIGURAÇÃO         @@@"
echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo
echo
  


Comentários
[1] Comentário enviado por cah666 em 15/04/2006 - 17:51h

muito bom ^^

[2] Comentário enviado por daminelli em 18/04/2006 - 19:39h

gostaria de fazer uma perguntra para vc...

as linhas de mascaramento e de proxy transparentes, devem ser sempre as ultimas linhas do firewall?
favor responder tambem para o e-mail dad@unesc.net

Obrigado.

Diniz


[3] Comentário enviado por daminelli em 18/04/2006 - 19:54h

outra pergunta....

a sequencia: primeiro mascaramento e depois a configuração do uso do proxy, tem que ser esta? pois li o seguinte:

"Forçar as estações passarem pelo proxy, precisa colocar uma regra no firewall pra redirecionar todo o trafego da porta 80 para a porta 3128, o local de inserir a regra também é muito importante, tem que ser antes da regra que faz nat para evitar que as estações continue navegando sem passar pelo proxy... "

fonte:
http://72.14.203.104/search?q=cache:lBeKD0pwR5QJ:www.zago.eti.br/squid/dicas-e-truques.html+multipor...


acho que a sua regra está ao contrario.. é isto mesmo?

Obrigado

Diniz

[4] Comentário enviado por lipecys em 26/09/2007 - 15:36h

Muito bom.

Valew.


Contribuir com comentário

  



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Bluefin - A nova geração de ambientes de trabalho Linux

Como atualizar sua versão estável do Debian

Cirurgia para acelerar o openSUSE em HD externo via USB

Void Server como Domain Control

Modo Simples de Baixar e Usar o bash-completion

Dicas

Pós-instalação do elementary OS 8.1

Quer auto-organizar janelas (tiling) no seu Linux? Veja como no Plasma 6 e no Gnome

Copiando caminho atual do terminal direto para o clipboard do teclado

Script de montagem de chroot automatica

Atualizar Linux Mint 22.2 para 22.3 beta

Tópicos

archlinux resolução abaixou após atualização (18)

Conky não mostra temperaturas da CPU no notebook (7)

Ide faz pc desligar. (4)

Estou com um problema no meu desktop do ubuntu (2)

Não estou conseguindo fazer funcionar meu Postfix na versão 2.4 no Deb... (0)

Top 10 do mês

Scripts

[Shell Script] Script para Teste de Rede

[Shell Script] Script que sincroniza a mensagem de cópia de pendrive com o processo real

[Python] Cadastro de Distros

[Shell Script] Pós Instalação Fedora 43+

[Shell Script] Task Manager para Terminal

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: