Firewall

Iptables (Firewall)

Alcx

Firewall muito bom para servidores

Categoria: Segurança

Software: Iptables

[ Hits: 31.029 ]

Por: Cassio

0 0
Denuncie   Favoritos   Indicar  

Este Firewall atualmente esta vigorando na minha empresa. Ate hoje nao tive problemas com ele. Coloquei a liberação do Kazaa para dar exemplo caso seja necessario barrar ou liberar alguma outra porta que seja solicitada.

Abraços


echo
echo
echo
echo
echo
echo "#########################################################"
echo "#########################################################"
echo "########   LAN = ETH2      -     WAN = ETH0   ###########"
echo "#########################################################"
echo "#########################################################"
echo "################    ALCX CONSULTING   ###################"
echo "#########################################################"
echo "#########################################################"

#=========================================================================================

echo
echo
echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo "@@@        CONFIGURACAO DO FIREWALL @@@@@@@@@@"
echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo
echo

#=========================================================================================

echo " LIMPANDO AS REGRAS DO IPTABLES ------------------------ OK"
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

#=========================================================================================

echo " DEFININDO POLITICA DE REGRAS DO IPTABLES -------------- OK"

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#=========================================================================================

echo " LIBERANDO ACESSO AO SERVIDOR -------------------------- OK"

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 0/0 -p udp -m multiport --sport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp -m multiport --sport 22,25,80,110,443 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp -m multiport --dport 22,25,80,110,443 -j ACCEPT

#=========================================================================================

echo " BARRANDO SERVIÇOS E SITES EXTRAS ---------------------- OK"

iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d gateway.messenger.hotmail.com -j DROP
iptables -A FORWARD -d messenger.hotmail.com -j DROP
iptables -A FORWARD -d loginnet.passport.com -j DROP
iptables -A FORWARD -d login.passport.net -j DROP
iptables -A FORWARD -d login.icq.com -j DROP

#=========================================================================================

echo " LIBERANDO ACESSO A REDE LOCAL ------------------------- OK"

iptables -A INPUT -i eth2 -p tcp -m multiport --dport 80,22,25,110,137,138,139,443,445,3128 -j ACCEPT
iptables -A INPUT -i eth2 -p tcp -m multiport --sport 80,22,25,110,137,138,139,443,445,3128 -j ACCEPT
iptables -A INPUT -i eth2 -p udp -m multiport --dport 137,138,139,445,3128 -j ACCEPT
iptables -A INPUT -i eth2 -p udp -m multiport --sport 137,138,139,445,3128 -j ACCEPT

iptables -A FORWARD -i eth2 -p tcp -m multiport --dport 80,22,25,110,443 -j ACCEPT  ### QUESTIONAVEL ###
iptables -A FORWARD -s 0/0 -p tcp -m multiport --sport 80,22,25,110,443 -j ACCEPT
iptables -A FORWARD -s 0/0 -p udp -m multiport --sport 53 -j ACCEPT
iptables -A FORWARD -i eth2 -p udp -m multiport --dport 53 -j ACCEPT

#=========================================================================================

echo " LIBERANDO SERVIÇOS E SITES EXTRAS ---------------------- OK"

iptables -A FORWARD -i eth2 -p udp -m multiport --dport 1214,32656 -j ACCEPT #### KAZAA
iptables -A FORWARD -i eth2 -p tcp -m multiport --dport 1214,32656 -j ACCEPT #### KAZAA
iptables -A FORWARD -s 0/0 -p tcp -m multiport --sport 1214,32656 -j ACCEPT #### KAZAA
iptables -A FORWARD -s 0/0 -p udp -m multiport --sport 1214,32656 -j ACCEPT #### KAZAA

#=========================================================================================

echo " LIBERAÇÃO DOS SOCKETES -------------------------------- OK"

#### COM A LIBERACAO DAS PORTAS UDP-137,138,139,445 NAO EH NECESSARIO COLOCAR A CHAIN ABAIXO
#### SO EM CASO DE ERRO 

#iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT  #### DESCOMENTEM ESTA LINHA CASO SEJA NECESSARIO

#=========================================================================================

echo " COMPARTILHAMENTO DA INTERNET, MASCARAMENTO ------------ OK"

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#=========================================================================================

echo " PERMITINDO PROXY TRANSPARENTE ------------------------- OK"

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

#=========================================================================================

echo " PERMITINDO REDIRECIONAMENTO DE PACOTES ---------------- OK"

echo 1 >/proc/sys/net/ipv4/ip_forward

echo
echo
echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo "@@@        TERMINO DA CONFIGURAÇÃO         @@@"
echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo
echo
  


Comentários
[1] Comentário enviado por cah666 em 15/04/2006 - 17:51h

muito bom ^^

[2] Comentário enviado por daminelli em 18/04/2006 - 19:39h

gostaria de fazer uma perguntra para vc...

as linhas de mascaramento e de proxy transparentes, devem ser sempre as ultimas linhas do firewall?
favor responder tambem para o e-mail dad@unesc.net

Obrigado.

Diniz


[3] Comentário enviado por daminelli em 18/04/2006 - 19:54h

outra pergunta....

a sequencia: primeiro mascaramento e depois a configuração do uso do proxy, tem que ser esta? pois li o seguinte:

"Forçar as estações passarem pelo proxy, precisa colocar uma regra no firewall pra redirecionar todo o trafego da porta 80 para a porta 3128, o local de inserir a regra também é muito importante, tem que ser antes da regra que faz nat para evitar que as estações continue navegando sem passar pelo proxy... "

fonte:
http://72.14.203.104/search?q=cache:lBeKD0pwR5QJ:www.zago.eti.br/squid/dicas-e-truques.html+multipor...


acho que a sua regra está ao contrario.. é isto mesmo?

Obrigado

Diniz

[4] Comentário enviado por lipecys em 26/09/2007 - 15:36h

Muito bom.

Valew.


Contribuir com comentário

  



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Atualizando o Passado: Linux no Lenovo G460 em 2025

aaPanel - Um Painel de Hospedagem Gratuito e Poderoso

O macete do Warsaw no Linux Mint e cia

Aprenda a Gerenciar Permissões de Arquivos no Linux

Fundo pontilhado CSS

Dicas

Visualizar arquivos em formato markdown (ex.: README.md) pelo terminal

Dando - teoricamente - um gás no Gnome-Shell do Arch Linux

Como instalar o Google Cloud CLI no Ubuntu/Debian

Mantenha seu Sistema Leve e Rápido com a Limpeza do APT!

Procurando vídeos de YouTube pelo terminal e assistindo via mpv (2025)

Tópicos

Olha que maravilha, Arch no C2D 7400, 2GB de RAM, vídeo onboard e no G... (1)

Mikrotik não abre o webmail-segur... da Locaweb (0)

Jogos baixados na Central de Aplicativos mas que não abrem (1)

Ei, você aí, Tech Lover! (0)

debian com wayland, configuracao de teclado. Mudou Tudo! [RESOLVIDO] (1)

Top 10 do mês

Scripts

[Shell Script] Criar Script para apagar determinados arquivos

[Shell Script] inSANE - Script para usar Scanner

[Shell Script] Instalador do emulador de joystick Xbox para joystick generico para PC, PS2, PS3 (Debian e Derivados

[Shell Script] Instalador de Hotspot Linux Debian (SysV)

[Shell Script] Script para verificar o Status da bateria

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: