Firewall - IPTables (rc.firewall)
Firewall com máxima segurança
Categoria: Segurança
Software: Firewall - IPTables
[ Hits: 27.854 ]
Por: Sérgio Abrantes Junior
Esse firewall possui política DROP tanto para entrada (INPUT) quando saída de rede interna (FORWARD).
Essas regras estão em pleno funcionamento em cliente.
O arquivo está comentado e, ao meu ver, é de fácil compreensão.
Qualquer dúvida estou aí.
Sérgio Abrantes
[]'s
#!/bin/bash
#
# /etc/rc.d/rc.firewall
#
# Start/stop/restart Firewall
#
# To make Firewall start automatically at boot, make this
# file executable: chmod 755 /etc/rc.d/rc.firewall
#
#Autor: Sérgio Abrasntes Junior sergioabrantes@gmail.com
#Data de criação 15/09/05
#Data de modificação 15/12/07
# Variáveris #
LanExt=200.193.xx.xx
LanInt=192.168.4.1
Rede=192.168.4.0/24
# Modulos #
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ipt_REDIRECT
/sbin/modprobe ipt_owner
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
####################
### Função START ###
####################
firewall_start() {
echo "Iniciando o Firewall"
# Limpa as regras #
iptables -X
iptables -Z
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t nat
iptables -F -t mangle
# Politicas padrao #
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
# Manter conexoes jah estabelecidas para nao parar
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Aceita todo o trafego vindo do loopback e indo pro loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
#######################
### LOG DO FIREWALL ###
#######################
#iptables -A INPUT -d $LanExt -p tcp --dport 22 -j LOG --log-level 6 --log-prefix "FIREWALL: SSH EXT 22"
#iptables -A INPUT -d $LanExt -p tcp --dport 21 -j LOG --log-level 6 --log-prefix "FIREWALL: FTP EXT 21"
#iptables -A INPUT -d $LanInt -p tcp --dport 22 -j LOG --log-level 6 --log-prefix "FIREWALL: SSH INT 22"
#iptables -A INPUT -d $LanInt -p tcp --dport 21 -j LOG --log-level 6 --log-prefix "FIREWALL: FTP INT 21"
###############################
# Proteções #
###############################
# Protege contra os "Ping of Death"
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 20/m -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 20/m -j ACCEPT
# Protege contra port scanners avançados (Ex.: nmap)
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 20/m -j ACCEPT
# Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j REJECT
# Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j REJECT
###############################
# TABELA Input #
###############################
### Destino Externo ###
# Liberando Porta 22 (SSH)
#iptables -A INPUT -d $LanExt -p tcp --dport 22 -j LOG --log-level 6 --log-prefix "FIREWALL: SSH EXT 2222"
iptables -A INPUT -d $LanExt -p tcp --dport 22 -j ACCEPT
# Liberando Porta 21 (ftp)
#iptables -A INPUT -d $LanExt -p tcp --dport 21 -j LOG --log-level 6 --log-prefix "FIREWALL: FTP EXT 21"
iptables -A INPUT -d $LanExt -p tcp --dport 21 -j ACCEPT
### Destino Interno ###
# Liberando Porta 22 (SSH)
#iptables -A INPUT -d $LanInt -p tcp --dport 22 -j LOG --log-level 6 --log-prefix "FIREWALL: SSH INT 22"
iptables -A INPUT -d $LanInt -p tcp --dport 22 -j ACCEPT
# Liberando porta 3128 (Squid)
iptables -A INPUT -d $LanInt -p tcp --dport 3128 -j ACCEPT
# Liberando Porta 80 (http)
#iptables -A INPUT -d $LanInt -p tcp --dport 80 -j LOG --log-level 6 --log-prefix "FIREWALL: HTTP INT 80"
iptables -A INPUT -d $LanInt -p tcp --dport 80 -j ACCEPT
# Liberando Porta 21 (ftp)
#iptables -A INPUT -d $LanInt -p tcp --dport 21 -j LOG --log-level 6 --log-prefix "FIREWALL: FTP INT 21"
iptables -A INPUT -d $LanInt -p tcp --dport 21 -j ACCEPT
# Liberando porta 3000 (NTOP)
iptables -A INPUT -d $LanInt -p tcp --dport 3000 -j ACCEPT
###############################
# TABELA Forward #
###############################
# Libera computador das regras do firewall
iptables -A FORWARD -s 192.168.4.13 -p tcp -j ACCEPT
iptables -A FORWARD -s 192.168.4.13 -p udp -j ACCEPT
### MSN ###
# Libera msn para o IP #
# nome
iptables -A FORWARD -s 192.168.4.11 -p tcp --dport 1863 -j ACCEPT
# Bloqueio de MSN #
#iptables -A FORWARD -s 192.168.4.0 -p tcp --dport 1863 -j DROP
#iptables -A FORWARD -s 192.168.4.0 -d loginnet.passport.com -j DROP
#iptables -A FORWARD -s 198.164.4.0/24 -p tcp --dport 1863 -j DROP
#iptables -A FORWARD -s 198.164.4.0/24 -d loginnet.passport.com -j DROP
#iptables -A FORWARD -s 198.164.4.0/24 -d messenger.hotmail.com -j DROP
#iptables -A FORWARD -s 198.164.4.0/24 -d webmessenger.msn.com -j DROP
#iptables -A FORWARD -p tcp --dport 1080 -j DROP
#iptables -A FORWARD -s 198.164.4.0/24 -p tcp --dport 1080 -j DROP
#iptables -A FORWARD -p tcp --dport 1863 -j DROP
#iptables -A FORWARD -d 64.4.13.0/24 -j DROP
# Liberando Porta 2222 (SSH)
iptables -A FORWARD -s $Rede -p tcp --dport 2222 -j ACCEPT
# Liberando Porta 22 (SSH)
iptables -A FORWARD -s $Rede -p tcp --dport 22 -j ACCEPT
# Liberando Porta 110 (pop-3)
iptables -A FORWARD -s $Rede -p tcp --dport 110 -j ACCEPT
# Liberando Porta 995 (spop-3)
iptables -A FORWARD -s $Rede -p tcp --dport 995 -j ACCEPT
# Liberando Porta 25 (smtp)
iptables -A FORWARD -s $Rede -p tcp --dport 25 -j ACCEPT
# Liberando Porta 465 (smtp-s)
iptables -A FORWARD -s $Rede -p tcp --dport 465 -j ACCEPT
# Liberando Porta 2121 (ftp)
iptables -A FORWARD -s $Rede -p tcp --dport 2121 -j ACCEPT
# Liberando Porta 21 (ftp)
iptables -A FORWARD -s $Rede -p udp --dport 21 -j ACCEPT
iptables -A FORWARD -s $Rede -p udp --dport 20 -j ACCEPT
# Liberando porta 53 (DNS)
iptables -A FORWARD -s $Rede -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s $Rede -p udp --dport 53 -j ACCEPT
# Regras forward para o funcionamento de redirecionamento de portas (NAT)
# Redirecionando porta 5900 (VNC)
#iptables -A FORWARD -p tcp --dport 5900 -j ACCEPT
#ptables -A FORWARD -p tcp --dport 5800 -j ACCEPT
###############################
######### TABELA NAT ## #######
###############################
# Redireconamento de portas
# VNC Para algum micro (192.168.1.31 = nome da pessoa)
#iptables -t nat -A PREROUTING -d $LanExt -p tcp --dport 5900 -j DNAT --to 192.168.0.77:5900
# Mascaramento de rede para acesso externo #
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#Bloqueia todo o resto
#iptables -A INPUT -p tcp -j LOG --log-level 6 --log-prefix "FIREWALL: GERAL "
iptables -A INPUT -p tcp --syn -j DROP
iptables -A INPUT -p tcp -j DROP
iptables -A INPUT -p udp -j DROP
}
##################
### Função STOP ##
##################
firewall_stop() {
echo "Parando firewall e funcionando apenas com mascaramento"
# Limpa as regras #
iptables -X
iptables -Z
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t nat
iptables -F -t mangle
# Politicas padrao #
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
# Manter conexoes jah estabelecidas para nao parar
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Aceita todo o trafego vindo do loopback e indo pro loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
###############################
# TABELA Forward #
###############################
### MSN ###
# Libera msn para o IP #
# nome
#iptables -A FORWARD -s 192.168.0.34 -p tcp --dport 1863 -j ACCEPT
# nome
#iptables -A FORWARD -s 192.168.0.5 -p tcp --dport 1863 -j ACCEPT
# Bloqueio de MSN #
#iptables -A FORWARD -s 192.168.1.0 -p tcp --dport 1863 -j DROP
#iptables -A FORWARD -s 192.168.1.0 -d loginnet.passport.com -j DROP
#iptables -A FORWARD -s 198.164.1.0/24 -p tcp --dport 1863 -j DROP
#iptables -A FORWARD -s 198.164.1.0/24 -d loginnet.passport.com -j DROP
#iptables -A FORWARD -s 198.164.1.0/24 -d messenger.hotmail.com -j DROP
#iptables -A FORWARD -s 198.164.1.0/24 -d webmessenger.msn.com -j DROP
#iptables -A FORWARD -p tcp --dport 1080 -j DROP
#iptables -A FORWARD -s 198.164.1.0/24 -p tcp --dport 1080 -j DROP
#iptables -A FORWARD -p tcp --dport 1863 -j DROP
#iptables -A FORWARD -d 64.4.13.0/24 -j DROP
###############################
######### TABELA NAT ## #######
###############################
# Mascaramento de rede para acesso externo #
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo "Regras Limpas e Firewall desabilitado"
}
firewall_restart() {
echo "Reiniciando Firewall"
firewall_stop
sleep 3
firewall_start
echo "Firewall Reiniciado"
}
case "$1" in
'start')
firewall_start
echo "Firewall Iniciado"
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
*)
echo "Opções possíveis:"
echo "rc.firewall start"
echo "rc.firewall stop"
echo "rc.firewall restart"
esac
Comentários
[3] Comentário enviado por pelo em 19/07/2008 - 21:30h
Me adiciona no MSN pra trocar uma idéia.
pelourinhu@hotmail.com
Sérgio Abrantes
[]'s
Me adiciona no MSN pra trocar uma idéia.
pelourinhu@hotmail.com
Sérgio Abrantes
[]'s
[4] Comentário enviado por VonNatur em 31/07/2008 - 18:09h
Excelente o script muito bem comentado,parabéns.
[]'s
Excelente o script muito bem comentado,parabéns.
[]'s
[5] Comentário enviado por moacircostajr em 01/10/2008 - 18:21h
uso apenas internet externa, via cabo e wi-fi (eth0 e ath0). como faço para adaptar seu script às minhas necessidades?
PS.: minhas conexões são efetuadas com ip dinâmico.
uso apenas internet externa, via cabo e wi-fi (eth0 e ath0). como faço para adaptar seu script às minhas necessidades?
PS.: minhas conexões são efetuadas com ip dinâmico.
[6] Comentário enviado por pelo em 01/10/2008 - 19:50h
Meu caro,
Existe apenas duas linhas de configuração onde faz referência a interface de rede que segue abaixo:
# Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j REJECT
# Mascaramento de rede para acesso externo #
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Deve ser alterado o eth0 pela interface correspondente.
Para o restante, basta editar as variáveis no início do script .
# Variáveris #
LanExt=200.193.xx.xx
LanInt=192.168.4.1
Rede=192.168.4.0/24
Qualquer dúvida estou a disposição.
Sérgio Abrantes
[]'s
Meu caro,
Existe apenas duas linhas de configuração onde faz referência a interface de rede que segue abaixo:
# Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j REJECT
# Mascaramento de rede para acesso externo #
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Deve ser alterado o eth0 pela interface correspondente.
Para o restante, basta editar as variáveis no início do script .
# Variáveris #
LanExt=200.193.xx.xx
LanInt=192.168.4.1
Rede=192.168.4.0/24
Qualquer dúvida estou a disposição.
Sérgio Abrantes
[]'s
[7] Comentário enviado por moacircostajr em 03/10/2008 - 10:23h
Chefão, se não for muito incômodo, seria possível me indicar especificamente como faço as modificações no script para uma configuração tão completa como a que você já mostrou, mas considerando apenas que sou usuário doméstico pois me conecto à internet (de um modo geral e sem restrições) em casa e na faculdade, via cabo e wireless, respectivamente com um laptop. Não uso qualquer dispositivo servidor (se envio de dados através de torrents pode ser chamado, de certo modo, de dispositivo servidor, sim, eu faço o uso dele).
Muitíssimo Obrigado!!!!!!!
Chefão, se não for muito incômodo, seria possível me indicar especificamente como faço as modificações no script para uma configuração tão completa como a que você já mostrou, mas considerando apenas que sou usuário doméstico pois me conecto à internet (de um modo geral e sem restrições) em casa e na faculdade, via cabo e wireless, respectivamente com um laptop. Não uso qualquer dispositivo servidor (se envio de dados através de torrents pode ser chamado, de certo modo, de dispositivo servidor, sim, eu faço o uso dele).
Muitíssimo Obrigado!!!!!!!
[9] Comentário enviado por PROBERIO em 08/03/2009 - 22:45h
Olha excelente configuração conforme vc me indicou em outro tópico testarei aqui de acordo com as minhas necessidades e te digo se funcionou!
Olha excelente configuração conforme vc me indicou em outro tópico testarei aqui de acordo com as minhas necessidades e te digo se funcionou!
[10] Comentário enviado por lidue em 25/06/2009 - 17:17h
Cara estou migrando de Ubuntu 9 para Slackware 12.2.
Estou sentindo na pele o peso desse sistema que me impressiona cada fez mais pela robustes.
Digo isso porque meu lab sobe e desse com hardware limitado sem problemas.
Embora conheça pouco, mas tenho me esforçado ja alguns anos pra entender Linux.
E passando por aqui vi seu post vou esperimentar pois pude ver que é bem completo.
Minha ideia é fazer proxy Squid transparent + Iptables e junto vai rodar um Openvpn e alguma ferramentas de monitoração de bamda(NTOP, SARG E MRTG).
O hardware alocado sera Dual-Core, 2GB RAM e HD 80 GB.
Por favor gostaria de sua opnião e dos demais sobre este possivel feito.
Lembrando a todos que sempre trabalhei com Windows e tenho bastante dificuldade com sistema Linux.
E me desculpar por estar saindo da ideia do post.
Volto depois para postar.
Valeu mesmo
Sérgio Liduário
Cara estou migrando de Ubuntu 9 para Slackware 12.2.
Estou sentindo na pele o peso desse sistema que me impressiona cada fez mais pela robustes.
Digo isso porque meu lab sobe e desse com hardware limitado sem problemas.
Embora conheça pouco, mas tenho me esforçado ja alguns anos pra entender Linux.
E passando por aqui vi seu post vou esperimentar pois pude ver que é bem completo.
Minha ideia é fazer proxy Squid transparent + Iptables e junto vai rodar um Openvpn e alguma ferramentas de monitoração de bamda(NTOP, SARG E MRTG).
O hardware alocado sera Dual-Core, 2GB RAM e HD 80 GB.
Por favor gostaria de sua opnião e dos demais sobre este possivel feito.
Lembrando a todos que sempre trabalhei com Windows e tenho bastante dificuldade com sistema Linux.
E me desculpar por estar saindo da ideia do post.
Volto depois para postar.
Valeu mesmo
Sérgio Liduário
[11] Comentário enviado por pelo em 25/06/2009 - 17:28h
Lidue,
Eu tinha um pentium 700Mhz com 256MB de ram dorando tudo o que você citou acima e rodando tranquilo. Nunca tive problema.
Tens recurso de hardware sobrando pra essa finalizade. Para o NTOP e o MRTG, utilize os slackbuilds disponíveis em www.slackbuilds.org porque eles não fazem parte dos pacotes oficiais.
De resto boa sorte : )
Sérgio Abrantes
[]'s
Lidue,
Eu tinha um pentium 700Mhz com 256MB de ram dorando tudo o que você citou acima e rodando tranquilo. Nunca tive problema.
Tens recurso de hardware sobrando pra essa finalizade. Para o NTOP e o MRTG, utilize os slackbuilds disponíveis em www.slackbuilds.org porque eles não fazem parte dos pacotes oficiais.
De resto boa sorte : )
Sérgio Abrantes
[]'s
[12] Comentário enviado por lidue em 29/06/2009 - 16:15h
Caro pelo,
Fiz minhas alterações aqui na regra que vc colocou e não consegui navegar no cliente.
Adicionei para o squid que está funcionando legal.
#iptables -t nat -A PREROUTING -p tcp -s $Rede --dport 80 -j REDIRECT --to-port 8080
#iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
#echo "1" > /proc/sys/net/ipv4/ip_forward #so por garantia
Quando paro o firewall e dou comandos acima o cliente volta a navegar.
Adicionei estes no stop do seu script e tb funcionou no cliente.
Quando dou restart navego somente local.
Liberei tb as portas 80 e 8080 assim:
#iptables -A FORWARD -s $Rede -p tcp --dport 80 -j ACCEPT
#iptables -A FORWARD -s $Rede -p tcp --dport 8080 -j ACCEPT
#iptables -A FORWARD -s $Rede -p udp --dport 8080 -j ACCEPT
Numa tentativa de resolver mas acho que estou fazendo a coisa errada.
Uma ultima coisa o ping no cliente responde somente no servidor fora não.
Preciso liberar mais coisas?
Poderia me dar uma ajuda?
Agradeço desde ja.
Caro pelo,
Fiz minhas alterações aqui na regra que vc colocou e não consegui navegar no cliente.
Adicionei para o squid que está funcionando legal.
#iptables -t nat -A PREROUTING -p tcp -s $Rede --dport 80 -j REDIRECT --to-port 8080
#iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
#echo "1" > /proc/sys/net/ipv4/ip_forward #so por garantia
Quando paro o firewall e dou comandos acima o cliente volta a navegar.
Adicionei estes no stop do seu script e tb funcionou no cliente.
Quando dou restart navego somente local.
Liberei tb as portas 80 e 8080 assim:
#iptables -A FORWARD -s $Rede -p tcp --dport 80 -j ACCEPT
#iptables -A FORWARD -s $Rede -p tcp --dport 8080 -j ACCEPT
#iptables -A FORWARD -s $Rede -p udp --dport 8080 -j ACCEPT
Numa tentativa de resolver mas acho que estou fazendo a coisa errada.
Uma ultima coisa o ping no cliente responde somente no servidor fora não.
Preciso liberar mais coisas?
Poderia me dar uma ajuda?
Agradeço desde ja.
[13] Comentário enviado por pelo em 30/06/2009 - 22:01h
lidue,
Para liberar o ping tente o seguinte comando:
# Para poder pingar para fora
iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
# Para o servidor responder ping
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
Para os usuários não conseguirem navegar com proxy, recomento retirar as regras acima liberando para a rede interna as portas 80 e 8080.
Desculpa a demora, mas estou atucanado no final de semestre da facul.
Sérgio Abrantes
[]'s
lidue,
Para liberar o ping tente o seguinte comando:
# Para poder pingar para fora
iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
# Para o servidor responder ping
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
Para os usuários não conseguirem navegar com proxy, recomento retirar as regras acima liberando para a rede interna as portas 80 e 8080.
Desculpa a demora, mas estou atucanado no final de semestre da facul.
Sérgio Abrantes
[]'s
[14] Comentário enviado por lidue em 02/07/2009 - 16:21h
pelo,
valeu mais uma vez.
Vou refazer umas configurações aqui e retomo os teste na semana que vem.
Depois te conto o resultado.
Obrigado
pelo,
valeu mais uma vez.
Vou refazer umas configurações aqui e retomo os teste na semana que vem.
Depois te conto o resultado.
Obrigado
[15] Comentário enviado por rapablo84 em 21/07/2009 - 14:31h
Pelo estou lendo as conf dando uma estudada para compatilhar minha conexão virta ip fico com as demais maquinas na rede, mais enfim so encontro conf de elaboração além do que vou usar e isso acaba me confundindo, tenho duas placas no debian lenny uma para o virtua ip fixo e outra para rede interna, como compartilho está conexão? pode me ajudar meu msn:ghoghost@gmail.com
Pelo estou lendo as conf dando uma estudada para compatilhar minha conexão virta ip fico com as demais maquinas na rede, mais enfim so encontro conf de elaboração além do que vou usar e isso acaba me confundindo, tenho duas placas no debian lenny uma para o virtua ip fixo e outra para rede interna, como compartilho está conexão? pode me ajudar meu msn:ghoghost@gmail.com
[16] Comentário enviado por pelo em 21/07/2009 - 17:07h
Rapablo84,
Apenas para compartilhar então tente o seguinte:
#!/bin/bash
echo 1 > /proc/sys/net/ipv4/ip_forward
# Limpa as regras #
iptables -X
iptables -Z
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t nat
iptables -F -t mangle
# Politicas padrao #
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
# Manter conexoes jah estabelecidas para nao parar
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Aceita todo o trafego vindo do loopback e indo pro loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
Sérgio Abrantes
[]'s
Rapablo84,
Apenas para compartilhar então tente o seguinte:
#!/bin/bash
echo 1 > /proc/sys/net/ipv4/ip_forward
# Limpa as regras #
iptables -X
iptables -Z
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t nat
iptables -F -t mangle
# Politicas padrao #
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
# Manter conexoes jah estabelecidas para nao parar
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Aceita todo o trafego vindo do loopback e indo pro loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
Sérgio Abrantes
[]'s
[17] Comentário enviado por tulioredes em 27/03/2010 - 10:55h
tenho um problema com servidor centos, posso usar este scrip, a pouco que migrei para o linux , e certas partes ainda nao consigo executar mas tento, rss
tenho um problema com servidor centos, posso usar este scrip, a pouco que migrei para o linux , e certas partes ainda nao consigo executar mas tento, rss
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Como extrair chaves TOTP 2FA a partir de QRCODE (Google Authenticator)
Linux em 2025: Segurança prática para o usuário
Desktop Linux em alta: novos apps, distros e privacidade marcam o sábado
IA chega ao desktop e impulsiona produtividade no mundo Linux
Novos apps de produtividade, avanços em IA e distros em ebulição agitam o universo Linux
Dicas
Como instalar o repositório do DBeaver no Ubuntu
Como instalar o Plex Media Server no Ubuntu
Digitando underscore com "shift" + "barra de espaços"
Como ativar a lixeira e recuperar aquivos deletados em um servidor Linux
Como mudar o nome de dispositivos Bluetooth via linha de comando
Tópicos
dpkg: erro: gatilho de arquivo duplicado chamado pelo arquivo de nome (6)
Instalação não está resolvendo as dependencias (2)
Captação de áudio no zorin linux começa a diminuir com o tempo (5)
Alternativas ao Multilogin para gerenciamento de múltiplas contas/prof... (0)
Top 10 do mês
-
Xerxes
1° lugar - 96.880 pts -
Fábio Berbert de Paula
2° lugar - 75.466 pts -
Alberto Federman Neto.
3° lugar - 23.829 pts -
edps
4° lugar - 21.855 pts -
Mauricio Ferrari
5° lugar - 21.351 pts -
Buckminster
6° lugar - 20.974 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
7° lugar - 20.822 pts -
Andre (pinduvoz)
8° lugar - 18.225 pts -
Daniel Lara Souza
9° lugar - 17.625 pts -
Juliao Junior
10° lugar - 14.887 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
