Firewall DROP [RESOLVIDO]

R.S.P Andre
(usa Debian)

Enviado em 07/07/2010 - 09:46h

Fala ai Irado.
Valeu ai pelas dicas.
Continuo estudando aqui e com a ajuda de vocês em breve estarei acertando.
cara desculpe o retorno, é que estava sem net.

Vo continuar estudando aqui e em breve postarei um firewall seguinte todas as orientações e também os artigos sob o assunto que estou lendo nesse momento.
Obrigado novamente pelas dicas, serão de muito valor.

obs. Tá virado zona?? Oba Oba rsrs.


ABS

irado
(usa XUbuntu)

Enviado em 07/07/2010 - 10:08h

quando vc vai fazer gw para internet (sua.rede-->internet) é preciso usar também regras de PREROUTING/POSTROUTING (eis UMA das razões pelas quais ODEIO iptables), além do MASQUERADE. Nos tutoriais aqui do VOL - links que já postei - isso está bastante claro :)

GuilhermeBR
(usa CentOS)

Enviado em 07/07/2010 - 19:22h

Lucas, eu faria algo assim:

#!/bin/bash

echo "1" > /proc/sys/net/ipv4/ip_forward

EXTERNA="eth2"
INTERNA="eth1"

## Carregar modulos
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_MASQUERADE

## Zera regras
$ipt -F

## Regras padrão
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
$ipt -P OUTPUT ACCEPT

## INPUT
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A INPUT -i $INTERNA -j ACCEPT # Rede Interna pro fw
$ipt -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT # Apache

## FORWARD
$ipt -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -p tcp --dport 20 -j ACCEPT # FTP
$ipt -A FORWARD -p tcp --dport 21 -j ACCEPT # FTP
$ipt -A FORWARD -p tcp --dport 25 -j ACCEPT # e-mail
$ipt -A FORWARD -p tcp --dport 80 -j ACCEPT # web
$ipt -A FORWARD -p tcp --dport 110 -j ACCEPT # e-mail
$ipt -A FORWARD -p tcp --dport 443 -j ACCEPT # https
$ipt -A FORWARD -p tcp --dport 465 -j ACCEPT # e-mail
$ipt -A FORWARD -p tcp --dport 587 -j ACCEPT # e-mail
$ipt -A FORWARD -p tcp --dport 995 -j ACCEPT # e-mail
$ipt -A FORWARD -p tcp --dport 1863 -j ACCEPT # MSN

## NAT
$ipt -A POSTROUTING -t nat -o $EXTERNA -j MASQUERADE

GuilhermeBR
(usa CentOS)

Enviado em 07/07/2010 - 19:34h

André, eu faria assim:

## Regras padrão
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

## ATIVANDO MÓDULO e COMPARTILHANDO NET
echo 1 > /proc/sys/net/ipv4/ip_forward

## Carrega modulos
modprobe iptable_nat

## INPUT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state INVALID -j DROP
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 2224 -j ACCEPT #SSH

## FORWARD
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.10.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 465 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 995 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 587 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 110 -j ACCEPT

## NAT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

R.S.P Andre
(usa Debian)

Enviado em 07/07/2010 - 20:50h

Fala ai Irado!
Tudo bom?
Cara eu segui as suas dicas mais estou tenho um imparce.
Eu fwd geral e no INPUT eu só ponho o que eu quero. Certo?
mais com isso a rede esta tenho uma navegação totalmente livre.

Segue meu meio firewal

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.10.0/24 -j MASQUERADE
########################################
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
######################################
######## INPUT #######################
iptables -A INPUT -i lo -j ACCEPT
#iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -p icmp -m icmp --icmp-type echo-request -m limit --limit 5/sec --limit-burst 5 -j ACCEPT
################## rede interna
##########BLOQUEIO POR MAC
#iptables -A INPUT -i eth1 -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
######### PORTAS ##################################
iptables -A INPUT -p tcp -i eth1 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth1 --dport 53 -j ACCEPT
####################################################
##### FORWARD #############
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
~

obrigado por usa atenção ai cara.


ABS

GuilhermeBR
(usa CentOS)

Enviado em 08/07/2010 - 12:37h

André,

Vc está confundindo as coisas. O firewall, é somente para bloqueio de portas de comunicação.

Sua rede está tendo uma navegação livre, pq vc não está usando o Squid. O Squid que faz os bloqueios de sites.