Ajuda com firewall iptables

reynatojr
(usa Ubuntu)

Enviado em 05/04/2010 - 08:31h

Pessoal,
bom dia.

Apos pesquisar bastante percebi que minhas regras nao estavam dando segurança nenhuma para minha rede, e para piorar toda vez que reinicio o servidor tenho que digitar todas as regras novamente na mão.

Mais uma vez recorro aos amigos do VOL para me ajudar a montar meu script de forma que possua uma melhor segurança.

Segue a minha configuração:

Sistema operacional - Ubuntu Desktop 8.1
Squid - Versão 2.7.STABLE 3
Iptables - Versão 1.4.0

Configuração de rede:

eth0 = IP_INTERNO (rede 10.0.0.0)
eth1 = IP_EXTERNO (wan com ipfixo)
eth2 = IP_INTERNO (rede 192.168.0.0)

Script de firewall:

Na verdade não possuo Script e todas as regras abaixo eu tenho que redigitar em caso de reinicialização do servidor:

sudo modprobe iptable_nat
sudo modprobe ip_nat_ftp
sudo echo 1 > /proc/sys/net/ipv4/ip_forward
sudo iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
sudo iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

#para uma rede nao enxergar a outra

iptables -A FORWARD -s 192.168.0.0/24 -d 10.0.0.0/24 -j DROP

#bloquear msn

iptables -A FORWARD -s 192.168.0.0 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.0.0 -d loginnet.passport.com -j REJECT
iptables -A FORWARD -s 10.0.0.0 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 10.0.0.0 -d loginnet.passport.com -j REJECT

É isso pessoal, acho que o primeiro passo seria saber como criar um script, e aonde coloca-lo (em que pasta), para que evite o retrabalho.

Desde já agradeço a atenção e conto com a colaboração de todos do VOL.

reynatojr
(usa Ubuntu)

Enviado em 05/04/2010 - 11:49h

*UP*

volcom
(usa Debian)

Enviado em 05/04/2010 - 12:20h

Coloque no início para bloquear TUDO e depois vai desbloqueando conforme a necessidade (essa é a forma mais segura ao meu ver):

# Limpa Regras nas tabelas Filters e NAT
iptables -F
iptables -F -t nat

# Bloqueia Todas as Entradas e Saidas
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

Pegue todas as suas regras e crie o arquivo em /etc/init.d/firewall.sh

Coloque todo o conteúdo após a seguinte linha no arquivo, deve ficar algo assim:

#/bin/bash

# Limpa Regras nas tabelas Filters e NAT
iptables -F
iptables -F -t nat

# Bloqueia Todas as Entradas e Saidas
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

modprobe iptable_nat
modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
sudo iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

#para uma rede nao enxergar a outra

iptables -A FORWARD -s 192.168.0.0/24 -d 10.0.0.0/24 -j DROP

#bloquear msn

iptables -A FORWARD -s 192.168.0.0 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.0.0 -d loginnet.passport.com -j REJECT
iptables -A FORWARD -s 10.0.0.0 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 10.0.0.0 -d loginnet.passport.com -j

# Fim do arquivo

Salve o arquivo e altere as permissões para que o arquivo seja um executável:

sudo chmod +x /etc/init.d/firewall.sh

Execute o arquivo e veja se as regras foram aplicadas:

./etc/init.d/firewall.sh

Colocando o arquivo no diretório /etc/init.d/ sempre será executado na inicialização do sistema (isso em Debian e derivadas).

Vamos ver se isso resolve, qualquer dúvida poste aqui.

Abraço

reynatojr
(usa Ubuntu)

Enviado em 05/04/2010 - 14:43h

Volcom,
estive analisando o script que voce postou no seguinte tópico:

http://www.vivaolinux.com.br/topico/Squid-Iptables/Squid-Sarg-e-Iptables

Mas não consegui entender porque em todas ou quase todas as regras você usa a porta 1024, poderia me explicar?

reynatojr
(usa Ubuntu)

Enviado em 05/04/2010 - 19:31h

*UP*