Firewall Iptables

25. Re: Firewall Iptables

Vitor Lucas
vlcunes

(usa Debian)

Enviado em 08/08/2013 - 08:31h

Abaixo estou enviando o script que eu estou criando. Caso tenha algo desnecessário ou errado por qualquer outro motivo, por favor, me avisem.

#!/bin/sh -e
##Firewall Criado
# Inicio (31/07)

## INTERFACES
ifacenet="eth1"
ifacelocal="eth2"

## LIMPAR REGRAS
iptables -F
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

## COMPARTILHAMENTO DA INTERNET
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

## POLITICAS PADRAO
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT


####### TABELA FILTER #######
## INPUT
iptables -A INPUT -j LOG
#Liberando interfaces loopback
iptables -A INPUT -i lo -j ACCEPT
#Liberar conexoes estabelecidas e relatadas
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 10.102.1.30 -p tcp --dport 22 -j ACCEPT

## FORWARD



  


26. Re: Firewall Iptables

Buckminster
Buckminster

(usa Debian)

Enviado em 08/08/2013 - 08:35h

ifacenet="eth1"
ifacelocal="eth2"

Essas duas linhas acima estão desnecessárias, você não está usando essas variáveis. Pode comentá-las ou apaga-las.


27. Re: Firewall Iptables

Vitor Lucas
vlcunes

(usa Debian)

Enviado em 08/08/2013 - 08:59h

Realmente. Mas eu poderia ser mas especificos na regra conforme abaixo?


iptables -A INPUT -s 10.102.1.30 -i eth2 -p tcp --dport 22 -j ACCEPT
ou
iptables -A INPUT -s 10.102.1.30 -i $ifacelocal -p tcp --dport 22 -j ACCEPT


28. Re: Firewall Iptables

Buckminster
Buckminster

(usa Debian)

Enviado em 08/08/2013 - 09:06h

vlcunes escreveu:

Realmente. Mas eu poderia ser mas especificos na regra conforme abaixo?


iptables -A INPUT -s 10.102.1.30 -i eth2 -p tcp --dport 22 -j ACCEPT
ou
iptables -A INPUT -s 10.102.1.30 -i $ifacelocal -p tcp --dport 22 -j ACCEPT


Poderia, mas o uso de variáveis só faz sentido em scripts bastantes grandes e complexos.


29. Re: Firewall Iptables

Fernando
phoemur

(usa Debian)

Enviado em 08/08/2013 - 09:14h

Uma coisa que eu achei importante é que quando você inicia serviços no rc.local você não tem como pará-los depois a não ser usando kill.
Não dá pra dar um service firewall stop (systemd) por exemplo...
É claro que no caso do firewall é só dar um flush nas regras que está resolvido, mas outros serviços não daria...


30. Re: Firewall Iptables

Vitor Lucas
vlcunes

(usa Debian)

Enviado em 08/08/2013 - 10:09h

Boa observação.


31. Re: Firewall Iptables

Pedro
px

(usa Debian)

Enviado em 08/08/2013 - 10:18h

Ai gente me da uma ajuda neste topico aq, estou com problema no iptables também, é bem básico o problema apesar de ser grande o topico, quem puder:
http://www.vivaolinux.com.br/topico/netfilter-iptables/Ajuda-com-regra-iptables-modulo-conntrack






---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!


32. Re: Firewall Iptables

Vitor Lucas
vlcunes

(usa Debian)

Enviado em 08/08/2013 - 11:07h

Pessoal,

Não sei se isso é normal ou preciso fazer alguma coisa. Configurei as placas de rede da seguinte forma:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto eth1
iface eth1 inet static
address 10.102.1.225
network 10.102.1.0
netmask 255.255.255.0
gateway 10.102.1.253

auto eth2
iface eth2 inet static
address 192.168.50.1
network 192.168.50.0
netmask 255.255.255.0
gateway 192.168.50.1

Mas, eu alguns momentos eu perco a comunicação com a internet e quando vou em route para ver as rotas, não aparecem nem 192.168.50.1 e 10.102.1.253. Quero que a rota 10.102.1.253 seja a principal, pois é ela quem está na porta WAN do servidor.



33. Re: Firewall Iptables

André Canhadas
andrecanhadas

(usa Debian)

Enviado em 08/08/2013 - 11:13h

vlcunes escreveu:

Pessoal,

Não sei se isso é normal ou preciso fazer alguma coisa. Configurei as placas de rede da seguinte forma:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto eth1
iface eth1 inet static
address 10.102.1.225
network 10.102.1.0
netmask 255.255.255.0
gateway 10.102.1.253

auto eth2
iface eth2 inet static
address 192.168.50.1
network 192.168.50.0
netmask 255.255.255.0
gateway 192.168.50.1

Mas, eu alguns momentos eu perco a comunicação com a internet e quando vou em route para ver as rotas, não aparecem nem 192.168.50.1 e 10.102.1.253. Quero que a rota 10.102.1.253 seja a principal, pois é ela quem está na porta WAN do servidor.

Remova o gateway da placa que não recebe internet só é possivel 1 gateway por vez



34. Re: Firewall Iptables

Vitor Lucas
vlcunes

(usa Debian)

Enviado em 08/08/2013 - 11:19h

Funcionou!!

Muito obrigado "andrecanhadas"


35. Re: Firewall Iptables

Buckminster
Buckminster

(usa Debian)

Enviado em 08/08/2013 - 14:33h

phoemur escreveu:

Uma coisa que eu achei importante é que quando você inicia serviços no rc.local você não tem como pará-los depois a não ser usando kill.
Não dá pra dar um service firewall stop (systemd) por exemplo...
É claro que no caso do firewall é só dar um flush nas regras que está resolvido, mas outros serviços não daria...


Eu paro o Iptables com /etc/init.d/firewall.sh stop sendo que no rc.local tem:

/etc/init.d/firewall.sh start
exit 0


36. Re: Firewall Iptables

Vitor Lucas
vlcunes

(usa Debian)

Enviado em 13/08/2013 - 17:37h

O que tem de errado nessa regra que eu não consigo navegar?

!/bin/sh -e
##Firewall Criado por Vitor Lucas
# Inicio (31/07)

## INTERFACES
#ifacenet="eth1"
#ifacelocal="eth2"

## LIMPAR REGRAS
iptables -F
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

## COMPARTILHAMENTO DA INTERNET
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE


## POLITICAS PADRAO
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

####### TABELA FILTER #######
## INPUT
#Liberando interfaces loopback
iptables -A INPUT -i lo -j ACCEPT
#Liberar conexoes estabelecidas e relatadas
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m multiport -p tcp --dport 21,22,23,80,443 -j ACCEPT
iptables -A OUTPUT -m multiport -p tcp --dport 21,22,23,80,443 -j ACCEPT
iptables -A FORWARD -m multiport -p tcp --dport 21,22,23,80,443 -j ACCEPT








Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts