Denuncie   Favoritos   Indicar  

01 02 03 04

Firewall: Teste no site www.grc.com nao funciona

13. Re: Firewall: Teste no site www.grc.com nao funciona

André Canhadas
andrecanhadas
(usa Debian)

Enviado em 04/11/2013 - 10:01h

saitam escreveu:

@BigField

Verifiquei no artigo que se baseou e notei que a política utilizada nas chains INPUT, OUTPUT e FORWARD estão em ACCEPT, ou seja, utilizando o default do Netfilter/Iptables.

O ideal seria estar em DROP nas chains INPUT, OUTPUT e FORWARD e liberar apenas as portas e protocolos em uso na sua rede local.

De uma lida neste post http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html e ao final tem um exemplo de script firewall na prática aplicando a teoria apresentada.



Exatamente a politica padrão esta tudo accept pelo menos o INPUT deve estar como DROP

0 0
  • Quote

    •   


    14. Re: Firewall: Teste no site www.grc.com nao funciona

    Fabricio
    BigField
    (usa Debian)

    Enviado em 04/11/2013 - 13:49h

    Saitam e André
    Coloquei a entrada input como DROP e simplesmente a internet nao navegou nas maquinas.
    Devo inserir alguma outra linha no script após DROPAR a entrada input, afim de fazer navegar?
    Obrigado...

    0 0
  • Quote

    • 15. Re: Firewall: Teste no site www.grc.com nao funciona

    Reginaldo de Matias
    saitam
    (usa Slackware)

    Enviado em 04/11/2013 - 13:51h

    BigField escreveu:

    Saitam e André
    Coloquei a entrada input como DROP e simplesmente a internet nao navegou nas maquinas.
    Devo inserir alguma outra linha no script após DROPAR a entrada input, afim de fazer navegar?
    Obrigado...



    De uma lida neste post http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html e ao final tem um exemplo de script firewall na prática aplicando a teoria apresentada.

    0 0
  • Quote

    • 16. Re: Firewall: Teste no site www.grc.com nao funciona

    Pedro
    px
    (usa Debian)

    Enviado em 04/11/2013 - 13:57h

    BigField escreveu:

    Saitam e André
    Coloquei a entrada input como DROP e simplesmente a internet nao navegou nas maquinas.
    Devo inserir alguma outra linha no script após DROPAR a entrada input, afim de fazer navegar?
    Obrigado...


    SIM! insira essas duas regras:

    iptables -I INPUT 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
    iptables -I OUTPUT 1 -m conntrack --ctstate ESTABLISHED,RELATED,NEW -j ACCEPT

    0 0
  • Quote

    • 17. Re: Firewall: Teste no site www.grc.com nao funciona

    Fabricio
    BigField
    (usa Debian)

    Enviado em 04/11/2013 - 15:28h

    Px, adicionei estas duas linhas que você mencionou e nao navegou... Precisei voltar para accept afim de ter internet.
    Saitam, eu li o artigo todo e no final eu vi o script de modelo, mas nao sei como e que parte utilizar no meu. No meu caso, nao posso utilizar este script por inteiro, né, visto que no exemplo tem outras utilidades?
    Agradeço novamente pelas ajudas...




    0 0
  • Quote

    • 18. Re: Firewall: Teste no site www.grc.com nao funciona

    Pedro
    px
    (usa Debian)

    Enviado em 04/11/2013 - 16:09h

    BigField escreveu:

    Px, adicionei estas duas linhas que você mencionou e nao navegou... Precisei voltar para accept afim de ter internet.
    Saitam, eu li o artigo todo e no final eu vi o script de modelo, mas nao sei como e que parte utilizar no meu. No meu caso, nao posso utilizar este script por inteiro, né, visto que no exemplo tem outras utilidades?
    Agradeço novamente pelas ajudas...




    Cara poste seu script de iptables (como já havia pedido...) para darmos uma olhada nas suas regras!

    0 0
  • Quote

    • 19. Re: Firewall: Teste no site www.grc.com nao funciona

    Fabricio
    BigField
    (usa Debian)

    Enviado em 04/11/2013 - 18:37h

    #!/bin/bash
    echo Inicializando regras do firewall sleep 0
    IF_WAN=eth0 # INTERFACE DE SAIDA PARA INTERNET
    LAN=192.168.0.0/24 # ENDEREÇO PARA REDE LOCAL LAN

    # LIMPA REGRAS DO FIREWALL
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -F
    iptables -t nat -F
    echo "nameserver 127.0.0.1" > /etc/resolv.conf echo "nameserver 8.8.8.8" >> /etc/resolv.conf
    echo "nameserver 8.8.4.4" >> /etc/resolv.conf

    #ATIVA O SISTEMA DE ROTEAMENTO DE PACOTES
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # ATIVA O MODO DE MASQUERADE
    iptables -t nat -A POSTROUTING -o $IF_WAN -j MASQUERADE # Mascaramento de rede

    # FORÇA A NAVEGACAO PELA PORTA 3128
    iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -s $LAN -j REDIRECT--to 3128 # Forca navegacao na 3128

    #iptables -t nat -A PREROUTING -p tcp -s $LAN --dport 1863 -j DROP

    # BLOQUEANDO SITE COM HTTPS
    #cat /etc/squid/bloqueados/bloq_https | while read SITES; # do
    # iptables -A FORWARD -p tcp -d $SITES -j ACCEPT # done

    0 0
  • Quote

    • 20. Re: Firewall: Teste no site www.grc.com nao funciona

    Fabricio
    BigField
    (usa Debian)

    Enviado em 04/11/2013 - 18:41h

    Faço lembrar que assim navega na net.
    Mas quando mudei a regra ACCEPT para DROP na INPUT a net nao navegou.
    Alguém pode me dar uma luz VERDE? Rsrs...brincadeiras a parte...
    Agradeço a todos.



    0 0
  • Quote

    • 21. Re: Firewall: Teste no site www.grc.com nao funciona

    Pedro
    px
    (usa Debian)

    Enviado em 04/11/2013 - 18:42h

    BigField escreveu:

    #!/bin/bash
    echo Inicializando regras do firewall sleep 0
    IF_WAN=eth0 # INTERFACE DE SAIDA PARA INTERNET
    LAN=192.168.0.0/24 # ENDEREÇO PARA REDE LOCAL LAN

    # LIMPA REGRAS DO FIREWALL
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -F
    iptables -t nat -F
    echo "nameserver 127.0.0.1" > /etc/resolv.conf echo "nameserver 8.8.8.8" >> /etc/resolv.conf
    echo "nameserver 8.8.4.4" >> /etc/resolv.conf

    #ATIVA O SISTEMA DE ROTEAMENTO DE PACOTES
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # ATIVA O MODO DE MASQUERADE
    iptables -t nat -A POSTROUTING -o $IF_WAN -j MASQUERADE # Mascaramento de rede

    # FORÇA A NAVEGACAO PELA PORTA 3128
    iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -s $LAN -j REDIRECT--to 3128 # Forca navegacao na 3128

    #iptables -t nat -A PREROUTING -p tcp -s $LAN --dport 1863 -j DROP

    # BLOQUEANDO SITE COM HTTPS
    #cat /etc/squid/bloqueados/bloq_https | while read SITES; # do
    # iptables -A FORWARD -p tcp -d $SITES -j ACCEPT # done


    Vou dar uma traduzida nisso ai depois repasso pra cá KKK

    0 0
  • Quote

    • 22. Re: Firewall: Teste no site www.grc.com nao funciona

    Pedro
    px
    (usa Debian)

    Enviado em 04/11/2013 - 18:51h

    Tenta assim:

    #!/bin/bash
    

    
IF_WAN=eth0 # INTERFACE DE SAIDA PARA INTERNET 
    
LAN=192.168.0.0/24 # ENDEREÇO PARA REDE LOCAL LAN
    

    
echo "Inicializando regras do firewall"
    

    
# limpando tabelas
    
iptables -F
    
iptables -X
    
iptables -t nat -F
    
iptables -t nat -X
    

    
# Configurando as políticas padrões
    
iptables -P INPUT DROP
    
iptables -P OUTPUT ACCEPT
    
iptables -P FORWARD ACCEPT
    

    
# Liberando conexões estabelecidas
    
iptables -I INPUT 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
    
iptables -I FORWARD 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
    

    
# Name server
    
echo "nameserver 127.0.0.1" > /etc/resolv.conf 
    
echo "nameserver 8.8.8.8" >> /etc/resolv.conf
    
echo "nameserver 8.8.4.4" >> /etc/resolv.conf
    

    
# ATIVA O SISTEMA DE ROTEAMENTO DE PACOTES
    
echo 1 > /proc/sys/net/ipv4/ip_forward
    

    
# Desativando/ativando funções do kernel
    
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
    
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
    
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    

    
# ATIVA O MODO DE MASQUERADE
    
iptables -t nat -A POSTROUTING -o $IF_WAN -j MASQUERADE
    

    
# FORÇA A NAVEGACAO PELA PORTA 3128
    
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -s $LAN -j REDIRECT--to 3128
    

    
#iptables -t nat -A PREROUTING -p tcp -s $LAN --dport 1863 -j DROP
    

    
# BLOQUEANDO SITE COM HTTPS
    
#cat /etc/squid/bloqueados/bloq_https | while read SITES; # do
    
# iptables -A FORWARD -p tcp -d $SITES -j ACCEPT # done


    0 0
  • Quote

    • 23. Re: Firewall: Teste no site www.grc.com nao funciona

    André Canhadas
    andrecanhadas
    (usa Debian)

    Enviado em 04/11/2013 - 18:56h

    Alterei veja se agora funciona
    BigField escreveu:

    
#!/bin/bash
    
echo Inicializando regras do firewall sleep 0
    
IF_WAN=eth0 # INTERFACE DE SAIDA PARA INTERNET 
    
LAN=192.168.0.0/24 # ENDEREÇO PARA REDE LOCAL LAN
    

    
# LIMPA REGRAS DO FIREWALL 
    
iptables -P INPUT DROP
    
iptables -P OUTPUT ACCEPT 
    
iptables -P FORWARD ACCEPT 
    
iptables -F
    
iptables -t nat -F
    
echo "nameserver 8.8.8.8" > /etc/resolv.conf
    
echo "nameserver 8.8.4.4" >> /etc/resolv.conf
    

    
#ATIVA O SISTEMA DE ROTEAMENTO DE PACOTES
    
echo 1 > /proc/sys/net/ipv4/ip_forward
    

    
/sbin/iptables -A INPUT -i eth1 -s $LAN -j ACCEPT
    
/sbin/iptables -A INPUT -i eth1 -m state --state NEW -j ACCEPT
    
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    

    
# ATIVA O MODO DE MASQUERADE
    
iptables -t nat -A POSTROUTING -o $IF_WAN -j MASQUERADE # Mascaramento de rede
    

    
# FORÇA A NAVEGACAO PELA PORTA 3128
    
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -s $LAN -j REDIRECT--to 3128 # Forca navegacao na 3128
    

    
#iptables -t nat -A PREROUTING -p tcp -s $LAN --dport 1863 -j DROP
    

    
# BLOQUEANDO SITE COM HTTPS
    
#cat /etc/squid/bloqueados/bloq_https | while read SITES; # do
    
# iptables -A FORWARD -p tcp -d $SITES -j ACCEPT # done



    Como não sabia qual era a placa da rede local coloquei como eth1 caso seja outra altere

    0 0
  • Quote

    • 24. Re: Firewall: Teste no site www.grc.com nao funciona

    André Canhadas
    andrecanhadas
    (usa Debian)

    Enviado em 04/11/2013 - 19:00h

    Se quiser um firewall basico:
    http://www.andrecanhadas.com.br/?p=351

    0 0
  • Quote


    • 01 02 03 04



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Como iniciar uma máquina virtual do VirtualBox automaticamente no boot do LUbuntu 18 LTS

    Os navegadores "leves" que de leves não tem nada

    Liberte-se: Crie um Servidor Proxy na Nuvem para Acessar Conteúdos Bloqueados

    Dicas

    Fedora Kinoite 40 — Instalação de drivers NVIDIA e Xorg

    Deixando o Opensuse Tumbleweed com KDE bonitão

    Estrutura de recuo PHP/Apache para não acessarem arquivos pela URI (barra de endereços)

    Escanear a rede com NBTSCAN para descobrir IPs e nomes de computadores

    Como instalar ou remover ambientes gráficos facilmente no openSUSE

    Tópicos

    Inicio de uso do Mint 32bits (2)

    Internet caindo no Big Linux (6)

    servidor SSH (2)

    Problemas com acesso a Pasta Comparilhada em Rede (0)

    Linux não reconheçe a resolução original do monitor (3)

    Top 10 do mês

    Scripts

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    [Shell Script] Telegram direto do site

    [Shell Script] Pós-instalação do openSUSE Tumbleweed

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: