IPTables --> Sou novato e preciso que validem meu script. [RESOLVIDO]

rjorodrigues
(usa Ubuntu)

Enviado em 14/09/2010 - 16:33h

Olá Pessoal, boa tarde!

Sou novato com IPTables, na verdade eu sempre o conheci mas nunca tive o contato técnico, pois onde trabalho sempre foi o ISA que fazia o papel de segurança na borda e cache para internet.

Pois bem, nosso setor teve o privilégio de termos nosso próprio link (2 MB Full) dedicado com um servidor, e de pronto me ofereci para montar uma solução Ubuntu+IPTables+Squid+Etc. (10.04LTS).

Hoje em dia a internet nos quebra um galhão, pois a quantidade de tutoriais, apostilas, trocas de experiências enfim, quase que montei um servidor na base do copiar/colar (calma! sei que isto não garante minha segurança).

Baixei um script com algumas regras de IPTables (por favor coloquei neste link para vocês verem http://pastebin.com/i9zR7mju), mas tenho algumas dúvidas e preciso de ajuda.


Eschema de rede : ETH0 ---> REDE LAN / ETH1 ---> LINK DEDICADO COM UM IP FIXO (GVT)
Ideia do servidor : DNS PRIMARIO (bind9 devidamente configurado e com reverso) + FIREWALL + SQUID SERV + EMAIL SERVER ETC...

Duvidas:
----> As regras de DNS satisfazem para a minha rede lan?
----> Eu tenho que abrir a porta do DNS para toda a internet?
----> Meu fornecedor de link pediu uma regra no firewall que abra a porta 53 e 5353 para o servidor secundario, ou seja um regra onde o primario e secundario troquem informacoes exclusivas para dns, isto é possivel?
----> Não queremos ter uma regra de proxy transparente, então este script atende?
----> Como eu criaria uma regra para "entrada ---> redirecionar", ou seja, preciso por exemplo habilitar o redirecionamento da porta RDS ou outra qualquer?
----> Existe algum aplicativo que me mostra de forma amigavel como anda os acessos via o IPTables?

Desde já agradeço muito a atenção de vocês,

at.

Rubens J Rodrigues

removido
(usa Nenhuma)

Enviado em 14/09/2010 - 17:42h

Se já tiver instalado o Bind9, não é necessário as regras para liberar o serviço de nome de dominio (DNS) que o servidor dns (bind) toma conta de tudo, pode remover essas 6 regras enormes ai, só deixa como está a regra do servidor dns.

Se você não vai usar proxy transparente, então pode remover a regra que redireciona pacotes de destino a porta 80 para 3128

Desculpe mas não entendi a penúltima pergunta.

rjorodrigues
(usa Ubuntu)

Enviado em 14/09/2010 - 19:46h

cesarasilva, obrigado pela resposta, vamos lá.

A penultima pergunta : como seria uma regra para redirecionamento de porta da eth1 para uma maquina na minha rede lan - usando uma vpn e ou não usando.

Quanto ao DNS, a primeira regra é o suficiente para troca de informações entre o meu primario e o secundário do meu fornecedor de link e ainda por cima uma pesquisa por exemplo da registro.br? eu corro o risco de ser atacado nesta porta com ela aberta?

removido
(usa Nenhuma)

Enviado em 14/09/2010 - 22:27h

IPT -t nat -A PREROUTING -i $INET -p tcp --dport <Porta> -j DNAT --to <IP_da_Maquina>

Sim, é suficiente. Não, enquanto nenhum hacker encontre um novo bug no servidor bind, não tem nenhum perigo. :-D rsrsrsrs