Iptables bloqueando saida de emails

diogospace
(usa Debian)

Enviado em 21/03/2016 - 16:01h

Galera boa tarde!

Tenho um FW iptables que está operando normal, só que direto os e-mails dos clientes outlook não saem, aí sou obrigado a zerar as regras "iptables -F" para os e-mails sairem, quando volto as regras eles continuam saindo normal e com o tempo voltam a parar de sair, ja fiz o teste na rede e ela está OK, alias funciona em modo gigabit.
Segue abaixo as regras que tenho para as portas 587 e 110.




não sei se falta alguma regra, pois acredito serem todas as necessarias

souzacarlos
(usa Outra)

Enviado em 22/03/2016 - 14:23h

Boa tarde.

Não sei se ai estão todas as suas regras, caso não poste as restantes! Outra coisa uma dica é: deixa tudo default para ACCEPT no teu iptables e verifica se o problema continua acontecendo! Caso o problema pare de acontecer ai sim vc começar a fechar as portas! ( Seria uma boa medida para verificar os erros )

Aguardo

diogospace
(usa Debian)

Enviado em 22/03/2016 - 14:28h

Olá amigo boa tarde.
Sim, desculpe se esqueci de mencionar, mas quando deixo o IPT aberto os emails saem, quando subo novamente continuam saindo, porém voltam a parar.

Essas são todas as regras relacionadas as portas SMTP e POP

souzacarlos
(usa Outra)

Enviado em 22/03/2016 - 15:30h

Desculpe mais sem avaliar o restante do código não tenho como dar um parecer, existem outras coisas que estão influenciando tanto que quando vc desabilita o firewall tudo funciona, logo o problema não está restrito as suas políticas de correio!

Abs

diogospace
(usa Debian)

Enviado em 22/03/2016 - 15:43h

Entendi, desculpe minha falta de conhecimento, segue abaixo o script

#!/bin/

# Acionado por /etc/init.d/firewall start

# Criado por Diogo Pereira - 18/06/2015



##### Conceitos ######

#

#PREROUTING. É o redirecionamento de portas permite fazer o repasse de conexões.

#Podemos redirecionar portas para um ip, repassar conexões com destino a uma porta para outra porta, e várias opções que podem ser exploradas

#

#INPUT consultado para dados que chegam à máquina

#

#FORWARD é consultado para dados que são redirecionados para outra interface de rede ou outra máquina

#

#OUTPUT é consultado para dados que saem da máquina.

#

######################



### Interfaces de rede

EXT=eth0

INT=eth1



#### Bloqueio de Acesso externo ao Apache Web #####

iptables -A INPUT -p tcp -d IP-EXTERNO --dport 80 -j DROP

iptables -A INPUT -p tcp -s IP-EXTERNO --dport 80 -j DROP





#Liberação do Whatsapp para os Celulares



iptables -A INPUT -p tcp --dport xmpp-client -j ACCEPT

iptables -A FORWARD -p tcp --dport xmpp-client -j ACCEPT

iptables -A OUTPUT -p tcp --dport xmpp-client -j ACCEPT

#iptables -A FORWARD -p udp --dport 3478 -j ACCEPT

#iptables -A FORWARD -p udp --dport 3497 -j ACCEPT

#iptables -A FORWARD -p udp --dport 16384 -j ACCEPT

#iptables -A FORWARD -p udp --dport 16387 -j ACCEPT

#iptables -A FORWARD -p udp --dport 16293 -j ACCEPT

#iptables -A FORWARD -p udp --dport 16402 -j ACCEPT

iptables -A FORWARD -p tcp --dport 5222 -j ACCEPT

iptables -A FORWARD -p tcp --dport 5223 -j ACCEPT

iptables -A FORWARD -p tcp --dport 4244 -j ACCEPT

iptables -A FORWARD -p tcp --dport 5228 -j ACCEPT

iptables -A FORWARD -p tcp --dport 5242 -j ACCEPT



# Liberação do IP whatsapp.



for w in $(cat /etc/firewall/whatsapp.txt)

do



iptables -A FORWARD -p tcp -d $w --dport 443 -j ACCEPT



done



# bloqueio SSL aos pcs da lista sem acesso e fora do range IP fixo.



for b in $(cat /etc/firewall/block.txt)

do

iptables -A OUTPUT -p tcp -d $b --dport 443 -j DROP

iptables -A OUTPUT -p tcp -d $b --sport 443 -j DROP

iptables -A FORWARD -p tcp -d $b --dport 443 -j DROP

iptables -A FORWARD -p tcp -d $b --sport 443 -j DROP



done



iptables -A FORWARD -p tcp --dport 443 -m iprange --src-range 192.168.11.100-192.168.11.200 -j DROP

iptables -A FORWARD -p tcp --sport 443 -m iprange --src-range 192.168.11.100-192.168.11.200 -j DROP





### INICIO FIREWALL GLOBAL####



### Regras INPUT



### informa os estados que devem ser checados (Conexão estabelecida ou Relacionada). Caso o estado da conexão seja uma dessas 2, então ele vai aceitar.

#iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT 



iptables -A INPUT -i lo -j ACCEPT 				  	# Libera o INPUT para a interface loopback, ou seja, a própria máquina

iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT 	# Permite icmp 0 (resposta de Echo)

iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT 	# Permite icmp 8 (Pedido de Echo) 

iptables -A INPUT -i tun0 -j ACCEPT



iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT #DNS

iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT #http

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 110 -j ACCEPT #pop

iptables -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 587 -j ACCEPT #smtp

iptables -A INPUT -p tcp -m tcp --dport 587 -j ACCEPT 

iptables -A INPUT -p tcp -s 192.168.11.0/24 --dport 587 -j ACCEPT # SMTP

iptables -A INPUT -p tcp -s 192.168.11.0/24 --dport 110 -j ACCEPT # SMTP

iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT #ssl

iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 62696 -j ACCEPT #ssh

iptables -A INPUT -p tcp -m tcp --dport 62696 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 21 -j ACCEPT #ftp

iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 5900 -j ACCEPT #VNC

iptables -A INPUT -p tcp -m tcp --dport 5900 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 8245 -j ACCEPT #NO-IP

iptables -A INPUT -p tcp -m tcp --dport 8245 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 10050 -j ACCEPT #Zabbix

iptables -A INPUT -p tcp -m tcp --dport 10050 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 8081 -j ACCEPT #sunproxyadmin

iptables -A INPUT -p tcp -m tcp --dport 8081 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 8082 -j ACCEPT #us-cli - Utilistor 

iptables -A INPUT -p tcp -m tcp --dport 8082 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 21000 -j ACCEPT #irtrans - IRTrans Control

iptables -A INPUT -p tcp -m tcp --dport 21000 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 8080 -j ACCEPT #http-alt - HTTP Alternate 

iptables -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 2082 -j ACCEPT #infowave - Infowave Mobility Server

iptables -A INPUT -p tcp -m tcp --dport 2082 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 1194 -j ACCEPT #openvpn - OpenVPN

iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT 

iptables -A INPUT -p udp -m udp --sport 1194 -j ACCEPT #openvpn - OpenVPN

iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --sport 137 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 137 -j ACCEPT 

iptables -A INPUT -p udp -m udp --sport 137 -j ACCEPT

iptables -A INPUT -p udp -m udp --dport 137 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --sport 809 -j ACCEPT #SPTRANS

iptables -A INPUT -p tcp -m tcp --dport 809 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --dport 7531 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 37 -j ACCEPT #Relógio (time)

iptables -A INPUT -p tcp -m multiport -s 0/0 -d 192.168.11.254 --dport 3050,3051 -j ACCEPT #Firebird

iptables -A INPUT -p tcp -m multiport -s 0/0 -d 192.168.11.254 --dport 3000,3001 -j ACCEPT #ntop

iptables -A INPUT -p tcp -m multiport -s 0/0 -d 192.168.11.48 --dport 1433,1434 -j ACCEPT #SQL



iptables -A INPUT -i $INT -p udp -m udp --sport 137 -j ACCEPT #netbios-ns - NETBIOS Name Service

iptables -A INPUT -i $INT -p udp -m udp --dport 137 -j ACCEPT 

iptables -A INPUT -i $INT -p tcp -m tcp --sport 139 -j ACCEPT #netbios-ns - NETBIOS Name Service

iptables -A INPUT -i $INT -p tcp -m tcp --dport 139 -j ACCEPT 

iptables -A INPUT -i $INT -p udp -m udp --sport 139 -j ACCEPT 

iptables -A INPUT -i $INT -p udp -m udp --dport 139 -j ACCEPT 

iptables -A INPUT -i $INT -p tcp -m tcp --sport 22000 -j ACCEPT #snapenetio - SNAPenetIO - #alterado para eth1 "verificar se houver erros"

iptables -A INPUT -i $INT -p tcp -m tcp --sport 138 -j ACCEPT #netbios-dgm - NETBIOS Datagram Service

iptables -A INPUT -i $INT -p tcp -m tcp --dport 138 -j ACCEPT 

iptables -A INPUT -i $INT -p udp -m udp --sport 138 -j ACCEPT 

iptables -A INPUT -i $INT -p udp -m udp --dport 138 -j ACCEPT 

iptables -A INPUT -i $INT -p tcp -m tcp --sport 135 -j ACCEPT #epmap - DCE endpoint resolution

iptables -A INPUT -i $INT -p tcp -m tcp --dport 135 -j ACCEPT 

iptables -A INPUT -i $INT -p udp -m udp --sport 135 -j ACCEPT 

iptables -A INPUT -i $INT -p udp -m udp --dport 135 -j ACCEPT 

iptables -A INPUT -i $INT -p tcp -m tcp --sport 445 -j ACCEPT #microsoft-ds - Microsoft-DS

iptables -A INPUT -i $INT -p tcp -m tcp --dport 445 -j ACCEPT 

iptables -A INPUT -i $INT -p udp -m udp --sport 445 -j ACCEPT 

iptables -A INPUT -i $INT -p udp -m udp --dport 445 -j ACCEPT 

iptables -A INPUT -i $INT -p tcp -m tcp --dport 3128 -j ACCEPT #Redirecionaento squid

iptables -A INPUT -i $INT -p tcp -m tcp --dport 80 -j ACCEPT #http

iptables -A INPUT -i $INT -p tcp -m tcp --sport 80 -j ACCEPT #http

iptables -A INPUT -i $INT -p tcp -m tcp --sport 81 -j ACCEPT 

iptables -A INPUT -i $INT -p tcp -m tcp --dport 81 -j ACCEPT

iptables -A INPUT -i $INT -p icmp -j ACCEPT



iptables -A INPUT -i lo -p udp -m udp --sport 137 -j ACCEPT #netbios-ns - NETBIOS Name Service

iptables -A INPUT -i lo -p udp -m udp --dport 137 -j ACCEPT 

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -p udp -j ACCEPT 

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -p tcp -j ACCEPT 



#iptables -t filter -A INPUT -m limit --limit 4/min -j LOG --log-prefix "INP_DROP -- DENY Policy " --log-level 6 



iptables -A INPUT -j DROP



### Regras OUTPUT



iptables -A OUTPUT -p tcp -m multiport -s 0/0 -d 192.168.11.254 --sport 3000,3001 -j ACCEPT #Firebird

iptables -A OUTPUT -p tcp -m multiport -s 0/0 -d 192.168.11.254 --sport 3050,3051 -j ACCEPT #ntop

iptables -A OUTPUT -p tcp -m multiport -s 0/0 -d 192.168.11.48 --sport 1433,1434 -j ACCEPT  #SQL

iptables -I OUTPUT -p tcp -m string --algo bm --string "teamviewer" -m multiport --dport 80,443,5389 -j ACCEPT



### Regras FORWARD



# Contra Ping da Morte

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP





iptables -A FORWARD -p udp --sport 53 -j ACCEPT 	#dns

iptables -A FORWARD -p udp --dport 53 -j ACCEPT

iptables -A FORWARD -s 192.168.11.0/24 -p tcp --dport 110 -j ACCEPT # POP3

iptables -A FORWARD -s 192.168.11.0/24 -p tcp --dport 587 -j ACCEPT # SMTP

iptables -A FORWARD -p tcp --sport 587 -j ACCEPT 	#smtp

iptables -A FORWARD -p tcp --dport 587 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 110 -j ACCEPT 	#pop

iptables -A FORWARD -p tcp --dport 110 -j ACCEPT

iptables -A FORWARD -p tcp --dport 993 -j ACCEPT	#Imap

iptables -A FORWARD -p tcp --sport 993 -j ACCEPT

iptables -A FORWARD -p tcp --dport 995 -j ACCEPT	#ssl imap

iptables -A FORWARD -p tcp --sport 993 -j ACCEPT

iptables -A FORWARD -p tcp --sport 443 -j ACCEPT 	#ssl

iptables -A FORWARD -p tcp --dport 443 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 123 -j ACCEPT 	#NTP

iptables -A FORWARD -p tcp --dport 123 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 8080 -j ACCEPT 	#http

iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 802 -j ACCEPT  	#Swith 24 portas

iptables -A FORWARD -p tcp --dport 802 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 809 -j ACCEPT  	#sptrans

iptables -A FORWARD -p tcp --dport 809 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 3000 -j ACCEPT 	#Firebird

iptables -A FORWARD -p tcp --dport 3000 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 3001 -j ACCEPT 	#Firebird

iptables -A FORWARD -p tcp --dport 3001 -j ACCEPT

iptables -A FORWARD -p tcp --sport 3002 -j ACCEPT 

iptables -A FORWARD -p tcp --dport 3002 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 2082 -j ACCEPT 	#infowave - Infowave Mobility Server

iptables -A FORWARD -p tcp --dport 2082 -j ACCEPT

iptables -A FORWARD -p tcp --sport 1234 -j ACCEPT 

iptables -A FORWARD -p tcp --dport 1234 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 5900 -j ACCEPT #vnc-server - VNC Server

iptables -A FORWARD -p tcp --dport 5900 -j ACCEPT 

iptables -A FORWARD -p udp --sport 123 -j ACCEPT 

iptables -A FORWARD -p udp --dport 123 -j ACCEPT 



iptables -I FORWARD -p tcp -m string --algo bm --string "teamviewer" -m multiport --dport 80,443,5389 -j ACCEPT



### Portas DVR Intelbras ###

iptables -A FORWARD -p tcp --dport 37777 -j ACCEPT

iptables -A FORWARD -p tcp --sport 37777 -j ACCEPT

iptables -A FORWARD -p tcp --dport 7070 -j ACCEPT

iptables -A FORWARD -p tcp --sport 7070 -j ACCEPT



### Portas SOFTPHONE ###

iptables -A FORWARD -p udp --dport 5060 -j ACCEPT

iptables -A FORWARD -p udp --sport 5060 -j ACCEPT

iptables -A FORWARD -p udp --dport 5090 -j ACCEPT

iptables -A FORWARD -p udp --sport 5090 -j ACCEPT

iptables -A FORWARD -p udp --dport 5000 -j ACCEPT

iptables -A FORWARD -p udp --sport 5000 -j ACCEPT

iptables -A FORWARD -p udp --dport 4515 -j ACCEPT

iptables -A FORWARD -p udp --sport 4515 -j ACCEPT

iptables -A FORWARD -p udp --dport 4516 -j ACCEPT

iptables -A FORWARD -p udp --sport 4516 -j ACCEPT

iptables -A FORWARD -p udp -m multiport --dport 9000:9049 -j ACCEPT

iptables -A FORWARD -p udp -m multiport --dport 5480:5489 -j ACCEPT

iptables -A FORWARD -p udp -m multiport --dport 7000:7499 -j ACCEPT

iptables -A FORWARD -p udp -m multiport --dport 23000:23999 -j ACCEPT

iptables -A FORWARD -p udp -m multiport --dport 40000:40999 -j ACCEPT



### Portas CPS MOBILE ###

iptables -A FORWARD -p tcp -m tcp --dport 2021 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --sport 2021 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --dport 2022 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --sport 2022 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --dport 8080 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --sport 8080 -j ACCEPT



### Portas SUPORTE GRV X ###

iptables -A FORWARD -p tcp -m multiport --dport 2101:2240 -j ACCEPT

iptables -A FORWARD -p tcp -m multiport --sport 2101:2240 -j ACCEPT





## Bloqueio Redes Sociais

#  Apenas para a lista da linha abaixo será permitido o acesso!

for t in `cat /Administrativo/Internet/access.dat` ; do

#  Bloqueia o acesso a todos exceto os da lista (!)

iptables -I FORWARD -i $INT -m string --algo bm --string "facebook" -j DROP ! -s $t

iptables -I FORWARD -i $INT -m string --algo bm --string "twitter" -j DROP ! -s $t

iptables -I FORWARD -i $INT -m string --algo bm --string "youtube" -j DROP ! -s $t

#iptables -I FORWARD -i $INT -m string --algo bm --string "whatsapp" -j DROP ! -s $t

#iptables -I FORWARD -i $INT -m string --algo bm --string "outlook" -j DROP ! -s $t

#iptables -I FORWARD -i $INT -m string --algo bm --string "google" -j DROP ! -s $t



done



#iptables -t filter -A FORWARD -m limit --limit 4/min -j LOG --log-prefix "FWD_DROP -- DENY Policy " --log-level 6

iptables -A FORWARD -j DROP



### Regras PREROUTING

iptables -t nat -A PREROUTING -i $INT -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

iptables -t nat -A POSTROUTING -s 192.168.11.0/255.255.255.0 -o $EXT -j MASQUERADE



### Encaminhamento portas DVR ###

iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 7070 -j DNAT --to-destination 192.168.11.33:7070

iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 37777 -j DNAT --to-destination 192.168.11.33:37777



### Encaminhamento portas CPS MOVEL ###

iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 8080 -j DNAT --to-destination 192.168.11.87:8080

iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 2021 -j DNAT --to-destination 192.168.11.87:2021

iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 2022 -j DNAT --to-destination 192.168.11.87:2021



### Encaminhamento portas ATA ###

iptables -t nat -A PREROUTING -i $INT -p udp --dport 5060 -j DNAT --to-destination 192.168.11.48:5060

iptables -t nat -A PREROUTING -i $INT -p udp --dport 5090 -j DNAT --to-destination 192.168.11.48:5090

iptables -t nat -A PREROUTING -i $INT -p udp --dport 4515 -j DNAT --to-destination 192.168.11.48:4515

iptables -t nat -A PREROUTING -i $INT -p udp --dport 4516 -j DNAT --to-destination 192.168.11.48:4516

iptables -t nat -A PREROUTING -i $INT -p udp --dport 5000 -j DNAT --to-destination 192.168.11.48:5000

iptables -t nat -A PREROUTING -i $INT -p udp --dport 5090 -j DNAT --to-destination 192.168.11.48:5090

iptables -t nat -A PREROUTING -i $INT -p udp -m multiport --dport 9000:9049 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $INT -p udp -m multiport --dport 5480:5489 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $INT -p udp -m multiport --dport 7000:7499 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $INT -p udp -m multiport --dport 23000:23999 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $INT -p udp -m multiport --dport 40000:40999 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $EXT -p udp --dport 5060 -j DNAT --to-destination 192.168.11.48:5060

iptables -t nat -A PREROUTING -i $EXT -p udp --dport 5090 -j DNAT --to-destination 192.168.11.48:5090

iptables -t nat -A PREROUTING -i $EXT -p udp --dport 4515 -j DNAT --to-destination 192.168.11.48:4515

iptables -t nat -A PREROUTING -i $EXT -p udp --dport 4516 -j DNAT --to-destination 192.168.11.48:4516

iptables -t nat -A PREROUTING -i $EXT -p udp --dport 5000 -j DNAT --to-destination 192.168.11.48:5000

iptables -t nat -A PREROUTING -i $EXT -p udp --dport 5090 -j DNAT --to-destination 192.168.11.48:5090

iptables -t nat -A PREROUTING -i $EXT -p udp -m multiport --dport 9000:9049 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $EXT -p udp -m multiport --dport 5480:5489 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $EXT -p udp -m multiport --dport 7000:7499 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $EXT -p udp -m multiport --dport 23000:23999 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $EXT -p udp -m multiport --dport 40000:40999 -j DNAT --to-dest 192.168.11.48



 

souzacarlos
(usa Outra)

Enviado em 22/03/2016 - 16:19h

Boa tarde.

Só um exemplo de como teu código tá confuso e com excesso de linhas

## Bloqueio Redes Sociais
# Apenas para a lista da linha abaixo será permitido o acesso!
for t in `cat /Administrativo/Internet/access.dat` ; do
# Bloqueia o acesso a todos exceto os da lista (!)
iptables -I FORWARD -i $INT -m string --algo bm --string "facebook" -j DROP ! -s $t
iptables -I FORWARD -i $INT -m string --algo bm --string "twitter" -j DROP ! -s $t
iptables -I FORWARD -i $INT -m string --algo bm --string "youtube" -j DROP ! -s $t
#iptables -I FORWARD -i $INT -m string --algo bm --string "whatsapp" -j DROP ! -s $t
#iptables -I FORWARD -i $INT -m string --algo bm --string "outlook" -j DROP ! -s $t
#iptables -I FORWARD -i $INT -m string --algo bm --string "google" -j DROP ! -s $t

done

#iptables -t filter -A FORWARD -m limit --limit 4/min -j LOG --log-prefix "FWD_DROP -- DENY Policy " --log-level 6
iptables -A FORWARD -j DROP ( Os DROP acima são desnecessários se vc aplicou bloqueio em tudo aqui nesta regra entendeu? )

Logo a desorganização do teu código é latente, minha sugestão é: Primeiro define como será o POLICE DEFAULT do teu código ai sim vc começa a aplicar DROPS ou ACCEPTS no teu script

Fico a disposição para te ajudar nessa reconstrução caso vc julgue necessário

Abs

diogospace
(usa Debian)

Enviado em 22/03/2016 - 16:22h

Obrigado pelo retorno, estou aberto as informações, sobre como reconstruir.

souzacarlos
(usa Outra)

Enviado em 22/03/2016 - 17:48h

Boa tarde.

Fechado, final de expediente, vemos isso amanhã ok?

diogospace
(usa Debian)

Enviado em 23/03/2016 - 09:03h

Ok, sem problemas, obrigado.

souzacarlos
(usa Outra)

Enviado em 24/03/2016 - 11:12h

Bom dia.
Não esqueci de vc não, estou montando uma base aqui para vc conseguir prosseguir com teu firewall ok!

Abs

souzacarlos
(usa Outra)

Enviado em 29/03/2016 - 10:58h

Bom dia

Dá uma olhada nesse pequeno modelo, criei uma coisa simples para que vc possa pegar teu cenário atual e ir adaptando, informa
caso não tenha entendido alguma coisa.

#!/bin/bash
#INTERFACE WAN = ETH0


REDE_LOCAL="MINHA_REDE_LOCAL"
SERVIDOR01=IP_SERVIDOR_LOCAL

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

modprobe iptable_nat
modprobe ip_tables

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

### Regras de INPUT ###
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#### Regras de FORWARD ####
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s $REDE_LOCAL -m state --state NEW -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dport 22,3128 -j ACCEPT # Aqui vc pode colocar todas as suas regras q vc esta colocando uma em cada linha ex: 22,3128,7000

##### REGRAS DE NAT MULTIPORT #####
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2222 -j DNAT --to $SERVIDOR01:22 # SERVIDOR SSH # Ex de regra de NAT

diogospace
(usa Debian)

Enviado em 29/03/2016 - 11:20h

Blz amigo, vlw.
Vou montar aqui e testar