O firewall esta parado mas as estações continua conectando [RESOLVIDO]

1. O firewall esta parado mas as estações continua conectando [RESOLVIDO]

Andre chagas ramos
andre_ramos

(usa openSUSE)

Enviado em 04/11/2009 - 07:54h

Bom Dia!
Estou com um problema no firewall, eu paro o serviço mas as estaçoes continua conectando, alguem pode me ajudar com este problema.



  


2. Re: O firewall esta parado mas as estações continua conectando [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 04/11/2009 - 09:32h

Seu script deve tá bichado. No seu script contém os seguintes comandos?

iptables -F
iptables -t nat -F
iptables -t mangle -F


3. O script segue abaixo

Andre chagas ramos
andre_ramos

(usa openSUSE)

Enviado em 04/11/2009 - 10:09h

#!/bin/bash

# Autor: Andre Chagas Ramos
# Data Criacao: 25/09/2009
# Data Modificacao: 20/10/2009

iniciar () {

# Compatilhamento da conexao
IPTABLES=/usr/sbin/iptables
echo 1 > /proc/sys/net/ipv4/ip_forward

# Carregamento de Modulos
modprobe ip_nat_ftp
modprobe iptable_nat
modprobe ip_tables
modprobe ip_conntrack
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp

# Limpando as regras
$IPTABLES -F
$IPTABLES -Z
$IPTABLES -t nat -F

# Mascaramento da rede para acesso externo
$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE

echo "Ativando compatilhamento!"

# Politicas de acesso geral
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

# Aceita todo o trafego vindo do loopback e indo pro loopback
$IPTABLES -t filter -A INPUT -i lo -j ACCEPT

########################################################
################ Protecoes contra ataques ##############
########################################################

# Protecao contra o ping da morte
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 20/m -j ACCEPT
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 20/m -j ACCEPT

# Protecao contra port scanners avancados ex: nmap
#$IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit 20/m -j ACCEPT

# Bloqueando tracertroute
$IPTABLES -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j REJECT

# Protecao contra ataques
$IPTABLES -A INPUT -m state --state INVALID -j REJECT

##########################################################

# Redirecionando o trafego para a porta 3128
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128

# Manter conexoes ja estabelecidas para nao parar
$IPTABLES -A INPUT -i! eth1 -j ACCEPT
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT

# Regras para liberar o outlook
$IPTABLES -A FORWARD -p udp -s 10.1.1.0/8 -d 200.175.182.139 --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s 200.175.182.139 --sport 53 -d 10.1.1.0/8 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s 10.1.1.0/8 -d 200.175.5.139 --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s 200.175.5.139 --sport 53 -d 10.1.1.0/8 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s 10.1.1.0/8 --dport 25 -j ACCEPT # SMTP
$IPTABLES -A FORWARD -p tcp -s 10.1.1.0/8 --dport 110 -j ACCEPT # POP3
$IPTABLES -A FORWARD -p tcp -s 10.1.1.0/8 --sport 25 -j ACCEPT # SMTP
$IPTABLES -A FORWARD -p tcp -s 10.1.1.0/8 --sport 110 -j ACCEPT # POP3

# Regras para liberar o FTP
$IPTABLES -A INPUT -p tcp -s 10.1.1.0/8 --dport 20 -j ACCEPT # FTP
$IPTABLES -A INPUT -p tcp -s 10.1.1.0/8 --dport 21 -j ACCEPT # FTP
$IPTABLES -A INPUT -p tcp -s 10.1.1.0/8 --sport 20 -j ACCEPT # FTP
$IPTABLES -A INPUT -p tcp -s 10.1.1.0/8 --sport 21 -j ACCEPT # FTP

# INPUT # Pacotes que entram na rede
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
$IPTABLES -A INPUT -p tcp --dport 3128 -j ACCEPT # SQUID
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT # HTTP
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS
#$IPTABLES -A INPUT -p tcp --dport 500 -j ACCEPT # HTTP OPOPULAR

# OUTPUT # Pacotes que sai da rede
$IPTABLES -A OUTPUT -p tcp --dport 22 -j ACCEPT # SSH
$IPTABLES -A OUTPUT -p tcp --dport 80 -j ACCEPT # HTTP
$IPTABLES -A OUTPUT -p tcp --dport 443 -j ACCEPT # HTTPS

# FORWARD # Pacotes que circulam na rede
$IPTABLES -A FORWARD -p tcp --dport 22 -j ACCEPT # SSH
$IPTABLES -A FORWARD -p tcp --dport 8333 -j ACCEPT # HTTP
$IPTABLES -A FORWARD -p tcp --dport 443 -j ACCEPT # HTTPS
$IPTABLES -A FORWARD -s 10.1.1.0/8 -j ACCEPT

$IPTABLES -t nat -A POSTROUTING -j MASQUERADE
#--------------------------------------------------------------------------------------

echo "Firewall Ativado"
}

parar(){

echo "Regras de firewall e compartilhamento desativados"
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar;;
*)echo "Use os paramentros start ou stop"
esac



4. Re: O firewall esta parado mas as estações continua conectando [RESOLVIDO]

Jefferson Diego
Diede

(usa Debian)

Enviado em 04/11/2009 - 10:25h

Certo, mas, cadê os comandos na função parar? A única coisa que ela faz atualmente é exibir "Regras de firewall e compartilhamento desativados"...
Tente algo como:



#!/bin/bash

# Autor: Andre Chagas Ramos
# Data Criacao: 25/09/2009
# Data Modificacao: 04/11/2009

iniciar () {

# Compatilhamento da conexao
IPTABLES=/usr/sbin/iptables
echo 1 > /proc/sys/net/ipv4/ip_forward

# Carregamento de Modulos
modprobe ip_nat_ftp
modprobe iptable_nat
modprobe ip_tables
modprobe ip_conntrack
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp

# Limpando as regras
$IPTABLES -F
$IPTABLES -Z
$IPTABLES -t nat -F

# Mascaramento da rede para acesso externo
$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE

echo "Ativando compatilhamento!"

# Politicas de acesso geral
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

# Aceita todo o trafego vindo do loopback e indo pro loopback
$IPTABLES -t filter -A INPUT -i lo -j ACCEPT

########################################################
################ Protecoes contra ataques ##############
########################################################

# Protecao contra o ping da morte
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 20/m -j ACCEPT
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 20/m -j ACCEPT

# Protecao contra port scanners avancados ex: nmap
#$IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit 20/m -j ACCEPT

# Bloqueando tracertroute
$IPTABLES -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j REJECT

# Protecao contra ataques
$IPTABLES -A INPUT -m state --state INVALID -j REJECT

##########################################################

# Redirecionando o trafego para a porta 3128
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128

# Manter conexoes ja estabelecidas para nao parar
$IPTABLES -A INPUT -i! eth1 -j ACCEPT
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#PS: Se você vai jogar RELATED,ESTABLISHED e NEW em ACCEPT, pra quê por a política padrão em DROP???
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT

# Regras para liberar o outlook
$IPTABLES -A FORWARD -p udp -s 10.1.1.0/8 -d 200.175.182.139 --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s 200.175.182.139 --sport 53 -d 10.1.1.0/8 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s 10.1.1.0/8 -d 200.175.5.139 --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p udp -s 200.175.5.139 --sport 53 -d 10.1.1.0/8 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s 10.1.1.0/8 --dport 25 -j ACCEPT # SMTP
$IPTABLES -A FORWARD -p tcp -s 10.1.1.0/8 --dport 110 -j ACCEPT # POP3
$IPTABLES -A FORWARD -p tcp -s 10.1.1.0/8 --sport 25 -j ACCEPT # SMTP
$IPTABLES -A FORWARD -p tcp -s 10.1.1.0/8 --sport 110 -j ACCEPT # POP3

#PS: Por que jogar regras no OUTPUT, se a política dele já é ACCEPT???
# Regras para liberar o FTP
$IPTABLES -A INPUT -p tcp -s 10.1.1.0/8 --dport 20 -j ACCEPT # FTP
$IPTABLES -A INPUT -p tcp -s 10.1.1.0/8 --dport 21 -j ACCEPT # FTP
$IPTABLES -A INPUT -p tcp -s 10.1.1.0/8 --sport 20 -j ACCEPT # FTP
$IPTABLES -A INPUT -p tcp -s 10.1.1.0/8 --sport 21 -j ACCEPT # FTP

# INPUT # Pacotes que entram na rede
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
$IPTABLES -A INPUT -p tcp --dport 3128 -j ACCEPT # SQUID
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT # HTTP
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS
#$IPTABLES -A INPUT -p tcp --dport 500 -j ACCEPT # HTTP OPOPULAR

# OUTPUT # Pacotes que sai da rede
$IPTABLES -A OUTPUT -p tcp --dport 22 -j ACCEPT # SSH
$IPTABLES -A OUTPUT -p tcp --dport 80 -j ACCEPT # HTTP
$IPTABLES -A OUTPUT -p tcp --dport 443 -j ACCEPT # HTTPS

# FORWARD # Pacotes que circulam na rede
$IPTABLES -A FORWARD -p tcp --dport 22 -j ACCEPT # SSH
$IPTABLES -A FORWARD -p tcp --dport 8333 -j ACCEPT # HTTP
$IPTABLES -A FORWARD -p tcp --dport 443 -j ACCEPT # HTTPS
$IPTABLES -A FORWARD -s 10.1.1.0/8 -j ACCEPT

$IPTABLES -t nat -A POSTROUTING -j MASQUERADE
#--------------------------------------------------------------------------------------

echo "Firewall Ativado"
}

parar(){

echo "Regras de firewall e compartilhamento desativados"
#Adicionadas as regras do amigo renato_pacheco:
iptables -F
iptables -t nat -F
iptables -t mangle -F
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar;;
*)echo "Use os paramentros start ou stop"
esac


5. Re: O firewall esta parado mas as estações continua conectando [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 04/11/2009 - 11:18h

Era isso q eu ia falar, Diede! Valew!






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts