Denuncie   Favoritos   Indicar  

Redirecionamento de Portas

1. Redirecionamento de Portas

Marcos M. Pícolo Júnior
marcospicolojr
(usa Debian)

Enviado em 20/06/2016 - 09:40h

Bom dia pessoal,

Criei um novo servidor de firewall (Ubuntu DISTRIB_RELEASE=16.04) e o redirecionamento de portas não esta funcionando, o que será que estou fazendo de errado?? Possuo uma DMZ do modem para o servidor, e tenho as seguintes regras de firewall:

# Inserindo Variaveis
IF_EXTERNA=ens160
IF_INTERNA=ens192


# Ativa móos
# -------------------------------------------------------
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE


# Ativa roteamento no kernel
# -------------------------------------------------------
echo "1" > /proc/sys/net/ipv4/ip_forward

# Protecao contra IP spoofing
# -------------------------------------------------------
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

# Zera regras
# -------------------------------------------------------
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle

# Exclui cadeias customizadas
iptables -X


# Determina a polica padrao
# -------------------------------------------------------
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#liberando localhost

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT

# Ativando Roteamento iptables Nat
iptables -t nat -A POSTROUTING -o ens160 -j MASQUERADE


# Dropa pacotes TCP indesejáis
# -------------------------------------------------------
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FWL:NEW sem syn: "
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

# Aceita os pacotes que realmente devem entrar
# -------------------------------------------------------
iptables -A INPUT ! -i $IF_EXTERNA -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

# Protecao contra trinoo
# -------------------------------------------------------
iptables -N TRINOO
iptables -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trinoo: "
iptables -A TRINOO -j DROP
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27444 -j TRINOO
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27665 -j TRINOO
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 31335 -j TRINOO
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 34555 -j TRINOO
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 35555 -j TRINOO


# Protecao contra tronjans
# -------------------------------------------------------
iptables -N TROJAN
iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trojan: "
iptables -A TROJAN -j DROP
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 4000 -j TROJAN
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 6000 -j TROJAN
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 6006 -j TROJAN
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 16660 -j TROJAN

# Proteç contra worms
# -------------------------------------------------------
iptables -A FORWARD -p tcp --dport 135 -i $IF_INTERNA -j REJECT

# Proteç contra port scanners
# -------------------------------------------------------
iptables -N SCANNER
iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scan: "
iptables -A SCANNER -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $IF_EXTERNA -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL NONE -i $IF_EXTERNA -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL ALL -i $IF_EXTERNA -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $IF_EXTERNA -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $IF_EXTERNA -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $IF_EXTERNA -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $IF_EXTERNA -j SCANNER


# Loga tentativa de acesso a determinadas portas
# -------------------------------------------------------
iptables -A INPUT -p tcp --dport 21 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: ftp: "
iptables -A INPUT -p tcp --dport 23 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: telnet: "
iptables -A INPUT -p tcp --dport 25 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: smtp: "
iptables -A INPUT -p tcp --dport 80 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: http: "
iptables -A INPUT -p tcp --dport 110 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: pop3: "
iptables -A INPUT -p udp --dport 111 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: rpc: "
iptables -A INPUT -p tcp --dport 113 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: identd: "
iptables -A INPUT -p tcp --dport 137:139 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: samba: "
iptables -A INPUT -p udp --dport 137:139 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: samba: "
iptables -A INPUT -p tcp --dport 161:162 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: snmp: "
iptables -A INPUT -p tcp --dport 6667:6668 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: irc: "

# Redirecionamento de Portas
# -------------------------------------------------------
iptables -t nat -A PREROUTING -i $IF_EXTERNA -p tcp --dport 3392 -j DNAT --to 192.168.1.5:3389


0 0
  • Quote

    •   


    2. Re: Redirecionamento de Portas

    Carlos Alberto de Souza Barbosa
    souzacarlos
    (usa Outra)

    Enviado em 20/06/2016 - 11:22h

    Bom dia.

    Recomendo vc remover primeiro reorganizar suas regras. Tente primeiro com o básico, vi que vc definiu a politica default como ACCEPT mas também definiu regras abaixo liberando coisas logo ficaram replicadas sem necessidades.

    Recomendo refazer teu script com o básico primeiro. Segue script simples para compartilhar a conexão:
    https://www.vivaolinux.com.br/script/Limpar-regras-e-compartilhar-conexao/

    Em cima disto vc faz a adaptação para teu cenário, ai então vc cria sua regra para redirect e me diz se vai funcionar ou não!

    Aguardo.


    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Criando um servidor SFTP

    DOOM clássico (quase) vanilla e um pouco melhorado

    Flatpak: usar ou não usar?

    Mamãe, quero descompactar e também compactar arquivos no terminal!

    Deixando o Gnome bonitão em qualquer distribuição

    Dicas

    Desligando ou reiniciando o KDE rapidinho

    Alias para atualizar apt e flatpak

    Instalando Micosoft Edge no Fedora 40

    junest - Mini Arch Linux dentro de sua Distro

    Rescuezilla - o Clonezilla com interface gráfica e ferramentas

    Tópicos

    PLaca de som queimada (6)

    Fedora travando (36)

    Não tenho cursor no notebook (3)

    librix (21)

    Impedir que seja trocado o nome da conta pelo usuário no "Configu... (7)

    Top 10 do mês

    Scripts

    [Outros] Teste de hardware e outros

    [Shell Script] Script para habilitar um pendrive a dar boot no VirtualBox

    [Shell Script] Script para verificar o Status da bateria

    [Python] Peer-to-peer nós para processamento em multipontos

    [Shell Script] Instalador de Lutris com winehq-staging para rodar Origin em Debian Bullseye (Kernel 5.10.0-23) - 64

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: