Iptables Regras

1. Iptables Regras

emerson2703
(usa CentOS)

Enviado em 25/08/2011 - 08:49h

Bom dia

Eu utilizo o iptables na minha empresa a 2 anos na matriz e filias, mas sempre editei minha regras diretamente no arquivo iptables, salvando o arquivo e restartando o serviço sempre funcionou e funciona ate hoje, não utilizando script para colocação das regras, minha duvida é qual a diferença que eu puderá ter, ou qual aspecto posso esta pecando em relação ao script.

e tambem se puder da uma dica sobre estas regras, as demais que não coloquei so foi a liberação de portas mas o principal esta ai.

exemplo:

# Generated by iptables-save v1.3.5 on Sat Jul 11 14:45:48 2009
*nat
:PREROUTING ACCEPT [247:25323]
:POSTROUTING ACCEPT [7:415]
:OUTPUT ACCEPT [7:415]

# Liberacao do Sistema Login
-A PREROUTING -p tcp -d 192.168.0.107 -j ACCEPT
-A PREROUTING -p tcp -d 192.168.0.138 -j ACCEPT
-A PREROUTING -p tcp -d 172.16.7.107 -j ACCEPT
-A PREROUTING -p tcp -d 172.16.0.228 -j ACCEPT

# Direcionando tudo para o Squid
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 1994
-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 1994

# Compartilhando a Internet
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth2 -j MASQUERADE

COMMIT
# Completed on Sat Jul 11 14:45:48 2009
# Generated by iptables-save v1.3.5 on Sat Jul 11 14:45:48 2009
*filter

:INPUT DROP [3:287]
:FORWARD DROP [216:10833]
:OUTPUT DROP [14:1170]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Rede Local
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth2 -j ACCEPT
#-A INPUT -i ppp0 -j ACCEPT

# Internet
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
#Liberacao do msn-proxy
-A INPUT -p tcp --dport 25000:30000 -s 172.16.4.0/22 -j ACCEPT

#Conectividade social

-I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
-I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT
-A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT

# Bancos e Financeiras

-A FORWARD -p tcp -m tcp --dport 5190 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 20000 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 5432 -j ACCEPT

-A FORWARD -p tcp -m tcp --dport 809 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 1665 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT

# Liberacao do software da claro
-A FORWARD -p tcp -m tcp --dport 7799 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 8017 -j ACCEPT

# Caixa Economica

-A FORWARD -p tcp -m tcp --dport 2681 -j ACCEPT

Firewall 210
-A FORWARD -d 172.16.11.100 -j ACCEPT
-A FORWARD -d 172.16.11.121 -j ACCEPT

#FTp
-A FORWARD -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

-A FORWARD -p tcp -m tcp --dport 20 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# VNC
-A FORWARD -p tcp -m tcp --dport 4901 -j ACCEPT

# Puty
-A FORWARD -p tcp -m tcp --dport 22 -j ACCEPT

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Rede Local
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o eth2 -j ACCEPT
#-A OUTPUT -o ppp0 -j ACCEPT

# Internet
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

# Ping
-A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

COMMIT
# Completed on Sat Jul 11 14:45:48 2009
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed

0 0

Quote