Editei esse script e deixei assim :
LAN='10.1.x.x/28'
# Limpa Tudo
iptables -F
iptables -F INPUT
iptables -t nat -F
# Definicao do Policiamento
#Table Filter
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
#Table nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT DROP
iptables -t nat -P POSTROUTING ACCEPT
# Conexoes estabelecidas e loopback
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
# Filtrando a rede interna
iptables -A FORWARD -d $LAN -i ppp0 -o eth1 -j ACCEPT
iptables -A FORWARD -s $LAN -i eth1 -o ppp0 -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
iptables -A FORWARD -j DROP
# Ip Masquerade
iptables -t nat -A POSTROUTING -s $LAN -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
esse script barra tudo certo ? so ta permitindo o trafego de ppp0 pra eth1 e vice versa ok ? o resto ta barrado. certo ? mas mesmo assim to conseguindo conectar externamente via ssh ou qqer outra coisa. como posso fazer para barrar tudo na entrada liberar so porta http https smtp pop ?
Valeu
Paulo Ricardo Bruck escreveu:
Em Seg, 2005-05-09 �s 12:20 -0300, Jeison Sanches escreveu:
Como eu devo bloquear tudo e liberar so o necessario indo e vindo da internet ?:
Jeison,
Firewall n�o � algo muito simples, principalmente porque mexe na �rea de seguran�a.
Aconselho a vc antes de mais nada ver estes 2 sites:
a) focalinux.cipsga.org.br/ em portugues ( n�o s� somente firewall)
b) http://iptables-tutorial.frozentux.net/iptables-tutorial.html ( em
ingles)
ap�s a leitura dos tutorias creio que possamos ajud�-lo melhor.
ats
com o policiamento na tabela filter :
#Table Filter iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT DROP iptables -t filter -P FORWARD DROP
?
mas depois eu libero embaixo e nao surte efeito. Voces poderia me dar um exemplo ?
Obrigado pelas dicas..
Paulo Ricardo Bruck wrote:
Em Seg, 2005-05-09 �s 09:29 -0300, Julio Cesar de Magalhaes escreveu:
Em Seg, 2005-05-09 �s 09:17 -0300, Paulo Ricardo Bruck escreveu:OPPPs, sim desculpe, mas quando v� a pol�tica de FORWARD em ACCEPT, eu
Tenho a impress�o que as regras acima s�o DROP est�o listadas a� apenas# A tentativa de acesso externo a estes servi�os ser�o registradosno syslog
# do sistema e ser�o bloqueados pela �ltima regra abaixo.ftp "
iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "FIREWALL:
iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix "FIREWALL:smtp "
iptables -A INPUT -p udp --dport 53 -j LOG --log-prefix "FIREWALL:dns "
iptables -A INPUT -p tcp --dport 110 -j LOG --log-prefix "FIREWALL:pop3 "
iptables -A INPUT -p tcp --dport 113 -j LOG --log-prefix "FIREWALL:identd "
iptables -A INPUT -p udp --dport 111 -j LOG --log-prefix "FIREWALL:rpc"
iptables -A INPUT -p tcp --dport 111 -j LOG --log-prefix "FIREWALL:rpc"
iptables -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix"FIREWALL:
samba ""FIREWALL:
iptables -A INPUT -p udp --dport 137:139 -j LOG --log-prefix
ARRRRRRRGHHHHHH vc esta colocando FTP, samba DNS , SMTP nosamba "
firewall????,
meu amigo, desista, vc ter� uma dor de cabe�a imensa.... coloque estes
servi�os em uma outra m�quina e deixe no firewall ssh, squid e
iptables,
ou se vcs for bom em seguran�a e iptables ai que sabe vc pdoeria
colocar os servi�os acima.....80)
para efeito de log.
j� jogaria fora o script.
J� que a sua politica de INPUT est� em DROP, vc logaria as tentativas de acesso do seu firewall no syslog.
Mas, como o seu FORWARD est� em ACCEPT a� come�am os seus problemas. Conserto iptables -A FORWARD -i $LAN -o $WAN -j ACCEPT ( tudo que entrar pela sua placa de rede da rede interna e sair pela wan vc aceita...) MESMO ASSIM , para se ter um firewall seguro e proteger n�o apenas a sua rede, mas tambem o mundo ( afinal , vcv pode ter um hacker na sua rede interna e depois a bomba estoura na sua m�o, vc coloca as regras de FORWARD em DROP e permite APENAS o que vc deseja....)
Mas uma das quest�es que sempre menciono � que n�o basta somente um
firewall para prote��o.
Porque vc me perguntaria? porque um firewall se assemalha a um le�o de chacara de boate.
Se vc tem convite vc entra ( explo porta 22)
agora se vc esta com o convite e entra armado com uma bazuca e metraladoras o firewall deixa vc passar da mesma maneira ( j� que vc tem convite ( porta 22)
portanto , se vc quizer usar o script anterior n�o o use do jeito que
est�...
-- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
