Desculpe! ai vai:
Crie variaveis para ficar mais facil para gerenciar:
IPT='/sbin/iptables' # Define o caminho padrao para o binario
INT_EXT='eth0' # Interface de rede Externa Internet
INT_LOC='eth1' # Interface de rede da Rede Local
UP_PORTS='1024:65535' # Define numero de portas acima de 1024
#
Enderecos que podem conectar-se a sites FTP.
FTP_ACCEPT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6
192.168.0.9 192.168.0.11 192.168.0.34 192.168.0.91 192.168.0.9
5 192.168.0.150"
Falou
--------------------------------------
- - Claudio Rocha de Jesus
|.|-|.| Analista de Suporte Tecnico
- [EMAIL PROTECTED]
Linux user number 433834
--------------------------------------
----- Mensagem original ----
De: Carlos Alberto <[EMAIL PROTECTED]>
Para: Claudio Rocha de Jesus <[EMAIL PROTECTED]>; Lista Debian
<[email protected]>; [EMAIL PROTECTED]; [EMAIL PROTECTED]
Enviadas: Terça-feira, 22 de Maio de 2007 12:51:16
Assunto: Re: iptables e proxy transparente
faltou vc definir algumas variaveis, para que eu entenda, blz. Obrigado pela
ajuda.
Em 22/05/07, Claudio Rocha de Jesus <
[EMAIL PROTECTED]> escreveu:
Porque voce nao controla o acesso do ftp via iptables, veja o que fiz:
# Enderecos que podem conectar-se a sites FTP.
FTP_ACCEPT="
192.168.1.12 192.168.1.13
192.168.1.14 192.168.1.15
192.168.1.16 192.168.1.19
192.168.1.111 192.168.1.134
192.168.1.191 192.168.1.195
192.168.1.150"
for FTP in ${FTP_ACCEPT};do
$IPT -t filter -A FORWARD -s ${FTP} -i $INT_LOC -o $INT_EXT -m
multiport -p tcp --dport 20,21 -m state --state NEW,RELATED,ESTABLISHED
-j ACCEPT
$IPT -t filter -A FORWARD -s ${FTP} -i $INT_LOC -o $INT_EXT -p tcp
--sport $UP_PORTS --dport $UP_PORTS -m state --state NEW,RELATED,ES
TABLISHED -j ACCEPT
$IPT -t
filter -A FORWARD -d ${FTP} -i $INT_EXT -o $INT_LOC -m state --state
ESTABLISHED,RELATED -j ACCEPT
done
--------------------------------------
- - Claudio Rocha de Jesus
|.|-|.| Analista de Suporte Tecnico
- [EMAIL PROTECTED]
Linux user number 433834
--------------------------------------
----- Mensagem original ----
De: Carlos Alberto <
[EMAIL PROTECTED]>
Para:
[EMAIL PROTECTED]; [EMAIL PROTECTED]; Lista Debian <
[email protected]>
Enviadas: Segunda-feira, 21 de Maio de 2007 18:46:01
Assunto: iptables e proxy transparente
Pessoal, gostaria de só liberar a net, http e ftp, através de proxy(squid)
transparente e liberar tambem o msn com nat, ja tentei de tudo, a
porta do squid é a 81. O proxy transparente funciona somente para o http, para
ftp nada. Estou liberando tudo por nat. Queria liberar apenas o msn, como faço?
segue abaixo o que fiz no iptables...:
#!/bin/bash
## Apaga quaisquer regras que por ventura existam
iptables -F
#### Regras de policiamento ####
## bloqueia qualquer pacote que não seja explicitament permitio
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#### INPUT ####
## Permite acesso a interface loopback
iptables -A INPUT -i lo -j ACCEPT
## Permite apenas entrada das respostas as conexões desaida
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -i eth0 -s
192.168.0.0/24 --dport 81 -j ACCEPT
## Aceita conexoes ICMP com limite de conexoes por minuto
iptables -A INPUT -p icmp -m limit --limit 3/m --limit-burst 3 -j ACCEPT
## Liberar a porta do ssh
iptables -A INPUT -p tcp -s
192.168.0.24 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s
192.168.0.159 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s
192.168.0.150 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s
192.168.0.148 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.115 --dport 22 -j ACCEPT
## Registra nos logs do sistema pacotes bloqueados, estes são marcados com
prefixo Firewall:
iptables -A INPUT -j LOG --log-prefix "Firewall: "
#### OUTPUT ####
## Permite que o servidor acesse outras maquinas
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
### PREROUTING ###
## Redireciona conexoes com destino a porta 80 para a porta 81
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 81
### FORWARD ###
# Connection tracking (aceita pacotes para conexoes já estabelecidas)
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED,DNAT -j ACCEPT
#iptables -A FORWARD -m ip_nat_ftp --ctstate ESTABLISHED,RELATED,DNAT -j ACCEPT
## Redireciona dados de eth0 para eth1
iptables -A FORWARD -s 192.168.0.159 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.24 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.148 -o eth1 -j ACCEPT
iptables -A FORWARD -s
192.168.0.115 -o eth1 -j ACCEPT
iptables -A FORWARD -s
192.168.0.150 -o eth1 -j ACCEPT
#### POSTROUTING ####
## Compartilhamento da internet
iptables -t nat -A POSTROUTING -s
192.168.0.0/24 -o eth1 -p tcp -j SNAT --to
192.168.2.97
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p udp -j SNAT --to
192.168.2.97
### Ativa o modulo responsavel pelo encaminhamento de pacotes ###
echo 1 > /proc/sys/net/ipv4/ip_forward
--
Cumprimentos
Carlos Alberto Mota Castro (Maranhão)
Estudante de Engenharia Elétrica
UNESP - FEIS - Ilha Solteira
Usuário GNU/Linux
__________________________________________________
Fale com seus amigos de graça com o novo Yahoo! Messenger
http://br.messenger.yahoo.com/
--
Cumprimentos
Carlos Alberto Mota Castro (Maranhão)
Estudante de Engenharia Elétrica
UNESP - FEIS - Ilha Solteira
Usuário GNU/Linux
__________________________________________________
Fale com seus amigos de graça com o novo Yahoo! Messenger
http://br.messenger.yahoo.com/
