Esta n�o � lista de linux. Procure respostas em listas afins. Caso queira falar sobre Bsds em geral e seus firewalls ( pf, ipfw e ipf ) , est� no lugar certo.
Ricardo Nascimento Ferreira Empresa de Correios e Tel�grafos DPROD - CCD Analista Unix S�nior Politec -----Mensagem original----- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Sergio Alencar / ICA Enviada em: Thursday, January 27, 2005 3:14 PM Para: [email protected] Assunto: [FUG-BR][OT] Regras para configurar IPTABLES Olah pessoal! Sei que isso eh OFF-TOPIC, mas sou novato em IPTABLES e td do mundo do sw livre. Gostaria de obter ajuda no seguinte problema: O Script que rodo para o IPTABLES, que jah peguei pronto na net, o torna um "FW ABERTO", onde INPUT tah ACCEPT, e baseado neste modelo estou tentando criar outro onde a politica default para INPUT eh DROP, soh liberando o que axu necess�rio, mas tem algo errado... a parte do FWD tah funcionando, mas por exemplo, consigo mandar emails mas naum recebo... .Naum sei se precisa liberer outras portas para que os servi�os funcionem... Se rodo o script antigo, td funciona. Soh tenho uma maquina SERVER com os seguintes servi�os que s�o necess�rios: QMail , Apache, IMAP, MySQL e VSFTP. Adicionalmente tenho que manter os seguintes servi�os funcionando: SpamAssassin, IMAP. E a maquina compartilha a internet para a rede interna. Vou colar abaixo o script e gostaria que alguem pudesse indicar o que tah errado, plz!!! Agrade�o desde jah a quem puder ajudar e pe�o desculpas pelo off-topic. PS: Sei que o script deve estar tosco para caramba... ---------------------------------------------------------------------------------------------------------- $IPTABLES -F INPUT $IPTABLES -P INPUT DROP $IPTABLES -F OUTPUT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -F FORWARD $IPTABLES -P FORWARD DROP $IPTABLES -t nat -F # Regras para a Chain INPUT #----------------------------- #Libera acesso ao servidor para a rede interna $IPTABLES -A INPUT -s 192.168.1.0/24 -p tcp -j ACCEPT $IPTABLES -A INPUT -s 192.168.1.0/24 -p udp -j ACCEPT #Libera o loopback $IPTABLES -A INPUT -p tcp -s 127.0.0.1/255.0.0.0 -j ACCEPT #Libera acesso apenas para as portas nececessarias para redes externas #FTP $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 21 -j ACCEPT #SSH $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 22 -j ACCEPT #SMTP $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 25 -j ACCEPT #DNS $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 53 -j ACCEPT $IPTABLES -A INPUT -i $EXTIF -p udp --destination-port 53 -j ACCEPT #HTTP $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 80 -j ACCEPT #CourierPasswd $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 106 -j ACCEPT #POP3 $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 110 -j ACCEPT #RPC BIND $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 111 -j ACCEPT #IMAP $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 143 -j ACCEPT #SpamAssassin $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 783 -j ACCEPT #MySQL $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 3306 -j ACCEPT #??? $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 3310 -j ACCEPT #X11 $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 6000 -j ACCEPT # Regras para a Chain FORWARD #--------------------------------- #Protecoes diversas contra portscanners, ping of death, ataques DoS, etc. $IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT $IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT #Esta regra permite a entrada de conexoes estabelecidas e relacionadas $IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT #Mais protecoes $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT $IPTABLES -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP $IPTABLES -A FORWARD -m unclean -j DROP #Permite a saida de todas as conexoes $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT $IPTABLES -A FORWARD -j LOG #Habilita o mascaramento (NAT) $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE _______________________________________________________________ Para enviar um novo email para a lista: [email protected] Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
