Re: (linux-br)IPTABLES - Fechando portas altas e baixas

Mon, 11 Oct 2004 13:06:58 -0700 

Ol� Isaac,

Comece classificando as conex�es do firewall por zona. Exemplo, eth0
est� ligada a internet, zona Externa. eth1 est� ligada a sua rede
local, zona LAN. Agora crie as pol�ticas de cada zona:
EXT-> :
Porta tcp 22
Porta tcp 1723
LAN-> :
(Voc� pode declarar como confi�vel)
LAN->EXT
Porta 80
Porta 110
Porta 25
EXT->LAN
Porta 3389

agora crie o seu firewall:

# Aceita loopback
iptables -A INPUT -i lo -j ACCEPT
#Aceita conex�es estabelecias e relacionadas
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Regras para a zona EXT
iptables -A INPUT -i eth0 -p tcp --syn --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --syn --dport 1723 -j ACCEPT
# Precisa aceitar o protocolo 47 (GRE) para trabalhar em conjunto com o PPTP
iptables -A INPUT -i eth0 -p 47 -j ACCEPT
# Regras para a zona LAN
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -j LOG --log-prefix 'REJEITADO ENTRADA: ' --log-level debug
iptables -A INPUT -j REJECT (ou DROP)

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Repasse de pacotes da zona LAN para zona EXT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT
#repasse de pacotes da zona EXT par a zona LAN
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -j LOG --log-level debug --log-prefix 'REJEITADO FORWARD: '
iptables -A FORWARD -j REJECT (ou DROP)

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT
--to-destination ip.do.seu.ts:3389

Da uma olhada numa ferramenta on-line para gerar scripts iptables:
http://www.triforsec.com.br/projetos/iptsimples/

Abra�o!
Alejandro Flores

> 1) Carregue os modulos(eu sei fazer)
> ai daqui para abaixo eu me perco na logica, olha o que eu quero:
> Fechar todas as portas tanto baixas como altas e libera somente:
> 80 - para que a rede(192.168.0.0/24 navegue na internet mascarada)
> 22 - ssh para eu administrar remotamente
> 1723 - para a pvn
> 3389 - para o terminal service do windows(mas parece que nao basta so
> liberar a porta)
> 110 - pop
> 25 - smtp
---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br

Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html

Responder a