Bom Dia Tenho em casa instalado o slackware 10, conectado por dhcp no virtua Cabo, copiei este firewall da internet e coloquei no meu arquivo rc.local, n�o entendo muito bem do assunto e gostaria de uma ajudinha para liberar o acesso aos programas xmule, amsn e outros da net de uso em desktop, liberei a porta 4662, mas dae o xmule fica com "low id"
envio abaixo as regras: Obrigado #!/bin/bash # ---------------------------------------------------------------- # Script iptables montado pela comunidade forumgdh.net # http://forumgdh.net # �ltima atualiza��o: 25/08/2004 # --- # Participantes na ordem alfabetica: # AValle # bolao # Default # JohnDoe # ---------------------------------------------------------------- echo "Carregando o firewall..." # Definindo as variaveis IPTABLES="/sbin/iptables" REDEINT="192.168.0.0/8" IPDNSPROVEDOR="200.227.128.21" ENT="ppp+" # carregando os modulos modprobe ip_tables modprobe iptable_nat # limpando as tabelas $IPTABLES -F $IPTABLES -t nat -F # Protege contra os "Ping of Death" $IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # Protege contra os ataques do tipo "Syn-flood, DoS, etc" $IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT # Permitir repassamento (NAT,DNAT,SNAT) de pacotes etabilizados e os relatados ... $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Logar os pacotes mortos por inatividade ... $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG # Protege contra port scanners avan�ados (Ex.: nmap) $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT # Protege contra pacotes que podem procurar e obter informa��es da rede interna ... $IPTABLES -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP # Protege contra todos os pacotes danificados e ou suspeitos ... $IPTABLES -A FORWARD -m unclean -j DROP # Bloqueando tracertroute $IPTABLES -A INPUT -p udp -s 0/0 -i $ENT --dport 33435:33525 -j DROP # Protecoes contra ataques $IPTABLES -A INPUT -m state --state INVALID -j DROP # Performance - Setando acesso a web com delay minimo $IPTABLES -t mangle -A OUTPUT -o $ENT -p tcp --dport 53 -j TOS --set-tos Minimize-Delay $IPTABLES -t mangle -A OUTPUT -o $ENT -p tcp --dport 80 -j TOS --set-tos Minimize-Delay # Deixa passar as portas UDP do servidores DNS, e Rejeitar o restante $IPTABLES -A INPUT -i $ENT -p udp -s $IPDNSPROVEDOR -j ACCEPT $IPTABLES -A INPUT -i $ENT -p udp -s $IPDNSPROVEDOR -j ACCEPT $IPTABLES -A INPUT -i $ENT -p udp -j REJECT # Bloqueia qualquer tentativa de conexao de fora para dentro por TCP $IPTABLES -A INPUT -i $ENT -p tcp --syn -j DROP # Mesmo assim fechar todas as portas abaixo de 32000 $IPTABLES -A INPUT -i $ENT -p tcp --dport :32000 -j DROP # Responde pacotes icmp especificados e rejeita o restante $IPTABLES -A INPUT -i $ENT -p icmp --icmp-type host-unreachable -j ACCEPT $IPTABLES -A INPUT -i $ENT -p icmp --icmp-type source-quench -j ACCEPT $IPTABLES -A INPUT -i $ENT -p icmp -j REJECT --reject-with icmp-host-unreachable # Rejeita o Kazaa (n�o testado ainda) #$IPTABLES -A FORWARD -p tcp -m string --string X-Kazaa-Username: -j REJECT --reject-with tcp-reset # libera acesso interno da rede $IPTABLES -A INPUT -p tcp --syn -s $REDEINT -j ACCEPT $IPTABLES -A OUTPUT -p tcp --syn -s $REDEINT -j ACCEPT $IPTABLES -A FORWARD -p tcp --syn -s $REDEINT -j ACCEPT # libera o loopback $IPTABLES -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT # libera conexoes de fora pra dentro $IPTABLES -A INPUT -p tcp --destination-port 80 -j ACCEPT #$IPTABLES -A INPUT -p tcp --destination-port 443 -j ACCEPT #$IPTABLES -A INPUT -p tcp --destination-port 20 -j ACCEPT #$IPTABLES -A INPUT -p tcp --destination-port 21 -j ACCEPT #$IPTABLES -A INPUT -p tcp --destination-port 22 -j ACCEPT #libera conexoes de dentro pra fora: $IPTABLES -A OUTPUT -p tcp --destination-port 80 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --destination-port 3306 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --destination-port 22 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --destination-port 20 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --destination-port 21 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --destination-port 86 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --destination-port 21 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --destination-port 5190 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --destination-port 443 -j ACCEPT # libera o bittorrent - Coloque o ip interno da maquina em quest�o aqui #$IPTABLES -A INPUT -p tcp --destination-port 1214 -j ACCEPT #$IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 1214 -j DNAT --to-dest 10.0.0.2 #$IPTABLES -A FORWARD -p tcp -i ppp0 --dport 1214 -d 10.0.0.2 -j ACCEPT #$IPTABLES -t nat -A PREROUTING -i ppp0 -p udp --dport 1214 -j DNAT --to-dest 10.0.0.2 #$IPTABLES -A FORWARD -p udp -i ppp0 --dport 1214 -d 10.0.0.2 -j ACCEPT # faz o icq receber arquivos - Coloque o ip interno da maquina em quest�o aqui #$IPTABLES -A INPUT -p tcp --destination-port 2000:3000 -j ACCEPT #$IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 2000:3000 -j DNAT --to-dest 10.0.0.2 #$IPTABLES -A FORWARD -p tcp -i ppp0 --dport 2000:3000 -d 10.0.0.2 -j ACCEPT #$IPTABLES -t nat -A PREROUTING -i ppp0 -p udp --dport 2000:3000 -j DNAT --to-dest 10.0.0.2 #$IPTABLES -A FORWARD -p udp -i ppp0 --dport 2000:3000 -d 10.0.0.2 -j ACCEPT # compartilha a web na rede interna $IPTABLES -t nat -A POSTROUTING -s $REDEINT -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward # bloqueia o resto $IPTABLES -A INPUT -p tcp --syn -j DROP $IPTABLES -A OUTPUT -p tcp --syn -j DROP $IPTABLES -A FORWARD -p tcp --syn -j DROP # bloqueia ping echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all # ---------------------------------------------------------------- echo "Firewall carregado..." # EOF ()()()()()()()()()()()()()()()()()()()()()()() () Anderson Jos� da Silva () () www.malander.da.ru () ()()()()()()()()()()()()()()()()()()()()()()() --------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
