Re: Script de iptables ainda nao está bloqueando!
cara tive que bloquear uma maquina de acessar o MSN usei um script com a ajuda do google e um amigo meu: http://www.sombra.br22.com/xoops/modules/newbb/viewtopic.php?topic_id=1forum=2post_id=2#forumpost2 publiquei meu script nesse site acima visite-o Em 17/02/06, master_[EMAIL PROTECTED] escreveu: Já tinha tentado de várias formas bloquear pelo squid e não tinha conseguido.. aí resolvi ver outros tipos de bloqueio e consegui bloqueando tudo de: passport.com msn.com webmessenger Criei uma acl para bloquear o domínio inteiro: acl proibidos dstdom_regex /etc/squid/proibidos Coloquei nos arquivos as palavras a serem bloqueadas nas URL e pimba.. msn nao funcionou mais hehehe Qualquer coisa .msn.com ou .passport.com nao entra.. agora o safado nao loga mais hehe Apesar de já ter conseguido bloquear o msn, vou estudar a possibilidade de dropar tudo de prerouting e ir liberando conforme a necessidade, Muito obrigado !! - Original Message - From: Daniel Picon To: debian-user-portuguese@lists.debian.org Sent: Friday, February 17, 2006 8:36 AM Subject: Re: Script de iptables ainda nao está bloqueando! Fábio, por falta de uma, darei três sugestões: 1) Essa, se for possível, acho que é melhor... bloqueie sites usando o squid. Instale o proxy e de uma lida na documentação que vc acha fácil na net que fica fácil bloquear acesso a sites e, no caso, vc coloca bloqueando os sites de login do msn. 2) Caso não possa usar o proxy, vc deve bloquear o acesso ao site de login do msn pela tabela NAT na chain PREROUTING... todo o tráfego interno da rede eu bloqueio por aí... 3) deixe como política padrão o DROP para o PREROUTING e apenas libere o que achar converniente... acho que é mais fácil de fazer o firewall dessa forma. Caso não funcione, dê um retorno e entraremos em detalhes, mas acho que com isso você vai conseguir o que quer, ok? Espero ter ajudado []´s Daniel - Original Message - From: [EMAIL PROTECTED] To: debian-user-portuguese@lists.debian.org Sent: Thursday, February 16, 2006 6:34 PM Subject: Script de iptables ainda nao está bloqueando! Fala galera, postei há um tempo atrás para analisarem meu script de iptables.. aí fiz algumas alteraçoes mas mesmo assim a porcaria do msn ainda entra.. aliás.. eu consigo pingar os ips que eu bloquiei.. Já tentei inverter a parte de FORWARD, primeiro aceitando tudo depois dropando esses ips.. e NADA. Vocês têm alguma sugestão? Segue o script: # Definição de Policiamento # # Tabela filter iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT ACCEPT iptables -t filter -P FORWARD DROP # Tabela nat iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING ACCEPT # Ativamos o redirecionamento de pacotes (requerido para NAT) # echo 1 /proc/sys/net/ipv4/ip_forward # Abaixar o limite de conexoes simultaneas echo 2048 /proc/sys/net/ipv4/ip_conntrack_max ### # Tabela filter # ### # Chain INPUT # # Criamos um chain que será usado para tratar o tráfego vindo da Internet iptables -N int-input # Aceita todo o tráfego vindo do loopback e indo pro loopback iptables -A INPUT -i lo -j ACCEPT # Trafego restrito REDEINT=192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6 192.168.0.8 192.168.0.9 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13 192.168.0.14 192.168.0.15 192.168.0.20 192.168.0.50 192.168.0.57 for ex_ip in $REDEINT do iptables -A INPUT -s $ex_ip -i eth0 -j ACCEPT done # Conexões vindas da interface eth1 são tratadas pelo chain int-input iptables -A INPUT -i eth1 -j int-input # Outras conex sao bloqueadas iptables -A INPUT -j DROP # Chain FORWARD # Permite redirecionamento de conexões entre as interfaces locais # especificadas abaixo. Qualquer tráfego vindo/indo para outras # interfaces será bloqueado neste passo. #ADICIONANDO MSN BLOCK.. iptables -A FORWARD -s 192.168.0.0/24 -d 12.130.60.4 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -d 64.14.123.138 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -d 65.54.194.118 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -d 207.46.216.61 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -d 212.187.244.16 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -d 65.54.239.0/24 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -d 207.6.176.0/24 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -d 207.46.5.0/28 -j DROP iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT iptables -A FORWARD -j DROP # Chain int-input # Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação # O tráfego de pacotes icmp que superar este limite será bloqueado # pela regra ...! ESTABLISHED
Re: Script de iptables ainda nao está bloqueando!
Fábio, por falta de uma, dareitrêssugestões: 1) Essa, se for possível, acho que é melhor... bloqueie sites usando o squid. Instaleo proxy e de uma lida na documentação que vc acha fácil na net que fica fácil bloquear acesso a sites e, no caso, vc coloca bloqueando os sites de login do msn. 2) Caso não possa usar o proxy, vc deve bloquear o acesso ao site de login do msn pela tabela NAT na chain PREROUTING... todo o tráfego interno da rede eu bloqueio por aí... 3) deixe como política padrão o DROP para o PREROUTING e apenas libere o que achar converniente... acho que é mais fácil de fazer o firewall dessa forma. Caso não funcione, dê um retorno e entraremos em detalhes, mas acho que com isso você vai conseguir o que quer, ok? Espero ter ajudado []´s Daniel - Original Message - From: [EMAIL PROTECTED] To: debian-user-portuguese@lists.debian.org Sent: Thursday, February 16, 2006 6:34 PM Subject: Script de iptables ainda nao está bloqueando! Fala galera, postei há um tempo atrás para analisarem meu script de iptables.. aí fiz algumas alteraçoes mas mesmo assim a porcaria do msn ainda entra.. aliás.. eu consigo pingar os ips que eu bloquiei.. Já tentei inverter a parte de FORWARD, primeiro aceitando tudo depois dropando esses ips.. e NADA. Vocês têm alguma sugestão? Segue o script: # Definição de Policiamento ## Tabela filteriptables -t filter -P INPUT DROPiptables -t filter -P OUTPUT ACCEPTiptables -t filter -P FORWARD DROP# Tabela natiptables -t nat -P PREROUTING ACCEPTiptables -t nat -P OUTPUT ACCEPTiptables -t nat -P POSTROUTING ACCEPT # Ativamos o redirecionamento de pacotes (requerido para NAT) #echo "1" /proc/sys/net/ipv4/ip_forward # Abaixar o limite de conexoes simultaneasecho "2048" /proc/sys/net/ipv4/ip_conntrack_max Tabela filter # Chain INPUT ## Criamos um chain que será usado para tratar o tráfego vindo da Internet iptables -N int-input# Aceita todo o tráfego vindo do loopback e indo pro loopbackiptables -A INPUT -i lo -j ACCEPT# Trafego restrito REDEINT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6 192.168.0.8 192.168.0.9 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13 192.168.0.14 192.168.0.15 192.168.0.20 192.168.0.50 192.168.0.57"for ex_ip in $REDEINTdoiptables -A INPUT -s $ex_ip -i eth0 -j ACCEPTdone # Conexões vindas da interface eth1 são tratadas pelo chain int-inputiptables -A INPUT -i eth1 -j int-input # Outras conex sao bloqueadasiptables -A INPUT -j DROP # Chain FORWARD # Permite redirecionamento de conexões entre as interfaces locais# especificadas abaixo. Qualquer tráfego vindo/indo para outras# interfaces será bloqueado neste passo.#ADICIONANDO MSN BLOCK..iptables -A FORWARD -s 192.168.0.0/24 -d 12.130.60.4 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 64.14.123.138 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.194.118 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.216.61 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 212.187.244.16 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.239.0/24 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.6.176.0/24 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.5.0/28 -j DROPiptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPTiptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPTiptables -A FORWARD -j DROP # Chain int-input # Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação# O tráfego de pacotes icmp que superar este limite será bloqueado# pela regra "...! ESTABLISHED,RELATED -j DROP" no final do # chain int-inputiptables -A int-input -p icmp -m limit --limit 1/s -j ACCEPTiptables -A int-input -p icmp -j ACCEPT #aceitando trafego para algumas portas..iptables -A int-input -p tcp --dport 80 -j ACCEPTiptables -A int-input -p tcp --dport 110 -j ACCEPTiptables -A int-input -p tcp --dport 25 -j ACCEPTiptables -A int-input -p tcp --dport 783 -j ACCEPTiptables -A int-input -p tcp --dport 993 -j ACCEPTiptables -A int-input -p tcp --dport 143 -j ACCEPTiptables -A int-input -p tcp --dport 995 -j ACCEPT #iptables -A int-input -d 192.168.0.2 -p tcp --dport 1433 -j ACCEPT # Bloqueia qualquer tentativa de nova conexão de fora para esta máquinaiptables -A int-input -m state --state ! ESTABLISHED,RELATED -j DROP # Aceita outros tipos de trafegoiptables -A int-input -j ACCEPT Tabela nat # Squid redirectiptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
Re: Script de iptables ainda nao está bloqueando!
Já tinha tentado de várias formas bloquear pelo squid e não tinha conseguido.. aí resolvi ver outros tipos de bloqueio e consegui bloqueando tudo de: passport.com msn.com webmessenger Criei uma acl para bloquear o domínio inteiro: acl proibidos dstdom_regex "/etc/squid/proibidos" Coloquei nos arquivos as palavras a serem bloqueadas nas URL e pimba.. msn nao funcionou mais hehehe Qualquer coisa .msn.com ou .passport.com nao entra.. agora o safado nao loga mais hehe Apesar de já ter conseguido bloquear o msn, vou estudar a possibilidade de dropar tudo de prerouting e ir liberando conforme a necessidade, Muito obrigado !! - Original Message - From: Daniel Picon To: debian-user-portuguese@lists.debian.org Sent: Friday, February 17, 2006 8:36 AM Subject: Re: Script de iptables ainda nao está bloqueando! Fábio, por falta de uma, dareitrêssugestões: 1) Essa, se for possível, acho que é melhor... bloqueie sites usando o squid. Instaleo proxy e de uma lida na documentação que vc acha fácil na net que fica fácil bloquear acesso a sites e, no caso, vc coloca bloqueando os sites de login do msn. 2) Caso não possa usar o proxy, vc deve bloquear o acesso ao site de login do msn pela tabela NAT na chain PREROUTING... todo o tráfego interno da rede eu bloqueio por aí... 3) deixe como política padrão o DROP para o PREROUTING e apenas libere o que achar converniente... acho que é mais fácil de fazer o firewall dessa forma. Caso não funcione, dê um retorno e entraremos em detalhes, mas acho que com isso você vai conseguir o que quer, ok? Espero ter ajudado []´s Daniel - Original Message - From: [EMAIL PROTECTED] To: debian-user-portuguese@lists.debian.org Sent: Thursday, February 16, 2006 6:34 PM Subject: Script de iptables ainda nao está bloqueando! Fala galera, postei há um tempo atrás para analisarem meu script de iptables.. aí fiz algumas alteraçoes mas mesmo assim a porcaria do msn ainda entra.. aliás.. eu consigo pingar os ips que eu bloquiei.. Já tentei inverter a parte de FORWARD, primeiro aceitando tudo depois dropando esses ips.. e NADA. Vocês têm alguma sugestão? Segue o script: # Definição de Policiamento ## Tabela filteriptables -t filter -P INPUT DROPiptables -t filter -P OUTPUT ACCEPTiptables -t filter -P FORWARD DROP# Tabela natiptables -t nat -P PREROUTING ACCEPTiptables -t nat -P OUTPUT ACCEPTiptables -t nat -P POSTROUTING ACCEPT # Ativamos o redirecionamento de pacotes (requerido para NAT) #echo "1" /proc/sys/net/ipv4/ip_forward # Abaixar o limite de conexoes simultaneasecho "2048" /proc/sys/net/ipv4/ip_conntrack_max Tabela filter # Chain INPUT ## Criamos um chain que será usado para tratar o tráfego vindo da Internet iptables -N int-input# Aceita todo o tráfego vindo do loopback e indo pro loopbackiptables -A INPUT -i lo -j ACCEPT# Trafego restrito REDEINT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6 192.168.0.8 192.168.0.9 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13 192.168.0.14 192.168.0.15 192.168.0.20 192.168.0.50 192.168.0.57"for ex_ip in $REDEINTdoiptables -A INPUT -s $ex_ip -i eth0 -j ACCEPTdone # Conexões vindas da interface eth1 são tratadas pelo chain int-inputiptables -A INPUT -i eth1 -j int-input # Outras conex sao bloqueadasiptables -A INPUT -j DROP # Chain FORWARD # Permite redirecionamento de conexões entre as interfaces locais# especificadas abaixo. Qualquer tráfego vindo/indo para outras# interfaces será bloqueado neste passo.#ADICIONANDO MSN BLOCK..iptables -A FORWARD -s 192.168.0.0/24 -d 12.130.60.4 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 64.14.123.138 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.194.118 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.216.61 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 212.187.244.16 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.239.0/24 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.6.176.0/24 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.5.0/28 -j DROPiptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPTiptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPTiptables -A FORWARD -j DROP # Chain int-input # Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação# O tráfego de pacotes icmp que superar este limite será bloqueado# pela regra "...! ESTABLISHED,RELATED -
Script de iptables ainda nao está bloqueando!
Fala galera, postei há um tempo atrás para analisarem meu script de iptables.. aí fiz algumas alteraçoes mas mesmo assim a porcaria do msn ainda entra.. aliás.. eu consigo pingar os ips que eu bloquiei.. Já tentei inverter a parte de FORWARD, primeiro aceitando tudo depois dropando esses ips.. e NADA. Vocês têm alguma sugestão? Segue o script: # Definição de Policiamento ## Tabela filteriptables -t filter -P INPUT DROPiptables -t filter -P OUTPUT ACCEPTiptables -t filter -P FORWARD DROP# Tabela natiptables -t nat -P PREROUTING ACCEPTiptables -t nat -P OUTPUT ACCEPTiptables -t nat -P POSTROUTING ACCEPT # Ativamos o redirecionamento de pacotes (requerido para NAT) #echo "1" /proc/sys/net/ipv4/ip_forward # Abaixar o limite de conexoes simultaneasecho "2048" /proc/sys/net/ipv4/ip_conntrack_max Tabela filter # Chain INPUT ## Criamos um chain que será usado para tratar o tráfego vindo da Internet iptables -N int-input# Aceita todo o tráfego vindo do loopback e indo pro loopbackiptables -A INPUT -i lo -j ACCEPT# Trafego restrito REDEINT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6 192.168.0.8 192.168.0.9 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13 192.168.0.14 192.168.0.15 192.168.0.20 192.168.0.50 192.168.0.57"for ex_ip in $REDEINTdoiptables -A INPUT -s $ex_ip -i eth0 -j ACCEPTdone # Conexões vindas da interface eth1 são tratadas pelo chain int-inputiptables -A INPUT -i eth1 -j int-input # Outras conex sao bloqueadasiptables -A INPUT -j DROP # Chain FORWARD # Permite redirecionamento de conexões entre as interfaces locais# especificadas abaixo. Qualquer tráfego vindo/indo para outras# interfaces será bloqueado neste passo.#ADICIONANDO MSN BLOCK..iptables -A FORWARD -s 192.168.0.0/24 -d 12.130.60.4 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 64.14.123.138 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.194.118 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.216.61 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 212.187.244.16 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.239.0/24 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.6.176.0/24 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.5.0/28 -j DROPiptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPTiptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPTiptables -A FORWARD -j DROP # Chain int-input # Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação# O tráfego de pacotes icmp que superar este limite será bloqueado# pela regra "...! ESTABLISHED,RELATED -j DROP" no final do # chain int-inputiptables -A int-input -p icmp -m limit --limit 1/s -j ACCEPTiptables -A int-input -p icmp -j ACCEPT #aceitando trafego para algumas portas..iptables -A int-input -p tcp --dport 80 -j ACCEPTiptables -A int-input -p tcp --dport 110 -j ACCEPTiptables -A int-input -p tcp --dport 25 -j ACCEPTiptables -A int-input -p tcp --dport 783 -j ACCEPTiptables -A int-input -p tcp --dport 993 -j ACCEPTiptables -A int-input -p tcp --dport 143 -j ACCEPTiptables -A int-input -p tcp --dport 995 -j ACCEPT #iptables -A int-input -d 192.168.0.2 -p tcp --dport 1433 -j ACCEPT # Bloqueia qualquer tentativa de nova conexão de fora para esta máquinaiptables -A int-input -m state --state ! ESTABLISHED,RELATED -j DROP # Aceita outros tipos de trafegoiptables -A int-input -j ACCEPT Tabela nat # Squid redirectiptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # É feito masquerading dos outros serviços da rede interna indo para a interface # eth1 # Ativando mascaramento para determinadas portas iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p icmp -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 110 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 25 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 3128 -j ACCEPTiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j ACCEPTiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport https -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 21 -j MASQUERADE Muito obrigadoo!
Script de iptables ainda nao está bloqueando!
Fala galera, postei há um tempo atrás para analisarem meu script de iptables.. aí fiz algumas alteraçoes mas mesmo assim a porcaria do msn ainda entra.. aliás.. eu consigo pingar os ips que eu bloquiei.. Já tentei inverter a parte de FORWARD, primeiro aceitando tudo depois dropando esses ips.. e NADA. Vocês têm alguma sugestão? Segue o script: # Definição de Policiamento ## Tabela filteriptables -t filter -P INPUT DROPiptables -t filter -P OUTPUT ACCEPTiptables -t filter -P FORWARD DROP# Tabela natiptables -t nat -P PREROUTING ACCEPTiptables -t nat -P OUTPUT ACCEPTiptables -t nat -P POSTROUTING ACCEPT # Ativamos o redirecionamento de pacotes (requerido para NAT) #echo "1" /proc/sys/net/ipv4/ip_forward # Abaixar o limite de conexoes simultaneasecho "2048" /proc/sys/net/ipv4/ip_conntrack_max Tabela filter # Chain INPUT ## Criamos um chain que será usado para tratar o tráfego vindo da Internet iptables -N int-input# Aceita todo o tráfego vindo do loopback e indo pro loopbackiptables -A INPUT -i lo -j ACCEPT# Trafego restrito REDEINT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6 192.168.0.8 192.168.0.9 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13 192.168.0.14 192.168.0.15 192.168.0.20 192.168.0.50 192.168.0.57"for ex_ip in $REDEINTdoiptables -A INPUT -s $ex_ip -i eth0 -j ACCEPTdone # Conexões vindas da interface eth1 são tratadas pelo chain int-inputiptables -A INPUT -i eth1 -j int-input # Outras conex sao bloqueadasiptables -A INPUT -j DROP # Chain FORWARD # Permite redirecionamento de conexões entre as interfaces locais# especificadas abaixo. Qualquer tráfego vindo/indo para outras# interfaces será bloqueado neste passo.#ADICIONANDO MSN BLOCK..iptables -A FORWARD -s 192.168.0.0/24 -d 12.130.60.4 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 64.14.123.138 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.194.118 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.216.61 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 212.187.244.16 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.239.0/24 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.6.176.0/24 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.5.0/28 -j DROPiptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPTiptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPTiptables -A FORWARD -j DROP # Chain int-input # Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação# O tráfego de pacotes icmp que superar este limite será bloqueado# pela regra "...! ESTABLISHED,RELATED -j DROP" no final do # chain int-inputiptables -A int-input -p icmp -m limit --limit 1/s -j ACCEPTiptables -A int-input -p icmp -j ACCEPT #aceitando trafego para algumas portas..iptables -A int-input -p tcp --dport 80 -j ACCEPTiptables -A int-input -p tcp --dport 110 -j ACCEPTiptables -A int-input -p tcp --dport 25 -j ACCEPTiptables -A int-input -p tcp --dport 783 -j ACCEPTiptables -A int-input -p tcp --dport 993 -j ACCEPTiptables -A int-input -p tcp --dport 143 -j ACCEPTiptables -A int-input -p tcp --dport 995 -j ACCEPT #iptables -A int-input -d 192.168.0.2 -p tcp --dport 1433 -j ACCEPT # Bloqueia qualquer tentativa de nova conexão de fora para esta máquinaiptables -A int-input -m state --state ! ESTABLISHED,RELATED -j DROP # Aceita outros tipos de trafegoiptables -A int-input -j ACCEPT Tabela nat # Squid redirectiptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # É feito masquerading dos outros serviços da rede interna indo para a interface # eth1 # Ativando mascaramento para determinadas portas iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p icmp -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 110 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 25 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 3128 -j ACCEPTiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j ACCEPTiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport https -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 21 -j MASQUERADE Muito obrigadoo!