[slack-users] iptables Liberando acesso

Wed, 25 May 2005 09:19:03 -0700 

Uma nova d�vida � a seguinte, preciso liberar o acesso para o proxy

comunicar com a internet.

Esquema:

( rede1)<----------------->(server com    )
( )<-----------------------> internet 
(rede2)<------------------>( samba/ squid)

usu�rios da rede deve ter acesso a www, ftp, e-mail e somente.
algumas portas est�o ficando fechadas e quando subo o firewall o squid n�o sobe depois. e se subo o squid antes, e depois o firewall as maquinas n�o navegam (logicamente) mas n�o sei qual regra pode esta errada. 

Obrigado desde j� a quem se dispuser a me ajudar


#!/bin/sh
#carrega os modulos do iptables na memoria
modprobe ipt_psd
modprobe ipt_string
modprobe iptable_nat
#ativa passagem de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#Liberando a interface de loopback
iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 192.168.0.1 -i lo -j ACCEPT
#iptables -A INPUT -p ALL -s 200.xxx.xxx.xxx -i lo -j ACCEPT

#conex�o estabelecida n�o ser� analisada
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#LIBERA PASSAGEM DE PACOTES DE DNS
#seria preciso fazer regra de forward tamb�m????
#eu n�o tenho DNS rodando nesta m�quina
iptables -A INPUT -p udp --sport 53 -s 0/0  -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -s 0/0 -j ACCEPT
#Est� certo isto aqui???? se eu tiver outro servidor de dns tenho que fazer outra regra tb? iptables -A FORWARD -p udp -s 192.168.0.0/24 -d 200.165.132.148 --dport 53 -j ACCEPT iptables -A FORWARD -p udp -s 200.165.132.148 --sport 53 -d 192.168.0.0/24 -j ACCEPT 

#logando e bloqueando pacotes fragmentados
iptables -A INPUT -i ppp0 -f -j LOG --log-prefix "Pacote INPUT fragmentado: " 
iptables -A INPUT -i ppp0 -f -j DROP

#libera acesso ao proxy
#como eu fa�o pra liberar o proxy para sair pacotes dele pra internet?
iptables -A INPUT -p TCP -i eth0 -s 192.168.0.1/24 --dport 3128 -j ACCEPT
iptables -A INPUT -p TCP -i eth2 -s 192.168.1.1/24 --dport 3128 -j ACCEPT

# Libera resposta de servidores www para meu squid:
#estariam certas estas regras?
iptables -A INPUT -p TCP -i eth1 --sport 80 -j ACCEPT
iptables -A INPUT -p TCP -i eth1 --sport 443 -j ACCEPT
iptables -A INPUT -p TCP -i eth1 --sport 20 -j ACCEPT
iptables -A INPUT -p UDP -i eth1 --sport 21 -j ACCEPT

#libera acesso ao ssh
iptables -A INPUT -p TCP --dport 22 -j ACCEPT

#preciso destas regras????
#iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
#iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.24 -j SNAT --to -i ppp0

iptables -A FORWARD -j LOG --log-prefix "Pacote Kazaa descartado: "
iptables -A FORWARD -s 0/0 -m string --string Kazaa -j DROP
iptables -A FORWARD -s 192.168.1.0/24 -m string --string Kazaa -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -m string --string Kazaa -j DROP
#iptables -A FORWARD -p tcp -m string --string "x-msn-messenger" -j DROP

#libera a passagem de pacotes  de e-mail
iptables -A FORWARD -p tcp -s 192.168.1.0/24  --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24  --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24  --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24  --sport 110 -j ACCEPT


#libera o acesso ao samba
iptables -A INPUT -p tcp --dport 137:139 -s 192.168.0.1/8 -i eth0 -j ACCEPT
iptables -A INPUT -p udp --dport 137:139 -s 192.168.0.1/8 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 137:139 -s 192.168.1.1/8 -i eth2 -j ACCEPT
iptables -A INPUT -p udp --dport 137:139 -s 192.168.0.1/8 -i eth2 -j ACCEPT

Estas regras ficam no fim ou no in�cio do arquivo??
#Mudando politicas de acesso
iptables -A FORWARD -j LOG --log-prefix "Pacote input descartado: "
iptables -P INPUT DROP
iptables -A FORWARD -j LOG --log-prefix "Pacote forward descartado: "
iptables -P FORWARD DROP
#deixa-se a politica de OUTPUT como ACCEPT

--
______________________________
Leandro Fernandes
Genialsoft
31 3822-6426 - 8869-4557
______________________________
.-.
/v\ G N U / L I N U X // \\ >Love the Penguin< 
/(   )\
^^-^^   www.genialsoft.com.br

_______________________________
"N�o se pode ensinar tudo a algu�m, pode-se apenas ajud�-lo a encontrar por si mesmo." 

Galileu Galilei, astr�nomo italiano




--
______________________________
Leandro Fernandes
Genialsoft
31 3822-6426 - 8869-4557
______________________________
 .-.
/v\ G N U / L I N U X // \\ >Love the Penguin< 
/(   )\
^^-^^   www.genialsoft.com.br

_______________________________
"N�o se pode ensinar tudo a algu�m, pode-se apenas ajud�-lo a encontrar por si mesmo." 

Galileu Galilei, astr�nomo italiano

--
GUS-BR - Grupo de Usuarios Slackware - BR
http://www.slackwarebrasil.org/
http://www.linuxmag.com.br/mailman/listinfo/slack-users

Responder a