lhe recomendo ler sobre o iptables e pegar ums exemplos prontos, e mesmo assim lhe garanto que vai ser um pouco complicado no começo tem o guia foca http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htm Marcelo Magno escreveu: > Boa tarde a todos... > > Pessoal, eu sou meio basicao em iptables e queria ver se conseguia > entender o cenario abaixo: > > Eu estou tentando fazer um firewall basico pra empresa onde trabalho, do > tipo, fecha tudo e abre apenas alguns servicos e o q tiver de http vai > via proxy transparente pro squid. > > Bom o script abaixo foi pego da internet e adaptado, estou usando o > iptables-save e o iptables-restore para poder me organizar melhor... > > O Script abaixo ele ate funcionava, pois nada saia ate eu colocar a > linha -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --tcp-flags > FIN,SYN,RST,ACK SYN -j ACCEPT, no periodo de testes para poder tes > acesso geral. note que essa regra esta comentada agora. > > Acontece que eu fosse soh usar a linha -A INPUT -p tcp -m tcp > --tcp-flags FIN,SYN,RST,ACK SYN -j DROP para fechar e tudo estaria ok... > mas nao esta... Ele esta deixando passar tudo passar por ele. > > Estou desconfiado das regras genericas em :INPUT ACCEPT [0:0], :FORWARD > ACCEPT [623:549238] e :OUTPUT ACCEPT [53:7004] que elas sejam as > responsaveis por estar passando tudo (entenda-se por tudo pop, smtp, > messenger, p2p, etc) mas quando eu comento uma delas ou todas elas, tudo > para de funcionar inclusive o proxy transparente... > > Alguem poderia me dar umas dicas sobre o que estudar para sanar meus > problemas? Se puderem dar dicas do caminho das pedras eu fico grato. > > > > Generated by iptables-save v1.3.6 on Sat Jun 9 17:39:28 2007 > *filter > :INPUT ACCEPT [0:0] > :FORWARD ACCEPT [623:549238] > :OUTPUT ACCEPT [53:7004] > -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT > -A INPUT -p tcp -m tcp --dport 1225 -j ACCEPT > -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT > -A INPUT -p tcp -m tcp --dport 953 -j ACCEPT > -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 53 -j ACCEPT > -A INPUT -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 53 -j ACCEPT > -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j > ACCEPT > -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 3128 -j > ACCEPT > #-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --tcp-flags > FIN,SYN,RST,ACK SYN -j ACCEPT > -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP > #-A INPUT -j DROP > COMMIT > # Completed on Sat Jun 9 17:39:28 2007 > # Generated by iptables-save v1.3.6 on Sat Jun 9 17:39:28 2007 > *nat > :PREROUTING ACCEPT [0:0] > :POSTROUTING ACCEPT [0:0] > :OUTPUT ACCEPT [0:0] > -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j DNAT > --to 192.168.0.250:3128 > -A POSTROUTING -o eth0 -j MASQUERADE > COMMIT > # Completed on Sat Jun 9 17:39:28 2007 > ~ > > > Best Regards, > Marcelo Magno > > "It is impossible to get out of a problem by using the same type of > thinking > that it took to get into the problem." -- Albert Einstein >
-- Interessado em aprender mais sobre o Ubuntu em português? http://wiki.ubuntu-br.org/ComeceAqui - ubuntu-br mailing list [email protected] https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
