Estou tentanto criar umas regras de firewall com iptables, mas estou
esbarrando em alguns problemas.
Li varias dicas e howtos e em todos eles � dito que devemos bloquear tudo
e depois ir liberando de acordo com a necessiadade e que o -A (anexar) tem
prioridade sobre o -P (politica) do iptables.
coloquei estas regras mas acredito que algo esteja errado, pois quando
ativo
estas regras os micros naum logam mais via samba e o squid para de
funcionar, se alguem puder me indicar um caminho ou dicas/leitura eu
agrade�o.
uso Slackware 8.0/2.4.10
segue o script
echo "Carregando os modulos necessarios ..."
sleep 1
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
/sbin/depmod -a
/sbin/modprobe ip_tables
# /sbin/modprobe ip_queue
# /sbin/modprobe ipt_LOG
# /sbin/modprobe ipt_MARK
/sbin/modprobe ipt_MASQUERADE
# /sbin/modprobe ipt_MIRROR
/sbin/modprobe ipt_REDIRECT
/sbin/modprobe ipt_REJECT
# /sbin/modprobe ipt_TCPMSS
# /sbin/modprobe ipt_TOS
/sbin/modprobe ipt_limit
# /sbin/modprobe ipt_mac
# /sbin/modprobe ipt_mark
# /sbin/modprobe ipt_multiport
# /sbin/modprobe ipt_owner
# /sbin/modprobe ipt_state
# /sbin/modprobe ipt_tcpmss
# /sbin/modprobe ipt_tos
# /sbin/modprobe ipt_unclean
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
#
# Loopback
LO_IFACE="lo"
LO_IP="127.0.0.1/8"
#
# Local Area Network
REDELAN="131.07.0.0/16"
LAN_IFACE="eth0"
#
# Internet
INET_IFACE="ppp0"
INET_IP="`/sbin/ifconfig ppp0 | grep inet | awk '{print substr($2,6)} '|
cut -d ' ' -f1 `"
IPTABLES="/usr/sbin/iptables"
#
echo "Apagando as regras anteriores ..."
sleep 1
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -X
$IPTABLES -t mangle -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -X
$IPTABLES -t nat -X
echo "Definindo a politica padrao do firewall para DROP ..."
sleep 1
#
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
#librerando o acesso
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $LAN_IFACE --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $LAN_IFACE --dport 110 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $LAN_IFACE --dport 139 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $LAN_IFACE --dport 3128 -j ACCEPT
$IPTABLES -A OUTPUT -p all -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p all -s $REDELAN -j ACCEPT
$IPTABLES -A OUTPUT -p all -s $INET_IP -j ACCEPT
#Iniciando o mascaramento
#
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
#
# Redireciona porta 80 para a 3128 (Squid)
$IPTABLES -t nat -A PREROUTING -p tcp -i $LAN_IFACE -s $LAN_IP --dport 80
-j REDIRECT --to-port 3128
#
#Carregando modulos de ftp
#
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
+----------------------------------------------+
| Marcos Aurelio da Silva - Tecnico em Telecom |
++------------------------+-------------------++
| Linux user n. 164652 | Slackware 8.0 |
| UIN: 47802921 | Kernel 2.4.10 |
| S�o Paulo - SP | Pine 4.33 |
+------------------------+-------------------+
Assinantes em 04/11/2001: 2350
Mensagens recebidas desde 07/01/1999: 139821
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
