[Ubuntu-BR] iptables

Marcelo Magno mmagno em blumar.com.br
Quarta Agosto 15 16:18:17 UTC 2007 

Boa tarde a todos...

Pessoal, eu sou meio basicao em iptables e queria ver se conseguia
entender o cenario abaixo:

Eu estou tentando fazer um firewall basico pra empresa onde trabalho, do
tipo, fecha tudo e abre apenas alguns servicos e o q tiver de http vai
via proxy transparente pro squid.

Bom o script abaixo foi pego da internet e adaptado, estou usando o
iptables-save e o iptables-restore para poder me organizar melhor...

O Script abaixo ele ate funcionava, pois nada saia ate eu colocar a
linha -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --tcp-flags
FIN,SYN,RST,ACK SYN -j ACCEPT, no periodo de testes para poder tes
acesso geral. note que essa regra esta comentada agora.

Acontece que eu fosse soh usar a linha  -A INPUT -p tcp -m tcp
--tcp-flags FIN,SYN,RST,ACK SYN -j DROP para fechar e tudo estaria ok...
mas nao esta... Ele esta deixando passar tudo passar por ele.

Estou desconfiado das regras genericas em :INPUT ACCEPT [0:0], :FORWARD
ACCEPT [623:549238] e :OUTPUT ACCEPT [53:7004] que elas sejam as
responsaveis por estar passando tudo (entenda-se por tudo pop, smtp,
messenger, p2p, etc) mas quando eu comento uma delas ou todas elas, tudo
para de funcionar inclusive o proxy transparente...

Alguem poderia me dar umas dicas sobre o que estudar para sanar meus
problemas? Se puderem dar dicas do caminho das pedras eu fico grato.



Generated by iptables-save v1.3.6 on Sat Jun  9 17:39:28 2007
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [623:549238]
:OUTPUT ACCEPT [53:7004]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1225 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 953 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j
ACCEPT 
-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 3128 -j
ACCEPT
#-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --tcp-flags
FIN,SYN,RST,ACK SYN -j ACCEPT 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
#-A INPUT -j DROP
COMMIT
# Completed on Sat Jun  9 17:39:28 2007
# Generated by iptables-save v1.3.6 on Sat Jun  9 17:39:28 2007
*nat
:PREROUTING ACCEPT [0:0] 
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j DNAT
--to 192.168.0.250:3128
-A POSTROUTING -o eth0 -j MASQUERADE 
COMMIT
# Completed on Sat Jun  9 17:39:28 2007
~


Best Regards,
Marcelo Magno

"It is impossible to get out of a problem by using the same type of
thinking
that it took to get into the problem." -- Albert Einstein

More information about the ubuntu-br mailing list