[Ubuntu-BR] iptables

Julio Cardoso julio.linuxgroups em gmail.com
Quarta Janeiro 2 20:13:16 UTC 2008


Eu fiz esse artigo que pode lhe ajudar, é bem simples e eficiente o guarddog
http://www.xjulio.info/blog/implementando-um-firewall-eficaz-no-linux-usando-o-guarddog
Marcelo Magno escreveu:
> Boa tarde a todos...
>
> Pessoal, eu sou meio basicao em iptables e queria ver se conseguia
> entender o cenario abaixo:
>
> Eu estou tentando fazer um firewall basico pra empresa onde trabalho, do
> tipo, fecha tudo e abre apenas alguns servicos e o q tiver de http vai
> via proxy transparente pro squid.
>
> Bom o script abaixo foi pego da internet e adaptado, estou usando o
> iptables-save e o iptables-restore para poder me organizar melhor...
>
> O Script abaixo ele ate funcionava, pois nada saia ate eu colocar a
> linha -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --tcp-flags
> FIN,SYN,RST,ACK SYN -j ACCEPT, no periodo de testes para poder tes
> acesso geral. note que essa regra esta comentada agora.
>
> Acontece que eu fosse soh usar a linha  -A INPUT -p tcp -m tcp
> --tcp-flags FIN,SYN,RST,ACK SYN -j DROP para fechar e tudo estaria ok...
> mas nao esta... Ele esta deixando passar tudo passar por ele.
>
> Estou desconfiado das regras genericas em :INPUT ACCEPT [0:0], :FORWARD
> ACCEPT [623:549238] e :OUTPUT ACCEPT [53:7004] que elas sejam as
> responsaveis por estar passando tudo (entenda-se por tudo pop, smtp,
> messenger, p2p, etc) mas quando eu comento uma delas ou todas elas, tudo
> para de funcionar inclusive o proxy transparente...
>
> Alguem poderia me dar umas dicas sobre o que estudar para sanar meus
> problemas? Se puderem dar dicas do caminho das pedras eu fico grato.
>
>
>
> Generated by iptables-save v1.3.6 on Sat Jun  9 17:39:28 2007
> *filter
> :INPUT ACCEPT [0:0]
> :FORWARD ACCEPT [623:549238]
> :OUTPUT ACCEPT [53:7004]
> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 1225 -j ACCEPT 
> -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 953 -j ACCEPT
> -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 53 -j ACCEPT
> -A INPUT -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 53 -j ACCEPT
> -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j
> ACCEPT 
> -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 3128 -j
> ACCEPT
> #-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --tcp-flags
> FIN,SYN,RST,ACK SYN -j ACCEPT 
> -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
> #-A INPUT -j DROP
> COMMIT
> # Completed on Sat Jun  9 17:39:28 2007
> # Generated by iptables-save v1.3.6 on Sat Jun  9 17:39:28 2007
> *nat
> :PREROUTING ACCEPT [0:0] 
> :POSTROUTING ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j DNAT
> --to 192.168.0.250:3128
> -A POSTROUTING -o eth0 -j MASQUERADE 
> COMMIT
> # Completed on Sat Jun  9 17:39:28 2007
> ~
>
>
> Best Regards,
> Marcelo Magno
>
> "It is impossible to get out of a problem by using the same type of
> thinking
> that it took to get into the problem." -- Albert Einstein
>   





More information about the ubuntu-br mailing list