[Ubuntu-BR] Ajuda com firewall

Luiz Gustavo Câmara Franco nexusbr em gmail.com
Sábado Julho 5 15:21:30 UTC 2008


Marcelo,

Dê uma olhada no firewall que eu usava no meu pc, pois deve te ajudar. Agora
uso iptables diretamente no DD-WRT do roteador.

#!/bin/sh
# Exemplos de configuração de firewall

# São assumidos os módulos usados por esta configuração do firewall:

# ipt_filter
# ipt_nat
# ipt_conntrack
# ipt_mangle
# ipt_TOS
# ipt_MASQUERADE
# ipt_LOG

##### Definição de Policiamento #####
# Tabela filter
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
# Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING DROP
# Tabela mangle
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT


##### Proteção contra IP Spoofing #####
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
 echo 1 >$i
done

##### Ativamos o redirecionamento de pacotes (requerido para NAT) #####
echo "1" >/proc/sys/net/ipv4/ip_forward

# O iptables define automaticamente o número máximo de conexões simultâneas
# com base na memória do sistema. Para 32MB = 2048, 64MB = 4096, 128MB =
8192,
# sendo que são usados 350 bytes de memória residente para controlar
# cada conexão.
# Quando este limite é excedido a seguinte mensagem é mostrada:
#  "ip_conntrack: maximum limit of XXX entries exceed"
#
# Como temos uma rede simples, vamos abaixar este limite. Por outro lado
isto
# criará uma certa limitação de tráfego para evitar a sobrecarga do
servidor.
echo "2048" > /proc/sys/net/ipv4/ip_conntrack_max


###############################################################
#                      Tabela filter                          #
###############################################################

##### Chain INPUT #####
# Criamos um chain que será usado para tratar o tráfego vindo da Internet e
iptables -N ppp-input

# Aceita todo o tráfego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT
# Todo tráfego vindo da rede interna também é aceito
iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT

# Conexões vindas da interface ppp0 são tratadas pelo chain ppp-input
iptables -A INPUT -i ppp+ -j ppp-input

# Qualquer outra conexão desconhecida é imediatamente registrada e derrubada
iptables -A INPUT -j LOG --log-prefix "FIREWALL: INPUT "
iptables -A INPUT -j DROP


##### Chain FORWARD ####
# Permite redirecionamento de conexões entre as interfaces locais
# especificadas abaixo. Qualquer tráfego vindo/indo para outras
# interfaces será bloqueado neste passo
iptables -A FORWARD -d 192.168.1.0/24 -i ppp+ -o eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o ppp+ -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
iptables -A FORWARD -j DROP


##### Chain ppp-input ####
# Aceitamos todas as mensagens icmp vindas de ppp0 com certa limitação
iptables -A ppp-input -p icmp -m limit --limit 2/s -j ACCEPT

# Primeiro aceitamos o tráfego vindo da Internet para o serviço www (porta
80)
iptables -A ppp-input -p tcp --dport 80 -j ACCEPT

# A tentativa de acesso externo a estes serviços serão registrados no syslog
# do sistema e serão bloqueados pela última regra abaixo.
iptables -A ppp-input -p tcp --dport 21 -j LOG --log-prefix "FIREWALL: ftp "
iptables -A ppp-input -p tcp --dport 25 -j LOG --log-prefix "FIREWALL: smtp
"
iptables -A ppp-input -p udp --dport 53 -j LOG --log-prefix "FIREWALL: dns "
iptables -A ppp-input -p tcp --dport 110 -j LOG --log-prefix "FIREWALL: pop3
"
iptables -A ppp-input -p tcp --dport 113 -j LOG --log-prefix "FIREWALL:
identd "
iptables -A ppp-input -p udp --dport 111 -j LOG --log-prefix "FIREWALL: rpc"
iptables -A ppp-input -p tcp --dport 111 -j LOG --log-prefix "FIREWALL: rpc"
iptables -A ppp-input -p tcp --dport 137:139 -j LOG --log-prefix "FIREWALL:
samba "
iptables -A ppp-input -p udp --dport 137:139 -j LOG --log-prefix "FIREWALL:
samba "
# Bloqueia qualquer tentativa de nova conexão de fora para esta máquina
iptables -A ppp-input -m state --state ! ESTABLISHED,RELATED -j LOG
--log-prefix "FIREWALL: ppp-in "
iptables -A ppp-input -m state --state ! ESTABLISHED,RELATED -j DROP
# Qualquer outro tipo de tráfego é aceito
iptables -A ppp-input -j ACCEPT


#######################################################
#                   Tabela nat                        #
#######################################################

##### Chain POSTROUTING #####
# Permite qualquer conexão vinda com destino a lo e rede local para eth0
iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j ACCEPT

# Não queremos que usuários tenham acesso direto a www e smtp da rede
externa, o
# squid e smtpd do firewall devem ser obrigatoriamente usados. Também
registramos
# as tentativas para monitorarmos qual máquina está tentando conectar-se
diretamente.
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp+ -p tcp --dport 80
-j LOG --log-prefix "FIREWALL: SNAT-www "
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp+ -p tcp --dport 25
-j LOG --log-prefix "FIREWALL: SNAT-smtp "
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp+ -p tcp --dport 25
-j DROP
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp+ -p tcp --dport 80
-j DROP
# É feito masquerading dos outros serviços da rede interna indo para a
interface
# ppp0
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp+ -j MASQUERADE

# Qualquer outra origem de tráfego desconhecida indo para eth0 (conexões
vindas
# de ppp+) são bloqueadas aqui
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j LOG --log-prefix
"FIREWALL: SNAT unknown"
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j DROP
# Quando iniciamos uma conexão ppp, obtermos um endereço classe A (10.x.x.x)
e após
# estabelecida a conexão real, este endereço é modificado. O tráfego indo
para
# a interface ppp não deverá ser bloqueado. Os bloqueios serão feitos no
# chain INPUT da tabela filter
iptables -t nat -A POSTROUTING -o ppp+ -j ACCEPT

# Registra e bloqueia qualquer outro tipo de tráfego desconhecido
iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL: SNAT "
iptables -t nat -A POSTROUTING -j DROP


###############################################
#                Tabela mangle                #
###############################################
##### Chain OUTPUT #####
# Define mínimo de espera para os serviços ftp, telnet, irc e DNS, isto
# dará uma melhor sensação de conexão em tempo real e diminuirá o tempo
# de espera para conexões que requerem resolução de nomes.
iptables -t mangle -A OUTPUT -o ppp+ -p tcp --dport 21 -j TOS --set-tos 0x10
iptables -t mangle -A OUTPUT -o ppp+ -p tcp --dport 23 -j TOS --set-tos 0x10
iptables -t mangle -A OUTPUT -o ppp+ -p tcp --dport 6665:6668 -j TOS
--set-tos 0x10
iptables -t mangle -A OUTPUT -o ppp+ -p udp --dport 53 -j TOS --set-tos 0x10


On Fri, Jul 4, 2008 at 11:52 AM, Marcelo Garcia / Supermar <
marcelo.garcia em supermar.com.br> wrote:

> Pessoal,
>
> O ultimo firewall q escrevi foi em 2003. Agora to recomecando do zero em um
> novo servidor. Por hora ele tem squid transparente, mas vai ter apache e
> email. Qdo ativo o firewall, o repasse de email esta ok, porem NAO navego,
> nem consigo acessar o ssh. Lembro que tem q abrir portas de retorno, mas
> nao
> sei como faz. Alguem pode olhar o script abaixo,e me dizer aonde estou
> pegado ?
>
> Obrigado
>
> Marcelo
>
>
>
> ext='eth0'
> int='eth1'
> ipint='192.168.0.1'
> redeint='192.168.0.0/16'
> ipext='200.200.233.200'
> redeext='200.200.233.0/255.255.255.192'
> internet='0/0'
> modprobe iptable_nat
> ####################3#Politicas padroes
> iptables  -P INPUT  DROP
> iptables  -P FORWARD DROP
> #iptables  -P OUTPUT  DROP
> echo 1 > /proc/sys/net/ipv4/ip_forward
> #
> # Habilita o NAT + Proxy Transparente
> #
> iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT
> --to-source
> 200.200.233.200
> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j
> REDIRECT --to-port 3128
> ##################### Libera Ping rede interna
> iptables -A OUTPUT  -p icmp -s $ipext    -d $redeext  --icmp-type 8 -j
> ACCEPT
> iptables -A INPUT   -p icmp -s $ipext    -d $redeext  --icmp-type 8 -j
> ACCEPT
> iptables -A OUTPUT  -p icmp -s $ipext    -d $redeext  --icmp-type 0 -j
> ACCEPT
> iptables -A INPUT   -p icmp -s $ipext    -d $redeext  --icmp-type 0 -j
> ACCEPT
> ##################### Libera DNS, HTTP, ICMP GW-Internet, Proxy
> iptables -A OUTPUT  -p udp  -s $ipext    -d $internet --dport 53    -j
> ACCEPT
> iptables -A INPUT   -p udp  -s $internet -d $ipext    --sport 53    -j
> ACCEPT
> iptables -A OUTPUT  -p icmp -s $ipext    -d $internet --icmp-type 8 -j
> ACCEPT
> iptables -A INPUT   -p icmp -s $internet -d $ipext    --icmp-type 0 -j
> ACCEPT
> iptables -A OUTPUT  -p tcp  -s $ipint    -d $internet --dport 80    -j
> ACCEPT
> iptables -A INPUT   -p tcp  -s $internet -d $ipint    --sport 80    -j
> ACCEPT
> iptables -A OUTPUT  -p tcp  -s $ipint    -d $redeint  --dport 3128  -j
> ACCEPT
> iptables -A INPUT   -p tcp  -s $redeint  -d $ipint    --sport 3128  -j
> ACCEPT
> ##################### Libera DNS / PING / HTTP / POP / SMTP p/ rede interna
> iptables -A FORWARD -p udp  -s $redeint  -d $internet --dport 53    -j
> ACCEPT
> iptables -A FORWARD -p udp  -s $internet -d $redeint  --sport 53    -j
> ACCEPT
> iptables -A FORWARD -p icmp -s $redeint  -d $internet --icmp-type 8 -j
> ACCEPT
> iptables -A FORWARD -p icmp -s $internet -d $redeint  --icmp-type 0 -j
> ACCEPT
> iptables -A FORWARD -p tcp  -s $redeint  -d $internet --dport 80    -j
> ACCEPT
> iptables -A FORWARD -p tcp  -s $internet -d $redeint  --sport 80    -j
> ACCEPT
> iptables -A FORWARD -p tcp  -s $redeint  -d $internet --dport 25    -j
> ACCEPT
> iptables -A FORWARD -p tcp  -s $internet -d $redeint  --sport 25    -j
> ACCEPT
> iptables -A FORWARD -p tcp  -s $redeint  -d $internet --dport 110   -j
> ACCEPT
> iptables -A FORWARD -p tcp  -s $internet -d $redeint  --sport 110   -j
> ACCEPT
> ##################### Libera SSH p/ rede interna
> iptables -A INPUT   -p udp  -s $redeint  -d $ipint    --sport 22    -j
> ACCEPT
> iptables -A OUTPUT  -p udp  -s $ipint    -d $redeint  --dport 22    -j
> ACCEPT
>
>
> --
> Interessado em aprender mais sobre o Ubuntu em português?
> http://wiki.ubuntu-br.org/ComeceAqui  -
> ubuntu-br mailing list
> ubuntu-br em lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>



-- 
Luiz Gustavo



More information about the ubuntu-br mailing list