Perguntas & Respostas

Olá pessoal

Estou acertando um firewall que trabalha em conjunto com um proxy transparente. Estou usando a filosofia.. feche tudo e libere só o que precisa... Vou precisar do ssh para as maquinas do TI, msn para algumas máquinas selecionadas, navegação passando pelo proxy ( 80 -> 3128) e email para a galera.

Porém no código abaixo todas vez que viro a chave do FORWARD para DROP para de navegar, cai o msn, e webmail..... alguém pode me ajudar a encontrar onde estou pecando ai.... e se o código está com a segurança necessária, ou tenho que fazer algum acerto...

Desde já obrigado.

Pedro


///////////////////////////////////////////////////////////////////////////////////////////////////////// REGRAS FIREWALL //////////////////////////////////////////////////////////////////////////////////////////////////
# Generated by iptables-save v1.2.11 on Fri May 26 17:10:34 2006
*mangle
:PREROUTING ACCEPT [213729:84607637]
:INPUT ACCEPT [110719:37253453]
:FORWARD ACCEPT [101651:47246072]
:OUTPUT ACCEPT [101132:73752757]
:POSTROUTING ACCEPT [220213:121345359]
COMMIT
# Completed on Fri May 26 17:10:34 2006
# Generated by iptables-save v1.2.11 on Fri May 26 17:10:34 2006
*nat
:PREROUTING ACCEPT [2628:302409]
:POSTROUTING ACCEPT [756:45664]
:OUTPUT ACCEPT [756:45664]
-A PREROUTING -d ! 200.201.174.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri May 26 17:10:34 2006
# Generated by iptables-save v1.2.11 on Fri May 26 17:10:34 2006
*filter
:INPUT DROP [32725:11142506]
:FORWARD DROP [33605:15158479]
:OUTPUT ACCEPT [28076:22921954]
:msn - [0:0]
:restrict - [0:0]
:conectividade - [0:0]
:INFO - [0:0]

## REGRAS DE ENTRADA
-A INPUT -s 0/0 -p tcp --dport 22 -j restrict
-A INPUT -s 192.168.0.0/24 -p tcp --dport 25 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp --dport 3128 -j ACCEPT
-A INPUT -s 0/0 -p tcp --dport 1024:65535 -j ACCEPT
-A INPUT -s 0/0 -p udp --dport 1024:65535 -j ACCEPT

## REGRAS DE REPASSE
-A FORWARD -p tcp -m udp --dport 53 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 1863 -j msn
-A FORWARD -p tcp -m tcp --dport 80 -j conectividade
-A FORWARD -p tcp -m tcp --dport 80 -j DROP
-A FORWARD -s 192.168.1.0/24 -p tcp -m tcp --dport 1024:65535 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -p udp -m udp --dport 1024:65535 -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -p tcp -m tcp --dport 1024:65535 -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -p udp -m udp --dport 1024:65535 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,ACK FIN,RST -m limit --limit 1/sec -j ACCEPT

#REGRAS MSN
## REDE1
-A msn -s 192.168.1.2 -j ACCEPT
-A msn -p tcp -m tcp --dport 1863 -j LOG --log-prefix "FIREWALL: MSN NEGADO"
-A FORWARD -p tcp -m tcp --dport 1863 -j DROP

### REGRA ACESSO REMOTO
-A restrict -m mac --mac-source xx.xx.xx.xx.xx.xx -p tcp --dport 22 -j ACCEPT
-A restrict -m mac --mac-source xx.xx.xx.xx.xx.xx -p tcp --dport 22 -j ACCEPT
-A restrict -m mac --mac-source xx.xx.xx.xx.xx.xx -p tcp --dport 22 -j ACCEPT
-A restrict -s 0/0 -p tcp --dport 22 -j LOG --log-prefix "FIREWALL:TENT. AC.RMT. P:22"
-A restrict -p tcp --dport 22 -j DROP

#REGRA CONECTIVIDADE SOCIAL
-A conectividade -s 192.168.1.9 -p tcp -m tcp --dport 80 -j ACCEPT
-A conectividade -s 192.168.1.60 -p tcp -m tcp --dport 80 -j ACCEPT
-A conectividade -s 192.168.1.85 -p tcp -m tcp --dport 80 -j ACCEPT
-A conectividade -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable

## INFO
-A INFO -d 192.168.1.63 -j ACCEPT
-A INFO -d 192.168.1.57 -j ACCEPT
-A INFO -d 192.168.1.74 -j ACCEPT
-A INFO -j DROP

COMMIT
# Completed on Fri May 26 17:10:34 2006