DMZ e Iptable

adsjcsp
(usa Debian)

Enviado em 25/11/2008 - 08:39h

Galera estou com um problema, tenho um roteador dlink e ativei a DMZ dele pra ir direto para uma maquina em minha rede (192.168.0.1). Um servidor de mensagens e um firewall com iptables, só que tenho notado que ele não respeita as regras do iptable, por exemplo: apesar do SSH não estar instalado e iniciado como servidor SSH eu quando chamo a porta 22 do meu servidor ele me traz a tela de usuario e senha, mais no iptable eu já neguei tudo em relação à porta 22. Não sei o que esta acontesendo. Alguém poderia me ajudar.

clovesjr
(usa Slackware)

Enviado em 25/11/2008 - 08:46h

Provavelmente quem está respondendo é o próprio D-Link. A maior parte dos roteadores já vem com um shell (via ssh ou telnet) para administração.

[]s

adsjcsp
(usa Debian)

Enviado em 25/11/2008 - 11:21h

Tá mais e a respeito da configuração do iptables não está funcionando, ele continua com as portas abertas ou seja todo e qualquer servidor seja apache, e outros servidores os mesmos estão abertos para a internet, é isso que eu não queria, queria que só a rede interna tivesse acesso e a rede externa, somente a alguns. Mais ele está aberto pra todos. Haaaaaaaaaaaa por favor me ajudemmmmmmmmmmm rs

clovesjr
(usa Slackware)

Enviado em 25/11/2008 - 11:27h

Posta suas regras pra nós darmos uma olhada...

[]s

adsjcsp
(usa Debian)

Enviado em 25/11/2008 - 11:57h

#!/bin/bash

#limpando tabelas
iptables -F &&
iptables -X &&
iptables -t nat -F &&
iptables -t nat -X &&

iptables -A INPUT -s 0.0.0.0/0.0.0.0 -j ACCEPT

#VPN--------------------------------------------------------------------------------------------

iptables -A INPUT -p tcp --dport 4001 -j ACCEPT
iptables -A INPUT -p udp --dport 4001 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p tcp --dport 47 -j ACCEPT

#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 47 -j DNAT --to 192.168.10.101

#-----------------------------------------------------------------------------------------------

#SSH
iptables -A INPUT -s 192.168.10.87/255.255.255.0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j DROP

#porta segura
#iptables -A INPUT -p tcp --dport 433 -j ACCEPT
#iptables -A OUTPUT -p tcp --dport 433 -j ACCEPT

#Email
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT

#Dsecurity Câmeras de Segurança
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8090 -j DNAT --to 192.168.10.80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4550 -j DNAT --to 192.168.10.80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5550 -j DNAT --to 192.168.10.80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5980 -j DNAT --to 192.168.10.80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5900 -j DNAT --to 192.168.10.80


#Preroteamento para a VPN
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 4001 -j DNAT --to 192.168.10.101

#Servidor de Mensagem
iptables -t nat -A PREROUTING -i Eth0 -p tcp --dport 5222 -j DNAT --to 192.168.10.101


# Ignora pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Protecao ra IP spoofing
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

# Protecao ra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP

# Protecoes diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A INPUT -m state --state INVALID -j DROP

# Abre para a interface de loopback.
# Esta regra sao sencial para o KDE e outros programas gracos funcionarem adequadamente.
iptables -A INPUT -i lo -j ACCEPT

# Fecha as portas udp de 1 a 1024
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

# Protecao ra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP

# Protecoes diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A INPUT -m state --state INVALID -j DROP

# Abre para a interface de loopback.
# Esta regra sao sencial para o KDE e outros programas gracos funcionarem adequadamente.
iptables -A INPUT -i lo -j ACCEPT

# Fecha as portas udp de 1 a 1024
iptables -A INPUT -p udp --dport 1:1024 -j DROP
iptables -A INPUT -p udp --dport 59229 -j DROP
iptables -A INPUT -p tcp --syn -j DROP

Espero que possa me ajudar......

clovesjr
(usa Slackware)

Enviado em 25/11/2008 - 12:22h

Primeira coisa: na sua primeira regra "iptables -A INPUT -s 0.0.0.0/0.0.0.0 -j ACCEPT" vc está aceitando todo o tráfego de entrada, independente de origem. Com esta regra, qualquer outra regra de bloqueio na chain INPUT não irá funcionar, já que vc está liberando tudo.

Vale a pena vc dar uma olhada no site http://iptables-tutorial.frozentux.net/iptables-tutorial.html. Neste site tem bastante coisa de iptables... Ele tem inclusive alguns scripts prontos...

Qualquer coisa, estou a disposição.

[]s

adsjcsp
(usa Debian)

Enviado em 25/11/2008 - 12:56h

Muito obrigado, vou fazer uns teste aqui e verifica como fazer pra mudar isso. Obrigado pela ajuda!!!!

adsjcsp
(usa Debian)

Enviado em 26/11/2008 - 08:37h

Muito obrigado por me ajudar, bem pensando em outras pessoas que com certeza terão este tipo de problemas, eu decidi posta aqui o meu novo script de firewall, tá bem simples mais faz exatamente o que quero:

#!/bin/bash

#limpando tabelas
iptables -F &&
iptables -X &&
iptables -t nat -F &&
iptables -t nat -X &&

#Aqui aceitas as conecçõe da minha rede de internet e da rede interna

iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT #Rede interna
iptables -A INPUT -s 201.XXX.XXX.XXX/255.255.255.192 -j ACCEPT #Rede externa

#-----------------------------------------------------------------------------------------
#INPUT são as entradas que serao feitapela rede externa
#-----------------------------------------------------------------------------------------

#VPN
# estas portas estão abertas para rede externa

iptables -A INPUT -p tcp --dport 4001 -j ACCEPT
iptables -A INPUT -p udp --dport 4001 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p tcp --dport 47 -j ACCEPT
iptables -A INPUT -p tcp --dport 5222 -j ACCEPT

#SSH só na rede interna

iptables -A INPUT -s 192.168.10.0/255.255.255.0 -p tcp --dport 22 -j ACCEPT

#Mensagens

#-----------------------------------------------------------------------------------------
#Pre Roteamento
#-----------------------------------------------------------------------------------------

#Dsecurity
#estas regras de portas são de uma empresa de segurança on line
iptables -t nat -A PREROUTING -p tcp --dport 8090 -s 0/0 -d 201.XXX.XXX.XXX -j DNAT --to-destination 192.168.10.80
iptables -t nat -A PREROUTING -p tcp --dport 4550 -s 0/0 -d 201.XXX.XXX.XXX -j DNAT --to-destination 192.168.10.80
iptables -t nat -A PREROUTING -p tcp --dport 5980 -s 0/0 -d 201.XXX.XXX.XXX -j DNAT --to-destination 192.168.10.80
iptables -t nat -A PREROUTING -p tcp --dport 8090 -s 0/0 -d 201.XXX.XXX.XXX -j DNAT --to-destination 192.168.10.80
iptables -t nat -A PREROUTING -p tcp --dport 5900 -s 0/0 -d 201.XXX.XXX.XXX -j DNAT --to-destination 192.168.10.80

#-----------------------------------------------------------------------------------------
#Outras configurações
#-----------------------------------------------------------------------------------------

# Ignora pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Protecao ra IP spoofing
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

# Protecao ra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP

# Protecoes diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A INPUT -m state --state INVALID -j DROP

# Abre para a interface de loopback.
# Esta regra sao sencial para o KDE e outros programas gracos funcionarem adequadamente.
iptables -A INPUT -i lo -j ACCEPT

# Fecha as portas udp de 1 a 1024
iptables -A INPUT -p udp --dport 1:1024 -j DROP
iptables -A INPUT -p udp --dport 59229 -j DROP

iptables -A INPUT -p tcp --syn -j DROP
#-----------------------------------------------------------------------------------------
#FIM
#-----------------------------------------------------------------------------------------

Bem como falei é bem simples, pois eu só uso para conectar meu servidor de mensagens e umas outras coisinha simples também.

Bem valeu mesmo pela ajuda, se precisar é só contar ae!!

Abraços