Iptables (Firewall)
Categoria: Segurança
Software: Iptables
[ Hits: 17.477 ]
Por: paulo
Galera vou descrever como solucionei meu problema com Firewall.
Este script foi elaborado com ajuda de alguns outros membros aqui do Viva o Linux.
Usei-o no slackware 10.2, 11 e 12, tendo sucesso em todos eles.
Meu problema surgiu quando queria um Firewall que suprisse minhas necessidades e fosse de fácil manutenção, como o firewall do OPENBSD, por exemplo:
1) Edite o arquivo de configuração
vi /etc/rc.d/rc.firewall
e depois dê permissão para que ele execute
chmod +x /etc/rc.d/rc.firewall
#!/bin/bash ## VARIÁVEIS QUE VÃO CONTROLAR AS INTERFACES DE ENTRADA E SAÍDA echo "CARREGANDO FIREWALL" echo -n "LIMPANDO TUDO........................." INTERNET="eth0" REDE_INTERNA="eth1" ## PORTA PARA INPUT E OUTPUT DE SERVIÇOS ( liberadas ) TCP_PORT="443,80,3128,20,21,1863,33434,25,110,6088,2631,5900,4899,1449" UDP_PORT="80,443,53,25,110,60712" VNC="5900" RADMIN="4899" EMULE_TCP="6088" EMULE_UDP="60712" #CAIXA_PORT="2631" #VPN="1723" ## CONECTIVIDADE SOCIAL #BANCO_BRASIL=200.200.200.200 #BANCO_CENTRAL=200.200.200.201 CAIXA_01="200.201.174.204" CAIXA_02="200.201.174.207" ## PORTA PARA INPUT E OUTPUT DE SERVIÇOS ( bloqueio ) SAMBA_PORT="137,138,139" ### Carregando os modulos ### fazer NAT de forma que haja compartilhamento na conexao /sbin/modprobe iptable_nat ### resolvendo problema com ftp /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp ### utlizado nas opções que geram log. /sbin/modprobe ipt_LOG /sbin/modprobe ipt_REJECT /sbin/modprobe ipt_MASQUERADE ### Zerar regras iptables -F iptables -X iptables -F -t nat iptables -X -t nat iptables -F -t mangle iptables -X -t mangle iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT DROP iptables -t filter -P FORWARD DROP echo "[OK]" echo -n "ACEITANDO POLÍTICAS..................." #### Filtros - DROP nos pacotes TCP indesejáveis iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FIREWALL: NEW sem syn: " iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP ## Drop proxy #iptables -A INPUT -s 192.168.0.0/24 -d 165.228.132.10 -j DROP #iptables -A OUTPUT -d 192.168.0.0/24 -s 165.228.132.10 -j DROP #iptables -A FORWARD -s 192.168.0.0/24 -d 165.228.132.10 -j DROP #iptables -A FORWARD -d 192.168.0.0/24 -s 165.228.132.10 -j DROP #### ACCEPT (libera) pacotes de retorno da internet iptables -A INPUT -i ! $INTERNET -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT ### Fechando as portas do samba, caso o servidor samba fique de cara para a internet. iptables -A INPUT -p tcp -s 0/0 -m multiport --dport $SAMBA_PORT -j REJECT iptables -A INPUT -p udp -s 0/0 -m multiport --dport $SAMBA_PORT -j REJECT ### Abrindo as portas do Samba só pra rede Interna iptables -A INPUT -p tcp -i $REDE_INTERNA -m multiport --dport $SAMBA_PORT -j ACCEPT iptables -A INPUT -p udp -i $REDE_INTERNA -m multiport --dport $SAMBA_PORT -j ACCEPT iptables -A INPUT -p tcp -i $REDE_INTERNA --destination-port 139 -j ACCEPT iptables -A INPUT -p udp -i $REDE_INTERNA --destination-port 139 -j ACCEPT echo "[OK]" echo -n "LIBERAR ENTRADA......................." ### Permitir conexão vinda da minha rede interna:" que vem de dentro e quer sair" via vnc, ssh (putty), vpn iptables -A INPUT -p tcp -s 0/0 -m multiport --dport $TCP_PORT -j ACCEPT iptables -A OUTPUT -p tcp -d 0/0 -m multiport --sport $TCP_PORT -j ACCEPT iptables -A INPUT -p udp -s 0/0 -m multiport --dport $UDP_PORT -j ACCEPT iptables -A OUTPUT -p udp -d 0/0 -m multiport --sport $UDP_PORT -j ACCEPT # E-MAIL ENVIAR E RECEBER #iptables -A INPUT -p tcp -s 192.168.0.10 --dport 25 -j ACCEPT #iptables -A OUTPUT -p tcp -d 192.168.0.10 --sport 25 -j ACCEPT #iptables -A INPUT -p tcp -s 192.168.0.10 --dport 110 -j ACCEPT #iptables -A OUTPUT -p tcp -d 192.168.0.10 --sport 110 -j ACCEPT #iptables -A INPUT -p 47 -s 0/0 -j ACCEPT #iptables -A OUTPUT -p 47 -d 0/0 -j ACCEPT iptables -A INPUT -p tcp -s 192.168.0.94 -d $CAIXA_01 -j ACCEPT iptables -A OUTPUT -p tcp -d $CAIXA_01 -s 192.168.0.94 -j ACCEPT iptables -A INPUT -p tcp -s 192.168.0.94 -d $CAIXA_02 -j ACCEPT iptables -A OUTPUT -p tcp -d $CAIXA_02 -s 192.168.0.94 -j ACCEPT #iptables -A INPUT -p tcp -s 192.168.0.0/24 -d $BANCO_BRASIL -j ACCEPT #iptables -A OUTPUT -p tcp -d $BANCO_BRASIL -s 192.168.0.0/24 -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p icmp -j ACCEPT iptables -A OUTPUT -p icmp -j ACCEPT iptables -A FORWARD -p icmp -j ACCEPT echo "[OK]" echo -n "NAT INTERNO..........................." ### Redireciona portas para a máquina WinXP ### VNC iptables -A FORWARD -i $REDE_INTERNA -o $REDE_INTERNA -p tcp --dport $VNC -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $INTERNET -o $INTERNET -p tcp --dport $VNC -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $INTERNET -o $REDE_INTERNA -p tcp --dport $VNC -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $REDE_INTERNA -o $INTERNET -p tcp --dport $VNC -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i $INTERNET --dport $VNC -j DNAT --to 192.168.0.50:5900 #iptables -t nat -A PREROUTING -p tcp -i $INTERNET -m multiport --dport $VNC -j DNAT --to 192.168.0.95:5800 ### RADMIN iptables -A FORWARD -i $REDE_INTERNA -o $REDE_INTERNA -p tcp --dport $RADMIN -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $INTERNET -o $INTERNET -p tcp --dport $RADMIN -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $REDE_INTERNA -o $INTERNET -p tcp --dport $RADMIN -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $INTERNET -o $REDE_INTERNA -p tcp --dport $RADMIN -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i $INTERNET --dport $RADMIN -j DNAT --to 192.168.0.50:4899 ### EMULE iptables -A FORWARD -i $REDE_INTERNA -o $REDE_INTERNA -p tcp --dport $EMULE_TCP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $INTERNET -o $INTERNET -p tcp --dport $EMULE_TCP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $REDE_INTERNA -o $INTERNET -p tcp --dport $EMULE_TCP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $INTERNET -o $REDE_INTERNA -p tcp --dport $EMULE_TCP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i $INTERNET --dport $EMULE_TCP -j DNAT --to 192.168.0.86:6088 iptables -A FORWARD -i $REDE_INTERNA -o $REDE_INTERNA -p tcp --dport $EMULE_UDP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $INTERNET -o $INTERNET -p tcp --dport $EMULE_UDP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $REDE_INTERNA -o $INTERNET -p tcp --dport $EMULE_UDP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $INTERNET -o $REDE_INTERNA -p tcp --dport $EMULE_UDP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i $INTERNET --dport $EMULE_UDP -j DNAT --to 192.168.0.86:60712 ### VPN #iptables -A FORWARD -i $REDE_INTERNA -o $REDE_INTERNA -p tcp --dport $VPN -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #iptables -A FORWARD -i $INTERNET -o $INTERNET -p tcp --dport $VPN -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #iptables -A FORWARD -i $REDE_INTERNA -o $INTERNET -p tcp --dport $VPN -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #iptables -A FORWARD -i $INTERNET -o $REDE_INTERNA -p tcp --dport $VPN -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #iptables -t nat -A PREROUTING -p tcp -i $INTERNET --dport $VPN -j DNAT --to 192.168.0.10:1723 echo "[OK]" echo -n "CONECTIVIDADE SOCIAL.................." # BANCO_BRASIL #iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d $BANCO_BRASIL -j ACCEPT #iptables -A FORWARD -p tcp -d 192.168.0.0/24 -s $BANCO_BRASIL -j ACCEPT # BANCO_CENTRAL #iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d $BANCO_CENTRAL -j ACCEPT #iptables -A FORWARD -p tcp -d 192.168.0.0/24 -s $BANCO_CENTRAL -j ACCEPT #iptables -A INPUT -s 192.168.0.0/24 -d 165.228.132.10 -j DROP #iptables -A OUTPUT -d 192.168.0.0/24 -s 165.228.132.10 -j DROP #iptables -A FORWARD -s 192.168.0.0/24 -d 165.228.132.10 -j DROP #iptables -A FORWARD -d 192.168.0.0/24 -s 165.228.132.10 -j DROP # Conectividade Social #iptables -A FORWARD -i $REDE_INTERNA -o $REDE_INTERNA -p tcp --dport $CAIXA_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #iptables -A FORWARD -i $INTERNET -o $INTERNET -p tcp --dport $CAIXA_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #iptables -A FORWARD -i $REDE_INTERNA -o $INTERNET -p tcp --dport $CAIXA_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #iptables -A FORWARD -i $INTERNET -o $REDE_INTERNA -p tcp --dport $CAIXA_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #iptables -t nat -A PREROUTING -p tcp -i $INTERNET --dport $CAIXA_PORT -j DNAT --to 192.168.0.94:2631 # CAIXA # iptables -A FORWARD -p tcp -s 192.168.0.94 -d $CAIXA_01 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s 192.168.0.94 -d $CAIXA_02 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s 192.168.0.94 -d $CAIXA_01 --dport 2631 -j ACCEPT iptables -A FORWARD -p tcp -s 192.168.0.94 -d $CAIXA_02 --dport 2631 -j ACCEPT # CAIXA #iptables -t nat -A PREROUTING -i $REDE_INTERNA -d $CAIXA -j ACCEPT echo "[OK]" echo -n "INTERNET OK..........................." ### redireciona o trafego da porta 80 para 3128, execeto a estacao ### com IP 192.168.0.99 pq nessa maquina vai roda o servidor VPN iptables -t nat -A PREROUTING -i $REDE_INTERNA -s \! 192.168.0.10 -p tcp -m multiport --dport 80,443 -j REDIRECT --to-ports 3128 iptables -t nat -A PREROUTING -s 192.168.0.10 -d 0.0.0.0/0 -j ACCEPT ### NAT para a rede interna " liberar internet para rede interna" iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE ### Ativando o Roteamento echo "1" > /proc/sys/net/ipv4/ip_forward echo "[OK]" echo "FIREWALL CARREGADO"
Comentários
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Atenção a quem posta conteúdo de dicas, scripts e tal (1)
Artigos
Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
Dicas
Como Atualizar Fedora 39 para 40
Instalar Google Chrome no Debian e derivados
Consertando o erro do Sushi e Wayland no Opensuse Leap 15
Instalar a última versão do PostgreSQL no Lunix mantendo atualizado
Flathub na sua distribuição Linux e comandos básicos de gerenciamento
Tópicos
erro ao clonar repo github (1)
Quais Shell Scripts vocês usam? (15)
Como adicionar módulo de saúde da bateria dos notebooks Acer ao kernel... (22)
Top 10 do mês
-
Xerxes
1° lugar - 72.007 pts -
Fábio Berbert de Paula
2° lugar - 57.488 pts -
Clodoaldo Santos
3° lugar - 45.318 pts -
Buckminster
4° lugar - 26.374 pts -
Sidnei Serra
5° lugar - 26.196 pts -
Daniel Lara Souza
6° lugar - 17.613 pts -
Mauricio Ferrari
7° lugar - 17.213 pts -
Alberto Federman Neto.
8° lugar - 17.148 pts -
Diego Mendes Rodrigues
9° lugar - 15.268 pts -
edps
10° lugar - 14.500 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
