Firewall Libera tudo!!!....
1. Firewall Libera tudo!!!....
thiagomgt
(usa Debian)
Enviado em 02/06/2008 - 09:45h
Bom dia galera, preciso urgente da ajuda de você. Bom instalei um servidor com o Kurumin 7. O firewall e o squid estão funcionando normalmente, porém o kurumin tem uma rotina que ativa o ativa o redirecionamento da porta 80 para o squid e o compartilhamento automaticamente. Dessa forma no meu firewall não tem a regra de redirecionamento para o squid.. já roda ao iniciar o pc. Porém, estou com o seguinte problema:Preciso colocar a regra para não direcionar para o squid a conexao com o site da CAIXA. Tentei só colocar no meu firewall:
iptables -t nat -A PREROUTING -i eth0 -d ! 201.200.0.0/16 -p tcp --dport 80 -j REDIRECT --to- ports 3128
Porém, acredito que como a outra regra roda primeiro, mesmo eu colocando essa não passa.
Tentei também ao iniciar o firewall limpar a regra de nat e depois colocar a minha:
iptables -t nat -X
iptables -t nat -F
iptables -t nat -Z
iptables -t nat -A PREROUTING -i eth0 -d ! 201.200.0.0/16 -p tcp --dport 80 -j REDIRECT --to-ports 3128
Porém, nesse caso, nenhum site abre..............., n redireciona para o squid....
FIREWALL:
#!/bin/bash
#########################
# Variaveis do firewall #
#########################
CAIXA="200.201.174.207"
CAIXA2="200.201.173.68"
LAN="eth0"
WAN="eth1"
DIR="/etc/firewall"
CAT="/bin/cat"
ECHO="/bin/echo"
BLOCKALL="ips_block_all"
ALLOWALL="ips_allow_all"
###########################
### INICIO DO FIREWALL ####
###########################
firewall_start(){
iptables -t nat -A PREROUTING -i eth0 -d ! 200.201.0.0/16 -p tcp --dport 80 -j REDIRECT --to-ports 3128
# Bloq de MSN
iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp --dport 1863 -j LOG --log-prefix "FIREWALL MSN: "
iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -p tcp --dport 1080 -j DROP
iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp --dport 1080 -j REJECT
# ACESSO SSH
iptables -A INPUT -p tcp --syn --dport 22 -j LOG --log-prefix "FIREWALL SSH: "
iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
# Redirecionar para o servidor WINDOWS
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 3389 -j LOG --log-prefix "FIREWALL TERMINAL: "
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 3389 -j DNAT --to 192.168.0.2
iptables -t nat -A POSTROUTING -d 192.168.0.2 -j SNAT --to 192.168.0.1
# Redirecionar para o servidor Web
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j DNAT --to 192.168.0.3
iptables -t nat -A POSTROUTING -d 192.168.0.3 -j SNAT --to 192.168.0.1
# Redirecionar VNC
iptables -A INPUT -p tcp --dport 5900 -j LOG --log-prefix "FIREWALL VNC: "
iptables -A INPUT -p tcp --dport 5900 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5900 -j DNAT --to 192.168.0.27
iptables -t nat -A POSTROUTING -d 192.168.0.27 -j SNAT --to 192.168.0.1
###############################
## REGRA PARA BLOQUEIO TOTAL ##
###############################
for n in `$CAT $DIR/$BLOCKALL`
do
iptables -A FORWARD -s $n -j DROP
iptables -A FORWARD -d $n -j DROP
done
#####################
## Fim bloq. Total ##
#####################
########################
## REGRA ACESSO TOTAL ##
########################
for n in `$CAT $DIR/$ALLOWALL`
do
iptables -A FORWARD -s $n -m state --state NEW -j ACCEPT
iptables -A FORWARD -d $n -m state --state NEW -j ACCEPT
done
####################
# Fim acesso total #
####################
#### ACESSOS PRIMARIOS #######
iptables -A INPUT -p tcp --dport 21 -j ACCEPT #FTP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT #SSH
iptables -A INPUT -p tcp --dport 53 -j ACCEPT #DNS
iptables -A INPUT -p udp --dport 53 -j ACCEPT #DNS
iptables -A INPUT -p tcp --dport 587 -j ACCEPT #SMTP
iptables -A INPUT -p tcp --dport 110 -j ACCEPT #POP
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT #APACHE
### ACESSO DA LAN ##############
iptables -A INPUT -i $LAN -p tcp --dport 3128 --syn -j ACCEPT #SQID
iptables -A INPUT -i $LAN -p tcp --dport 25 -j ACCEPT #EMAIL
iptables -A INPUT -i $LAN -p tcp --dport 587 -j ACCEPT #localweb
iptables -A INPUT -i $LAN -p tcp --dport 110 -j ACCEPT #localweb
iptables -A INPUT -i $LAN -p tcp --dport 8080 -j ACCEPT #APACHE
iptables -A INPUT -i $LAN -p tcp --dport 443 -j ACCEPT #HTTPS
iptables -A INPUT -i $LAN -p tcp --dport 5017 -j ACCEPT #CAT
iptables -A INPUT -i $LAN -p tcp --dport 5017 --syn -j ACCEPT #CAT
iptables -A FORWARD -i $LAN -p tcp --dport 5017 --syn -j ACCEPT #CAT
# Ignora pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Proteção contra IP spoofing
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
# Proteção contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP
# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A INPUT -m state --state INVALID -j DROP
# Abre para a interface de loopback.
# Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
iptables -A INPUT -i lo -j ACCEPT
# Esta regra é o coração do firewall do Kurumin,
# ela bloqueia qualquer conexão que não tenha sido permitida acima, justamente por isso ela é a última da cadeia.
iptables -A INPUT -p tcp --syn -j DROP
echo "O Kurumin Firewall está sendo carregado..."
sleep 1
echo "Tudo pronto!"
sleep 1
}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
}
case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "O kurumin-firewall está sendo desativado"
sleep 2
echo "ok."
;;
"restart")
echo "O kurumin-firewall está sendo desativado"
sleep 1
echo "ok."
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac
Alguem poderia me ajudar... por favor....
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
