Firewall Roteador com Debian 8 [RESOLVIDO]
1. Firewall Roteador com Debian 8 [RESOLVIDO]
helionney
(usa Mandriva)
Enviado em 16/11/2016 - 16:27h
Amigos, sei que existem vários tópicos aqui à respeito do assunto, mas já li vários e não estou conseguindo fazer funcionar meu firewall. O cenário é o seguinte: Tenho um Link que chega até uma RB e nessa RB é criada outras 3 redes, quero colocar um firewall com iptables para fazer o trabalho de compartilhamento mas não estou conseguindo, tenho 4 placas d rede no SRV, eth0 = 192.168.2.0/24 é onde chega a internet e,no, /etc/network/interfaces está assim: iface eth0 inet staticaddress 192.168.2.2
netmask 255.255.255.0
gateway 192.168.2.1
iface eth1 inet static
address 192.168.4.2
netmask 255.255.255.0
# gateway 192.168.4.1
Configurei uma máquina com o ip 192.168.4.26 para testar, mas não consigo nem pingar nela, já adicionei rota e nada.
O meu arquivo de firewall está assim :
#!/bin/bash
#firewall
function definindo_variaveis
{
#
#DEFININDO VARIAVEIS
#
IPTABLES=/sbin/iptables
prog=firewall
#numero do ip com mascara 24 refere-se a rede.
#numero do ip com mascara 32 refere-se ao servidor.
#numero do ip com mascara 0/0 refere-se todos os ip de todas as redes.
#Endereco ip das interfaces.
LO_IP="127.0.0.1";
ETH0_IP="192.168.2.2";
ETH1_IP="192.168.4.2";
#ETH11_IP="186.216.160.74";
#ETH11_IP="10.10.171.200";
#Interfaces.
IFACE_LO="lo";
IFACE_ETH0="eth0";
IFACE_ETH1="eth1";
#Redes.
INTERNET="0.0.0.0/0";
ETH0_NET="192.168.2.0/24";
ETH1_NET="192.168.4.0/24";
#ETH11_NET="10.10.171.0/30";
}
#Protegendo o kernel contra solicitacoes de virus, a tabela arp ficara gigante
#e causara (Neighbour table overflow)
function carga_arp
{
echo 16384 > /proc/sys/net/ipv4/neigh/default/gc_thresh1
echo 32768 > /proc/sys/net/ipv4/neigh/default/gc_thresh2
echo 65535 > /proc/sys/net/ipv4/neigh/default/gc_thresh3
}
function status
{
IPTABLES=/sbin/iptables
prog=firewall
echo "Status do $proc:"
$IPTABLES -L
$IPTABLES -L -t nat
$IPTABLES -L -t mangle
}
function checa_modulos
{
/sbin/depmod -a
}
function chama_modulos
{
#Levanta os modulos do kernel, responsaveis pelo iptables, nat e nat em conexoes ftp.
#Modulos necessarios.
#Verificar cada um.
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe iptable_filter
modprobe iptable_mangle
modprobe ipt_LOG
modprobe ipt_limit
modprobe ipt_state
}
function configura_proc
{
#habilita o forward do kernel
#Esta funcao ja esta habilitada no script roteador
echo 1 > /proc/sys/net/ipv4/ip_forward
#Protecao contra ICMP Broadcasting:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#Esta funcao habilita o maximo de dados pelo servidor.
#Isso inibe a queda do mesmo.
#Tabela de alocacao.
#16MBs = 1024.
#32MBs = 2048.
#64MBs = 4096.
#128MBs = 8192.
#256MBs = 16384.
#384MBs = 24576.
#512MBs = 32768.
#1000MBs= 65536.
if [ -f /proc/sys/net/ipv4/ip_conntrack_max ]; then
echo 65536 > /proc/sys/net/ipv4/ip_conntrack_max
fi
#evitando ip-spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
fi
#Protejendo contra cookies
if [ -e /proc/sys/net/ipv4/tcp_syncoohies ]; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi
#ativando o kernel para ip dinamico
if [ -e /proc/sys/net/ipv4/ip_dynaddr ]; then
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
fi
}
function limpa_regras
{
#limpando as regras
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
}
function politicas
{
#
#definindo as politicas (padrao) utilizada pelo firewall
#
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
}
function cria_regras
{
$IPTABLES -N PKTRUI
$IPTABLES -N PKTPER
$IPTABLES -N PKTICM
}
function configura_regras
{
#
#Analise de pacotes tcp nao permitidos.
#
#Adicionei os logs nos pacotes, para gerar relatorios de tentativas de invasao.
#Pacotes adulterados com syn = 1 e ack =1, em uma nova conexao.
#parando os logs.
#$IPTABLES -A PKTRUI -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j LOG --log-level DEBUG --log-prefix "Pacote (Rg01) Adulterado: "
$IPTABLES -A PKTRUI -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
#Mesma regra na analise a regra anterior e mais efeciente,
#e a proxima e mas casca de pescoso barra tudo, nao interessa se e nova conexao
#ou estabelecida.
#$IPTABLES -A PKTRUI --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
#Pacotes adulterados com syn = 0, em uma nova conexao.
#parando os logs.
#$IPTABLES -A PKTRUI -p tcp ! --syn -m state --state NEW -j LOG --log-level DEBUG --log-prefix "Pacote (Rg02) Adulterado: "
$IPTABLES -A PKTRUI -p tcp ! --syn -m state --state NEW -j DROP
#Anti Anomalias de Pacotes.
#$IPTABLES -A PKTRUI -m unclean -j LOG --log-level DEBUG --log-prefix "Pacote (Rg03) Adulterado: "
#$IPTABLES -A PKTRUI -p tcp -m unclean -j DROP
#$IPTABLES -A PKTRUI -m unclean -j DROP
#
#Modifiquei essas regras adicionando o fragmento (-m state --state NEW).
#Para que o firewall ficasse mas eficiente.
#Pacotes adulterados com fin=1, urg=1, psh=1, em uma nova conexao.
#parando os logs.
#$IPTABLES -A PKTRUI -p tcp --tcp-flags ALL FIN,URG,PSH -m state --state NEW -j LOG --log-level DEBUG --log-prefix "Pacote (Rg04) Adulterado: "
$IPTABLES -A PKTRUI -p tcp --tcp-flags ALL FIN,URG,PSH -m state --state NEW -j DROP
#Pacotes adulterados com syn=1, rst=1, ack=1, fin=1, urg=1, em uma nova conexao.
#parando os logs.
#$IPTABLES -A PKTRUI -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m state --state NEW -j LOG --log-level DEBUG --log-prefix "Pacote (Rg05) Adulterado: "
$IPTABLES -A PKTRUI -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m state --state NEW -j DROP
#Pacotes adulterados com todos os flasgs setados em 1, em uma nova conexao.
#parando os logs.
#$IPTABLES -A PKTRUI -p tcp --tcp-flags ALL ALL -m state --state NEW -j LOG --log-level DEBUG --log-prefix "Pacote (Rg06) Adulterado: "
$IPTABLES -A PKTRUI -p tcp --tcp-flags ALL ALL -m state --state NEW -j DROP
#Pacotes adulterados com fin=1, em uma nova conexao.
#parando os logs.
#$IPTABLES -A PKTRUI -p tcp --tcp-flags ALL FIN -m state --state NEW -j LOG --log-level DEBUG --log-prefix "Pacote (Rg07) Adulterado: "
$IPTABLES -A PKTRUI -p tcp --tcp-flags ALL FIN -m state --state NEW -j DROP
#Pacotes adulterados com syn=1, rst=1, em uma nova conexao.
#parando os logs.
#$IPTABLES -A PKTRUI -p tcp --tcp-flags SYN,RST SYN,RST -m state --state NEW -j LOG --log-level DEBUG --log-prefix "Pacote (Rg08) Adulterado: "
$IPTABLES -A PKTRUI -p tcp --tcp-flags SYN,RST SYN,RST -m state --state NEW -j DROP
#Pacotes adulterados com syn=1, fin=1, em uma nova conexao.
#parando os logs.
#$IPTABLES -A PKTRUI -p tcp --tcp-flags SYN,FIN SYN,FIN -m state --state NEW -j LOG --log-level DEBUG --log-prefix "Pacote (Rg09) Adulterado: "
$IPTABLES -A PKTRUI -p tcp --tcp-flags SYN,FIN SYN,FIN -m state --state NEW -j DROP
#Pacotes adulterados com flag que nao existe, em uma nova conexao
#parando os logs.
#$IPTABLES -A PKTRUI -p tcp --tcp-flags ALL NONE -m state --state NEW -j LOG --log-level DEBUG --log-prefix "Pacote (Rg10) Adulterado: "
$IPTABLES -A PKTRUI -p tcp --tcp-flags ALL NONE -m state --state NEW -j DROP
#
#Analise de pacotes tcp permitidos.
#
#Anti Syn-flood
#Sequencia de pacotes com mais de uma chamada.
$IPTABLES -A PKTPER -p tcp -m limit --limit 1/s -j ACCEPT
#Antin NMap-Port scanning.
#Sequencia de pacotes enviados do programa nmap, que varre conexoes ativas.
$IPTABLES -A PKTPER -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#Pacotes permitos
$IPTABLES -A PKTPER -p tcp --syn -j ACCEPT
$IPTABLES -A PKTPER -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A PKTPER -p tcp -j DROP
#Ping da Morte.
#Sequencia de pacotes ping, que sobrecarregar as conexoes com o servidor.
$IPTABLES -A PKTICM -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#Pacotes icmp permitidos
$IPTABLES -A PKTICM -p icmp -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A PKTICM -p icmp -s 0/0 --icmp-type 11 -j ACCEPT
}
function configura_saida_fw
{
#Eliminando intrusos.
$IPTABLES -A OUTPUT -p tcp -j PKTRUI
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $ETH0_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $ETH1_IP -j ACCEPT
# $IPTABLES -A OUTPUT -p ALL -s $ETH11_IP -j ACCEPT
#Log dos pacotes de saida que nao restornaram.
#parando os logs.
#$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "Pacote de saida morto: "
}
function configura_entrada_fw
{
#Eliminando intrusos
$IPTABLES -A INPUT -p tcp -j PKTRUI
#Permitindo pacotes que vem pela interface lo para os ips das interfaces
$IPTABLES -A INPUT -p ALL -i $IFACE_LO -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $IFACE_LO -s $ETH0_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $IFACE_LO -s $ETH1_IP -j ACCEPT
# $IPTABLES -A INPUT -p ALL -i $IFACE_LO -s $ETH11_IP -j ACCEPT
#Tratando os servicos na interface eth0 (rede interna)
#Priorizando navegacao.
#$IPTABLES -t mangle -A PREROUTING -p tcp -d 0/0 --dport 80 -j TOS --set-tos 16
# $IPTABLES -A INPUT -s 192.168.4.0/24 -j DROP
#Permitindo pacotes icmp.
$IPTABLES -A INPUT -p icmp -i $IFACE_ETH0 -s $ETH0_NET -j PKTICM
#$IPTABLES -A INPUT -p icmp -i $IFACE_ETH0 -s 172.16.11.0 -j PKTICM
#Permitindo conexoes ssh.
# $IPTABLES -A INPUT -p tcp -i $IFACE_ETH0 -s $ETH0_NET --dport 41075 -j ACCEPT
#Servidor de proxy.
# $iptables -A INPUT -i 192.168.4.0/254 -p tcp --dport 3128 -j ACCEPT
# iptables -t nat -A PREROUTING -i $IFACE_ETH0 -p tcp --dport 80 -j REDIRECT --to-port 3128
# $IPTABLES -A INPUT -p tcp -d $ETH0_IP --dport 3128 -j ACCEPT
# $IPTABLES -A INPUT -p tcp -i $IFACE_ETH0 -s 192.168.4.254 --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $IFACE_ETH0 -s 192.168.2.0/24 --dport 3128 -j ACCEPT
#Servidor de web.
$IPTABLES -A INPUT -p tcp -i $IFACE_ETH0 -s $ETH0_NET --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $IFACE_ETH0 -s 192.168.2.0/24 --dport 80 -j ACCEPT
#Libera conexao VPN
#Regras adicionadas em carater temporario para acesso das redes na nuvem VPN
#######
#Permitindo pacotes icmp.
$IPTABLES -A INPUT -p icmp -i $IFACE_ETH0 -s 192.168.2.0/24 -j PKTICM
#$IPTABLES -A INPUT -p icmp -i $IFACE_ETH0 -s 172.16.0.0/16 -j PKTICM
# $IPTABLES -A INPUT -p icmp -i $IFACE_ETH0 -s 172.16.11.0/24 -j PKTICM
$IPTABLES -A INPUT -p icmp -i $IFACE_ETH0 -s 192.168.4.0/24 -j PKTICM
#Permitindo conexoes ssh.
#$IPTABLES -A INPUT -p tcp -i $IFACE_ETH0 -s 172.16.0.0/16 --dport 41075 -j ACCEPT
# $IPTABLES -A INPUT -p tcp -i $IFACE_ETH0 -s 192.168.4.0/24 --dport 137:139 -j ACCEPT
# $IPTABLES -A INPUT -p tcp -i $IFACE_ETH0 -s 192.168.8.0/24 --dport 41075 -j ACCEPT
#Servidor de proxy.
#$IPTABLES -A INPUT -p tcp -i $IFACE_ETH0 -s 172.16.0.0/16 --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $IFACE_ETH0 -s 192.168.4.0/24 --dport 3128 -j ACCEPT
# $IPTABLES -A INPUT -p tcp -i $IFACE_ETH0 -s 192.168.10.0/24 --dport 3128 -j ACCEPT
# $IPTABLES -A INPUT -p tcp -i $IFACE_ETH0 -s 192.168.8.0/24 --dport 3128 -j ACCEPT
#Servidor de web.
#$IPTABLES -A INPUT -p tcp -i $IFACE_ETH0 -s 172.16.0.0/16 --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $IFACE_ETH0 -s 192.168.2.0/24 --dport 80 -j ACCEPT
# $IPTABLES -A INPUT -p tcp -i $IFACE_ETH0 -s 192.168.10.0/24 --dport 80 -j ACCEPT
# $IPTABLES -A INPUT -p tcp -i $IFACE_ETH0 -s 192.168.8.0/24 --dport 80 -j ACCEPT
#Tratando os servicos na interface eth1 (rede internet vctelecom)
#Permitindo pacotes icmp.
$IPTABLES -A INPUT -p icmp -i $IFACE_ETH1 -s $ETH1_NET -j PKTICM
#$IPTABLES -A INPUT -p icmp -i $IFACE_ETH1 -s $INTERNET -j PKTICM
#Permitindo pacotes tcp para conexoes ssh, somente para rede interna
$IPTABLES -A INPUT -p tcp -i $IFACE_ETH0 -s $ETH0_NET --dport 22 -j ACCEPT
#$IPTABLES -A INPUT -p tcp -i $IFACE_ETH1 -s $INTERNET --dport 41075 -j ACCEPT
#Redirecionar para siaweb e scpiweb.
# $IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH1 -d 186.216.160.78 --dport 5601 -j DNAT --to-destination 192.168.0.252:5601
# $IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH0 -d 186.216.160.78 --dport 5601 -j DNAT --to-destination 192.168.0.252:5601
#Redirecionar para issweb.
# $IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH1 -d 186.216.160.78 --dport 8080 -j DNAT --to-destination 192.168.0.252:8080
# $IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH0 -d 186.216.160.78 --dport 8080 -j DNAT --to-destination 192.168.0.252:8080
#Liberando acesso Spark
# $IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH1 -d 186.216.160.78 --dport 5222:5223 -j DNAT --to-destination 192.168.0.42
# $IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH1 -d 186.216.160.78 --dport 5269 -j DNAT --to-destination 192.168.0.42
#Redirecionar para contra cheque.
#$IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH1 -d 186.216.160.78 --dport 8084 -j DNAT --to-destination 192.168.0.170:84
#
#Servicos do servidor apl intranet/internet.
#
#-----------------------------------------------------------------------------------------------------------------------------------
#Redirecionar para apl intranet ssh.
# $IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH1 -d 186.216.160.74 --dport 41075 -j DNAT --to-destination 192.168.0.1:41075
# $IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH0 -d 186.216.160.74 --dport 41075 -j DNAT --to-destination 192.168.0.1:41075
#Redirecionar para apl intranet http.
# $IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH1 -d 186.216.160.74 --dport 8099 -j DNAT --to-destination 192.168.0.1:80
# $IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH0 -d 186.216.160.74 --dport 8099 -j DNAT --to-destination 192.168.0.1:80
#Redirecionar para apl intranet ftp.
# $IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH1 -d 186.216.160.74 --dport 20 -j DNAT --to-destination 192.168.0.1:20
# $IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH1 -d 186.216.160.74 --dport 21 -j DNAT --to-destination 192.168.0.1:21
#-----------------------------------------------------------------------------------------------------------------------------------
#
#Servicos do servidor de banco de dados intranet/internet.
#
#-----------------------------------------------------------------------------------------------------------------------------------
#Redirecionar para banco dados intranet ssh.
# $IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH1 -d 186.216.160.74 --dport 31898 -j DNAT --to-destination 192.168.0.2:41075
#Redirecionar para banco dados intranet.
# $IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH1 -d 186.216.160.74 --dport 8090 -j DNAT --to-destination 192.168.0.2:80
# $IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH0 -d 186.216.160.74 --dport 8090 -j DNAT --to-destination 192.168.0.2:80
#Redirecionar para apl intranet ftp.
#$IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH1 -d 186.216.160.74 --dport 20 -j DNAT --to-destination 192.168.0.1:20
#$IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH1 -d 186.216.160.74 --dport 21 -j DNAT --to-destination 192.168.0.1:21
#-----------------------------------------------------------------------------------------------------------------------------------
#Liberando Rede Local para acessar Servidores Internos
# $IPTABLES -t nat -A OUTPUT -p tcp -d 186.216.160.78 --dport 5601 -j DNAT --to 192.168.0.252:5601
# $IPTABLES -t nat -A OUTPUT -p tcp -d 186.216.160.78 --dport 8080 -j DNAT --to 192.168.0.252:8080
# $IPTABLES -t nat -A OUTPUT -p tcp -d 186.216.160.74 --dport 8099 -j DNAT --to 192.168.0.1:80
# $IPTABLES -t nat -A OUTPUT -p tcp -d 186.216.160.74 --dport 8090 -j DNAT --to 192.168.0.2:80
# $IPTABLES -t nat -A OUTPUT -p tcp -d 186.216.160.78 --dport 8086 -j DNAT --to 192.168.0.17:86
# $IPTABLES -t nat -A OUTPUT -p tcp -d 186.216.160.78 --dport 8084 -j DNAT --to 192.168.0.170:84
#$IPTABLES -A OUTPUT -p tcp -d www.imo.im --dport 80 -j REJECT
#Redirecionar para protocoloweb.
# $IPTABLES -t nat -A PREROUTING -p tcp -i $IFACE_ETH1 -d 186.216.160.78 --dport 8086 -j DNAT --to-destination 192.168.0.17:86
#Permitindo toda conexao estabelecida que vem para o fw.
#O Pedro tinha razao o firewall obedece seguencia estruturada de execucao.
$IPTABLES -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
#Liberando range para FTP
#$IPTABLES -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#$IPTABLES -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
#$IPTABLES -A INPUT -i eth+ -s 0/0 -p tcp --dport 20:21 -m state --state NEW,ESTABLISHED -j ACCEPT
#$IPTABLES -A INPUT -i eth+ -s 0/0 -p tcp --sport 20:21 -m state --state ESTABLISHED -j ACCEPT
#Log dos pacotes de entrada que nao podem sair.
#parando os logs.
#$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "Pacote de entrada morto: "
}
function configura_passagem
{
#Eliminando intrusos
$IPTABLES -A FORWARD -p tcp -j PKTRUI
#Liberando portas especificas
#FTP
$IPTABLES -A FORWARD -p tcp --dport 20 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 21 -j ACCEPT
#Caixa
$IPTABLES -A FORWARD -p tcp --dport 2631 -j ACCEPT
#Receita
$IPTABLES -A FORWARD -p tcp --dport 3456 -j ACCEPT
#EdiItau
$IPTABLES -A FORWARD -p tcp --dport 11001 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 8676 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 10000 -j ACCEPT
#Regra adicionada em carater temporario para acesso das redes na nuvem VPN
#$IPTABLES -A FORWARD -s 172.16.0.0/16 -j ACCEPT
/etc/firewall/firewall.conf
#Retorno da internet.
$IPTABLES -A FORWARD -p ALL -o $IFACE_ETH0 -s $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT
#Log dos pacotes que passam pelo fw, que nao retornam.
#parando os logs.
#$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "Pacote de passagem morto: "
}
function configura_mascaramento
{
#Mascaramento de saida (nao possui paramentro -i interface).
# $IPTABLES -t nat -A POSTROUTING -p ALL -s $ETH0_NET -d $INTERNET -o $IFACE_ETH1 -j SNAT --to 192.168.4.254
# $IPTABLES -t nat -A POSTROUTING -p ALL -s $INTERNET -d $ETH0_NET -j SNAT --to 192.168.0.3
#$IPTABLES -t nat -A POSTROUTING -p ALL -s 192.168.0.252 --sport 5601 -j SNAT --to 186.216.160.78
#$IPTABLES -t nat -A POSTROUTING -p ALL -s $ETH0_NET -d $INTERNET -o $IFACE_ETH1 -j MASQUERADE
#$IPTABLES -t nat -A POSTROUTING -p ALL -s 172.16.0.0/16 -d $INTERNET -o $IFACE_ETH1 -j MASQUERADE
# $iptables -t nat -A PREROUTING -s 192.168.4.254 -p tcp --dport 80 -j ACCEPT
# $IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A POSTROUTING -p ALL -s 192.168.2.0/24 -d $INTERNET -o $IFACE_ETH0 -j MASQUERADE
# $IPTABLES -t nat -A POSTROUTING -p ALL -s 192.168.4.0/24 -d $INTERNET -o $IFACE_ETH1 -j MASQUERADE
#/etc/firewall.mask
}
function configura_redirecionamento
{
/etc/firewall/firewall.redirect
}
case "$1" in
start)
echo "Iniciando $proc:"
definindo_variaveis;
carga_arp;
checa_modulos;
chama_modulos;
configura_proc;
limpa_regras;
politicas;
cria_regras;
configura_regras;
configura_saida_fw;
configura_entrada_fw;
configura_passagem;
configura_mascaramento;
#configura_redirecionamento
;;
stop)
echo "Parando $proc:"
definindo_variaveis;
limpa_regras;
;;
restart)
echo "Reiniciando $proc:"
$0 stop
$0 start
echo
;;
status)
status
;;
*)
echo "Use: $0 {start|stop|restart|status}"
;;
esac
exit 0
Amigos desculpem-me por postar todo o conteúdo do arquivo, pois já não sei mais o que faço, gostaria de poder contar com à aluda de vocês.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
E a guerra contra bots continua
Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário
Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).
Dicas
Instalando o FreeOffice no LMDE 6
Anki: Remover Tags de Estilo HTML de Todas as Cartas
Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE
Tópicos
Não consigo acessar os modos de desempenho no mint 2.3 (0)
Criar link simbólico para cada linha de lista de arquivos (1)
Top 10 do mês
-
Xerxes
1° lugar - 68.676 pts -
Fábio Berbert de Paula
2° lugar - 56.953 pts -
Clodoaldo Santos
3° lugar - 42.243 pts -
Buckminster
4° lugar - 22.161 pts -
Sidnei Serra
5° lugar - 21.753 pts -
Alberto Federman Neto.
6° lugar - 17.032 pts -
Daniel Lara Souza
7° lugar - 16.957 pts -
Mauricio Ferrari
8° lugar - 16.869 pts -
Diego Mendes Rodrigues
9° lugar - 15.701 pts -
edps
10° lugar - 13.845 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
