Firewall: Teste no site www.grc.com nao funciona [Squid/Iptables]

BigField · 2013-11-03T17:48:19-02:00

Boa tarde a todos do VOL! Bom minha duvida e a seguinte! Montei um servidor com o debian 6, mas a função principal deste seria de ser um FIREWALL. Bom, servidor ele esta sendo muito bem...acesso a net por ele, pelas outras maquinas, e muito bem. Bom, sobre fornecer internet esta ótimo. Mas o problema esta sobre justamente o FIREWALL. Depois de todo o servidor configurado e rodando redondinho, fui fazer o teste neste site www.grc.com e nao consegui o selo de passed. As portas acusam estar todas fechadas - azul (menos mal), mas e claro que se nos fizemos um FIREWALL no Debian, nos queremos ficar invisíveis para o resto do mundo, né? Afinal e pra isso que serve o famoso FIREWALL, ou nao? Gostaria de passar para vocês, qual foi o tutorial que eu segui para subir este server, este aqui o: http://www.websolutti.com.br/artigos/fw_debian.pdf Então pessoal, agora que já sabem qual e a minha duvida e qual tutorial segui, gostaria que me ajudassem a conseguir a famosa Passed no site que descrevi. Deixo claro que segui e executei todos os passos no tutorial. Agradeço a todos que poderem me ajudar. Obrigado.

13. Re: Firewall: Teste no site www.grc.com nao funciona

Enviado em 04/11/2013 - 10:01h

saitam escreveu:

@BigField

Verifiquei no artigo que se baseou e notei que a política utilizada nas chains INPUT, OUTPUT e FORWARD estão em ACCEPT, ou seja, utilizando o default do Netfilter/Iptables.

O ideal seria estar em DROP nas chains INPUT, OUTPUT e FORWARD e liberar apenas as portas e protocolos em uso na sua rede local.

De uma lida neste post http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html e ao final tem um exemplo de script firewall na prática aplicando a teoria apresentada.

Exatamente a politica padrão esta tudo accept pelo menos o INPUT deve estar como DROP

14. Re: Firewall: Teste no site www.grc.com nao funciona

Enviado em 04/11/2013 - 13:49h

Saitam e André
Coloquei a entrada input como DROP e simplesmente a internet nao navegou nas maquinas.
Devo inserir alguma outra linha no script após DROPAR a entrada input, afim de fazer navegar?
Obrigado...

15. Re: Firewall: Teste no site www.grc.com nao funciona

Enviado em 04/11/2013 - 13:51h

BigField escreveu:

Saitam e André
Coloquei a entrada input como DROP e simplesmente a internet nao navegou nas maquinas.
Devo inserir alguma outra linha no script após DROPAR a entrada input, afim de fazer navegar?
Obrigado...

De uma lida neste post http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html e ao final tem um exemplo de script firewall na prática aplicando a teoria apresentada.

16. Re: Firewall: Teste no site www.grc.com nao funciona

Enviado em 04/11/2013 - 13:57h

BigField escreveu:

Saitam e André
Coloquei a entrada input como DROP e simplesmente a internet nao navegou nas maquinas.
Devo inserir alguma outra linha no script após DROPAR a entrada input, afim de fazer navegar?
Obrigado...

SIM! insira essas duas regras:

iptables -I INPUT 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT 1 -m conntrack --ctstate ESTABLISHED,RELATED,NEW -j ACCEPT

17. Re: Firewall: Teste no site www.grc.com nao funciona

Enviado em 04/11/2013 - 15:28h

Px, adicionei estas duas linhas que você mencionou e nao navegou... Precisei voltar para accept afim de ter internet.
Saitam, eu li o artigo todo e no final eu vi o script de modelo, mas nao sei como e que parte utilizar no meu. No meu caso, nao posso utilizar este script por inteiro, né, visto que no exemplo tem outras utilidades?
Agradeço novamente pelas ajudas...

18. Re: Firewall: Teste no site www.grc.com nao funciona

Enviado em 04/11/2013 - 16:09h

BigField escreveu:

Px, adicionei estas duas linhas que você mencionou e nao navegou... Precisei voltar para accept afim de ter internet.
Saitam, eu li o artigo todo e no final eu vi o script de modelo, mas nao sei como e que parte utilizar no meu. No meu caso, nao posso utilizar este script por inteiro, né, visto que no exemplo tem outras utilidades?
Agradeço novamente pelas ajudas...

Cara poste seu script de iptables (como já havia pedido...) para darmos uma olhada nas suas regras!

19. Re: Firewall: Teste no site www.grc.com nao funciona

Enviado em 04/11/2013 - 18:37h

#!/bin/bash
echo Inicializando regras do firewall sleep 0
IF_WAN=eth0 # INTERFACE DE SAIDA PARA INTERNET
LAN=192.168.0.0/24 # ENDEREÇO PARA REDE LOCAL LAN

# LIMPA REGRAS DO FIREWALL
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -t nat -F
echo "nameserver 127.0.0.1" > /etc/resolv.conf echo "nameserver 8.8.8.8" >> /etc/resolv.conf
echo "nameserver 8.8.4.4" >> /etc/resolv.conf

#ATIVA O SISTEMA DE ROTEAMENTO DE PACOTES
echo 1 > /proc/sys/net/ipv4/ip_forward

# ATIVA O MODO DE MASQUERADE
iptables -t nat -A POSTROUTING -o $IF_WAN -j MASQUERADE # Mascaramento de rede

# FORÇA A NAVEGACAO PELA PORTA 3128
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -s $LAN -j REDIRECT--to 3128 # Forca navegacao na 3128

#iptables -t nat -A PREROUTING -p tcp -s $LAN --dport 1863 -j DROP

# BLOQUEANDO SITE COM HTTPS
#cat /etc/squid/bloqueados/bloq_https | while read SITES; # do
# iptables -A FORWARD -p tcp -d $SITES -j ACCEPT # done

20. Re: Firewall: Teste no site www.grc.com nao funciona

Enviado em 04/11/2013 - 18:41h

Faço lembrar que assim navega na net.
Mas quando mudei a regra ACCEPT para DROP na INPUT a net nao navegou.
Alguém pode me dar uma luz VERDE? Rsrs...brincadeiras a parte...
Agradeço a todos.

21. Re: Firewall: Teste no site www.grc.com nao funciona

Enviado em 04/11/2013 - 18:42h

BigField escreveu:

#!/bin/bash
echo Inicializando regras do firewall sleep 0
IF_WAN=eth0 # INTERFACE DE SAIDA PARA INTERNET
LAN=192.168.0.0/24 # ENDEREÇO PARA REDE LOCAL LAN

# LIMPA REGRAS DO FIREWALL
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -t nat -F
echo "nameserver 127.0.0.1" > /etc/resolv.conf echo "nameserver 8.8.8.8" >> /etc/resolv.conf
echo "nameserver 8.8.4.4" >> /etc/resolv.conf

#ATIVA O SISTEMA DE ROTEAMENTO DE PACOTES
echo 1 > /proc/sys/net/ipv4/ip_forward

# ATIVA O MODO DE MASQUERADE
iptables -t nat -A POSTROUTING -o $IF_WAN -j MASQUERADE # Mascaramento de rede

# FORÇA A NAVEGACAO PELA PORTA 3128
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -s $LAN -j REDIRECT--to 3128 # Forca navegacao na 3128

#iptables -t nat -A PREROUTING -p tcp -s $LAN --dport 1863 -j DROP

# BLOQUEANDO SITE COM HTTPS
#cat /etc/squid/bloqueados/bloq_https | while read SITES; # do
# iptables -A FORWARD -p tcp -d $SITES -j ACCEPT # done

Vou dar uma traduzida nisso ai depois repasso pra cá KKK

22. Re: Firewall: Teste no site www.grc.com nao funciona

Enviado em 04/11/2013 - 18:51h

Tenta assim:

#!/bin/bash



IF_WAN=eth0 # INTERFACE DE SAIDA PARA INTERNET 

LAN=192.168.0.0/24 # ENDEREÇO PARA REDE LOCAL LAN



echo "Inicializando regras do firewall"



# limpando tabelas

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X



# Configurando as políticas padrões

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT



# Liberando conexões estabelecidas

iptables -I INPUT 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

iptables -I FORWARD 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT



# Name server

echo "nameserver 127.0.0.1" > /etc/resolv.conf 

echo "nameserver 8.8.8.8" >> /etc/resolv.conf

echo "nameserver 8.8.4.4" >> /etc/resolv.conf



# ATIVA O SISTEMA DE ROTEAMENTO DE PACOTES

echo 1 > /proc/sys/net/ipv4/ip_forward



# Desativando/ativando funções do kernel

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

echo 1 > /proc/sys/net/ipv4/tcp_syncookies



# ATIVA O MODO DE MASQUERADE

iptables -t nat -A POSTROUTING -o $IF_WAN -j MASQUERADE



# FORÇA A NAVEGACAO PELA PORTA 3128

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -s $LAN -j REDIRECT--to 3128



#iptables -t nat -A PREROUTING -p tcp -s $LAN --dport 1863 -j DROP



# BLOQUEANDO SITE COM HTTPS

#cat /etc/squid/bloqueados/bloq_https | while read SITES; # do

# iptables -A FORWARD -p tcp -d $SITES -j ACCEPT # done

23. Re: Firewall: Teste no site www.grc.com nao funciona

Enviado em 04/11/2013 - 18:56h

Alterei veja se agora funciona

BigField escreveu:



#!/bin/bash

echo Inicializando regras do firewall sleep 0

IF_WAN=eth0 # INTERFACE DE SAIDA PARA INTERNET 

LAN=192.168.0.0/24 # ENDEREÇO PARA REDE LOCAL LAN



# LIMPA REGRAS DO FIREWALL 

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT 

iptables -P FORWARD ACCEPT 

iptables -F

iptables -t nat -F

echo "nameserver 8.8.8.8" > /etc/resolv.conf

echo "nameserver 8.8.4.4" >> /etc/resolv.conf



#ATIVA O SISTEMA DE ROTEAMENTO DE PACOTES

echo 1 > /proc/sys/net/ipv4/ip_forward



/sbin/iptables -A INPUT -i eth1 -s $LAN -j ACCEPT

/sbin/iptables -A INPUT -i eth1 -m state --state NEW -j ACCEPT

/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT



# ATIVA O MODO DE MASQUERADE

iptables -t nat -A POSTROUTING -o $IF_WAN -j MASQUERADE # Mascaramento de rede



# FORÇA A NAVEGACAO PELA PORTA 3128

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -s $LAN -j REDIRECT--to 3128 # Forca navegacao na 3128



#iptables -t nat -A PREROUTING -p tcp -s $LAN --dport 1863 -j DROP



# BLOQUEANDO SITE COM HTTPS

#cat /etc/squid/bloqueados/bloq_https | while read SITES; # do

# iptables -A FORWARD -p tcp -d $SITES -j ACCEPT # done

Como não sabia qual era a placa da rede local coloquei como eth1 caso seja outra altere

24. Re: Firewall: Teste no site www.grc.com nao funciona

Enviado em 04/11/2013 - 19:00h

Se quiser um firewall basico:
http://www.andrecanhadas.com.br/?p=351

Firewall: Teste no site www.grc.com nao funciona

Responder tópico