Liberação pop e smtp no firewall

sidneyacjunior
(usa Conectiva)

Enviado em 19/10/2007 - 10:29h

E ai Galera beleza, estou com um problema no meu firewall, a principio as estações navegam normalmnte na internet conectam o messenger, a regras de acessso funcionam bem, mais as estações no outlook e MSOutlook enviam normal mais não recebem por favro alguem pode me ajudar tenho que liberar esse firewall amanhã

LOCALHOST="127.0.0.1"
INTERFACE_INTERNET="eth1"
INTERFACE_LOCAL="eth0"
BASE_REDE="192.168.1.0"
MASK="24"
ROUTE_DEFAULT="192.168.1.252"

#dns primário
DNS1="200.204.0.10"

#dns secundário
DNS2="200.204.0.138"

# ativando o modulo
modprobe ip_tables
modprobe iptable_nat

# ativando suportes especiais
modprobe ip_nat_ftp

# zerando as regras "indesejadas"
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

# ativando o "roteamento" no servidor
echo "1" > /proc/sys/net/ipv4/ip_forward

#SEGURANÇA "CONTRA DIVERSOS ATAQUES"

#"ataques D-dos ou syn-floods "
iptables -A INPUT -i eth1 -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --syn -m limit --limit 1/s -j ACCEPT

#"ping da morte"
iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#"scarnners ocultos"
iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT


# Proteção contra IP Spoofing?
# O IP Spoofing é uma técnica de forjar endereços IP falsos
# para executar ataques a uma máquina na web. geralmente utilizam-se IP
# falsos nas rede 10.0.0.0, 172.16.0.0 e o 192.168.0.0. Para bloquear estes endereços
# acrescente as seguintes regras no IPTABLES (através da eth1 da net)

iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j DROP


# LIBERAÇÃO DE PORTAS & PROXY/SQUID

# liberando a conexão para "lo" localhost
iptables -A INPUT -i lo -j ACCEPT

# Antes ainda do tráfego "conexão" ser liberada para o servidor Web,
# recomenda-se fazer com que o firewall permita que os pacotes pertencentes
# às conexões já estabelecidas e os pacotes relacionados a essas conexões possam passar
# pelo firewall. Para isso, são necessários os seguintes comandos:

iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED


#liberando a rede interna p/ enviar "pacotes"para o firewall
iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT

# liberando o SQUID para a rede interna
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --sport 3128 -j ACCEPT


iptables -A INPUT -p udp --dport 5800 -j ACCEPT
iptables -A INPUT -p udp --dport 5900 -j ACCEPT
iptables -A INPUT -p udp --dport 3389 -j ACCEPT
iptables -A INPUT -p udp --dport 80 -j ACCEPT

#REDIRECIONANDO A PORTA 80 DA REDE INTERNA (eth0) P/ A PORTA 3128 DO SQUID (eth1) DO FIREWALL
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDIRECT --to-port 3128


iptables -t nat -A PREROUTING -s xxx.xxx.xxx.xxx -m tcp -p tcp -i eth1 --dport 3389 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -s xxx.xxx.xxx.xxx -m tcp -p tcp -i eth1 --dport 80 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 3389 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 80 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -s xxx.xxx.xxx.xxx -m tcp -p tcp -i eth1 --dport 5800 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 5800 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -s xxx.xxx.xxx.xxx -m tcp -p tcp -i eth1 --dport 5900 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 5900 -j DNAT --to-destination 192.168.1.200

##### Chain POSTROUTING #####
# Permite qualquer conexão vinda com destino a lo e rede local para eth0
iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j ACCEPT

# LIBERANDO POP3 EXTERNO PARA AS ESTAÇÕES DA REDE INTERNA


#iptables -A INPUT -p TCP -s 200.204.144.60 --sport 25 -j ACCEPT
#//libera acesso ao smtp do superig
#iptables -A INPUT -p TCP -s 200.204.144.60 --sport 110 -j ACCEPT
#//libera acesso ao pop do superig



iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --sport 110 -j ACCEPT

iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --sport 25 -j ACCEPT

# LIBERANDO SSH
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT

iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --sport 22 -j ACCEPT

#rejeite qualquer "pacote" diferente que não casarem com as regras anteriores
iptables -t filter -A FORWARD -j REJECT

#COMPARTILHANDO A INTERNET
#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -d 0/0 -j MASQUERADE

antonioandrade
(usa Gentoo)

Enviado em 19/10/2007 - 10:56h

vc está utilizando alguma distribuição de firewall especifica ?????????

sidneyacjunior
(usa Conectiva)

Enviado em 19/10/2007 - 13:25h

estou usando conectiva 10

antonioandrade
(usa Gentoo)

Enviado em 19/10/2007 - 13:38h

Abaixo segue um script de redirecionamento, vc executa o script no firewall e ele redireciona para o seu servidor de e-mail, estou considerando que seu server seja fora...(se for interno só mude o endereço...ex. 200xxx.xxx.xxx para 192.xxx.xxx.xxx)

nas máquinas clientes coloque o endereço do seu servidor de firewall...

SMTP
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 25 -j DNAT --to 200.xxx.xxx.xxx:25

POP
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 110 -j DNAT --to 200.xxx.xxx.xxx:110

ok