Primeiro Script [RESOLVIDO]

1. Primeiro Script [RESOLVIDO]

Cassio Roberto Medeiros
kobukis

(usa Linux Mint)

Enviado em 25/05/2011 - 00:07h

Boa noite, Galera preciso montar um script para colocar no rc.local que compartilhe a conexão com 10 maquinas e que so permita acesso de paginas, msn e do ssh, (meu principal problema é que necessito bloquear todos os jogos na rede) fiz um catadão de scripts vou testar no sabado:


+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
#!/bin/sh
#zerando regras
iptables -F

#Bloqueando tudo !
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Bloqueia pings e protege contra IP spoofing e pacotes inválidos
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP

#Compartilha a conexão
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Abre para a interface de loopback e para a interface de rede local
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT

# Abre para as portas especificadas
iptables -A FORWARD -s 192.168.0.1/24 -d 0/0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.0.1/24 -p tcp --dport 53 -j ACCEPT

iptables -A FORWARD -s 192.168.0.1/24 -d 0/0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.0.1/24 -p tcp --dport 80 -j ACCEPT

iptables -A FORWARD -s 192.168.0.1/24 -d 0/0 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.0.1/24 -p tcp --dport 22 -j ACCEPT

+++++++++++++++++++++++++++++++++++++++++++++

e ai o que acham? sugestões? muitos erros? Obrigado,
Kobukis.



  


2. MELHOR RESPOSTA

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 26/09/2011 - 11:26h

Bom, o q importa é estar funcionando. Se estiver, blz... a partir dae é restringir o máximo possível para melhorar a segurança da sua rede.

3. Re: Primeiro Script [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 25/05/2011 - 00:13h

Não vai dar certo por um motivo: suas políticas. Se vc resolveu bloquear tudo e liberar apenas o desejado, faltou muita coisa ae, não acha?

- Conexão local (lo);
- HTTP (80 TCP)
- DNS (53 TCP e UDP)
- HTTPS (443 TCP)
- SSH (22 TCP)
- MSN (1863 TCP)
- ...

E um monte d coisa q não me lembrei d cara. Se ficar dessa forma, com certeza nem navegar vc irá. O certo é vc colocar OUTPUT como ACCEPT, mas INPUT e FORWARD como DROP, terás menos trabalho.


4. Acabei deixando o script assim:

Cassio Roberto Medeiros
kobukis

(usa Linux Mint)

Enviado em 25/09/2011 - 20:02h

Acabei deixando assim:

#!/bin/sh

# Compartilha a conexão

modprobe iptable_nat

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Bloqueia pings e protege contra IP spoofing e pacotes inválidos

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

iptables -A INPUT -m state --state INVALID -j DROP

# Abre para a interface de loopback e para a interface de rede local

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i eth1 -j ACCEPT

# Abre para as portas especificadas

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Bloqueia as demais conexões, deixando passar apenas pacotes de resposta

iptables -A INPUT -p tcp --syn -j DROP


Obrigado,

cássio.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts