01 02

Script Firewall

13. Re: Script Firewall

souzacarlos
(usa Outra)

Enviado em 28/03/2016 - 23:01h

AndreBatista96 escreveu:

Souza, muito brigado mesmo cara.

A partir de sua iniciativa, finalmente consegui intender pelo menos o básico de iptables.

já estou conseguindo liberar os serviços que quero e bloquear o resto.

meu script ficou desta forma:

#!/bin/bash

# Regras para habilitar iptables
#
# Fazendo a limpeza e habilitando regras padoes
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
#
#Variaveis
SERVER_IP="192.168.8.254"
REDE_LOCAL="192.168.8.0"
#
# Carregando os modulos
modprobe iptable_nat
modprobe ip_tables
#
echo 1 > /proc/sys/net/ipv4/ip_forward
#
#
#Roteamento da WAN para a LAN
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#
#Regras de INPUT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m multiport --dports 2222,10000,53,67 -j ACCEPT
#
#Regras de FORWARD
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s $REDE_LOCAL -m state --state NEW -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dports 2222,10000,53,67 -j ACCEPT

Sabe me dizer como posso liberar para as estações fazerem ping no server, mas bloquear o ping da morte?

Muito obrigado mesmo por sua ajuda.

"O conhecimento só vale quando é aplicado"

Boa noite
Blz cara a ideia é essa! Agora vamos melhorar mais isso ai!

### Acho que isso aqui pode ser melhorado principalmente requisitos de DNS (53) mas se vc tá entendendo e tá legal pra vc blz!
iptables -A INPUT -i eth0 -p tcp -m multiport --dports 2222,10000,53,67 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dports 2222,10000,53,67 -j ACCEPT

#### Sobre ICMP #####

iptables -A INPUT -s MINHA_REDE_LOCAL -p icmp --icmp-type 8 -j ACCEPT # O 8 faz referencia a requisição( Maquinas que terão direito a fazer requisição ICMP entendeu?

# Em relação ao ping da morte não recomendo, dá um olhada na internet sobre problemas com aplicações dessa regra vc vai encontrar vasto material, não esquece de marcar como melhor resposta, abaixo segue meus contatos

Canal Youtube = https://www.youtube.com/channel/UCrXKqJ7zHIA405is7ABMNgA ( Fast Lan Network )
Homepage = www.fastlan.com.br - Em breve operacional
Skype = carlossouzainfo ( contatos profissional - fique a vontade para ADD )

0 0

Quote