Abrindo principais portas na tabela FILTER - IPTABLES [RESOLVIDO]

jaymegm
(usa CentOS)

Enviado em 05/02/2016 - 10:02h

Pessoal,

Imaginem o cenário em que defino todas as politicas padrão como DROP.
OBS: O scritp abaixo não está incompleto, são apenas pedaços para que possam entender minhas dúvidas.

IPTABLES="/sbin/iptables"



#Definindo regras padrão

$IPTABLES -P INPUT DROP

$IPTABLES -P OUTPUT DROP

$IPTABLES -P FORWARD DROP



PORTAS_TCP_INPUT_OUTPUT="20,21,22,23,25,42,53,67,80,88,135,139,143,389,445,464,636,3128,3268,3269,9389,49152:65535"

PORTAS_UDP_INPUT_OUTPUT="42,53,67,69,88,123,137,138,161,389,445,464,520,2535"

PORTAS_TCP_FORWARD="80"

PORTAS_UDP_FORWARD=""



#Liberar as portas TCP na tabela FILTER - INPUT e OUTPUT

$IPTABLES -A INPUT -p tcp --dport $PORTAS_TCP_INPUT_OUTPUT -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --sport $PORTAS_TCP_INPUT_OUTPUT -j ACCEPT



#Liberar as portas UDP na tabela FILTER - INPUT e OUTPUT

$IPTABLES -A INPUT -p udp --dport $PORTAS_UDP_INPUT_OUTPUT -j ACCEPT

$IPTABLES -A OUTPUT -p udp --sport $PORTAS_UDP_INPUT_OUTPUT -j ACCEPT



#Liberar as portas UDP na tabela FILTER - INPUT e OUTPUT

$IPTABLES -A FORWARD -p tcp --dport $PORTAS_TCP_FORWARD -j ACCEPT

$IPTABLES -A FORWARD -p ucp --dport $PORTAS_UDP_FORWARD -j ACCEPT



#Proxy transparente

$IPTABLES -t nat -A PREROUTING -i $LAN -p tcp -m multiport --dport 80,443 -j REDIRECT --to-ports 3128



 

Este servidor é FIREWALL e GATEWAY da rede e possui também os servidos de DHCP com VLANs e PROXY Squid, mas o proxy ainda não está configurado.
As Interfaces são:


Em outros servidores(Servers 2008) na rede, tenho serviços como Active Diretory, File Server, NTP, Print Server.
Pelo que vi nas buscas que fiz, essas não as prinipais portas para funcionamento desses serviços.

Dúvidas:
1- Quais portas são obrigatórias a abrir na FILTER FORWARD UDP e TCP?
2- Pelo que vejo, estou abrindo as portas para INPUT e OUTPUT tanto pra LAN, quanto pra WAN. Isso é realmente necessário?
3- Com o Proxy sendo configurado, devo acrescentar mais portas ou retirar?

renato_pacheco
(usa Debian)

Enviado em 05/02/2016 - 10:14h

1 - Entenda a teoria da coisa: FORWARD é todo o tráfego que passa pelo firewall, ou seja, a origem e destino não tem relação com o firewall. A partir deste conceito, vc já consegue definir o q é realmente necessário pra ser liberado.
2 - De jeito nenhum! O q é pra LAN não passa pelo firewall. Lembrando de conceito de LAN, se o pacote transmitido pertence à mesma rede, não é necessário um gateway para se comunicar (gateway existe para comunicar redes diferentes, ok?)
3 - No seu caso, basta liberar OUTPUT e INPUT para o proxy. Só atente-se para o caso q vc colocou ae (redirecionar pacotes de origem 443 para o proxy), pois se o seu Squid não suportar SSL (que é um outro papo), as conexões HTTPS do usuário vão falhar com frequência, pois o navegador vai entender q está havendo interceptações da conexão de forma incorreta e vai invalidar os certificados. Neste caso, prefiro proxy autenticado, pois vc não teria problemas com isso e até pode separar o proxy do firewall (q é bem mais seguro).


--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

jaymegm
(usa CentOS)

Enviado em 05/02/2016 - 10:33h

Renato, obrigado pelas respostas.

Acho que fiz a 2ª pergunta de modo errado.

Quando me refiro a LAN e WAN, quero sempre dizer as portas com destino ao FIREWALL(GW) mesmo.
Sendo "LAN = ETH1" e "WAN = ETH0".
Ainda sim devo abrir todas aquelas portas para essas interfaces?

Já em relação ao Proxy Transparente, acho que não vacilando, pois, como tenho o AD, basta eu criar uma GPO para que defina o proxy nos navegadores e retiro a facilidade do usuário alterar isso.
Sei que existe um jeito de definir assim... "Se a maquina tem proxy configurado, então ela acessa a Web, se não, ela perde esse acesso", mas não como fazer. Pode me dar uma luz sobre isso?

renato_pacheco
(usa Debian)

Enviado em 05/02/2016 - 11:02h

Ae sim, vc precisa abrir, pois vc colocou a política como DROP. Dará trabalho, mas em compensação, terá maior segurança no seu firewall.



É fácil. Como vc já possui a política d DROP pra FORWARD, basta não liberar para as portas 80 e 443. O caboco não navegará nem a pau sem proxy.

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh