Bloquear acesso externo [Squid/Iptables]

rubens_web · 2011-12-30T10:01:45-02:00

Galera do VOL, primeiramente, QUE TODOS TENHA UM FELIZ ANO NOVO! bom... a situação é o seguinte, tenho um GATEWAY na rede e por ele tenho acesso externo as minhas cameras de segurança internas da empresa. Porém o samba também está configurado apenas uma pasta PUBLICO, mas quando eu estou externo também consigo acessar esta pasta PÚBLICO. Onde eu devo bloquear no meu FIREWALL para que nao consiga acessar externo sem prejudicar o acesso as minhas CAM de segurança que utilizam a porta 6061 grato!

13. Re: Bloquear acesso externo

Enviado em 06/01/2012 - 10:17h

Não esqueça de colocar as regras para limpar as regras já inseridas:

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

Coloque isto antes das regras de politica padrão.

14. Re: Bloquear acesso externo

Enviado em 06/01/2012 - 12:27h

No tópico http://www.vivaolinux.com.br/topico/Squid-Iptables/Reload-FIREWALL-sem-reiniciar-LINUX/ vc informou que foi resolvido a questão dos parâmetros do seu script, e o caso das políticas como DROP como ficou?

15. Re: Bloquear acesso externo

Enviado em 06/01/2012 - 15:16h

"phrich" então...
Executar os comandos start, stop e reload já consegui mesmo. Valeu Galera!

Porém quando eu coloco toda política em DROP nao consigo navegar.

Vou encaminhar meu firewall.sh REFORMULADO. Porém tenho que deixar tudo como ACCEPT para funfar tudo legal.

Segue abaixo meu FIREWALL.SH

#! /bin/bash

start(){
echo "Firewall iniciando ....................... [OK]";
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

#REGRAS FIREWALL

##########HABILITA O ROTEAMENTO
#-------------------------------------
echo 1 > /proc/sys/net/ipv4/ip_forward
#-------------------------------------

##########FAZ O ROTEAMENTO DA REDE INTERNA PARA WEB
#---------------------------------------------------------------------
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
#---------------------------------------------------------------------

##########PACOTES RECEBIDOS NA REDE LOCAL DIRECIONADO PARA SQUID(3128)
#---------------------------------------------------------------------------------
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#---------------------------------------------------------------------------------

##########POLITICA FIREWALL
#--------------------------
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#---------------------------

#########BLOQUEIO ULTRASURF (NAO BLOQUEIA - VERIFICAR)
#Tarefa: bloquear porta 443 para todos os IPS do que estao no arquivo "ip_ultrasurf.txt"
#---------------------------------------------------------------------------------------
# for i in $(cat /etc/squid/regras/ip_ultrasurf.txt | grep -e ^[0-9] | cut -d: -f1)
# do
# iptables -A FORWARD -p tcp --dport 443 -s 0/0 -d ${i} -j DROP
# iptables -A FORWARD -p tcp --dport 443 -s ${i} -d 0/0 -j DROP
# done
#---------------------------------------------------------------------------------------

##########LIBERA ACESSO CAMERAS
#-------------------------------------------------------------------------------------------------------
#DVR (STAND ALONE)
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 3030 -j DNAT --to-destination 192.168.1.XX
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 6136 -j DNAT --to-destination 192.168.1.XX

#PC (CAM3)
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 6161 -j DNAT --to-destination 192.168.1.YY
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 4051 -j DNAT --to-destination 192.168.1.YY
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 5051 -j DNAT --to-destination 192.168.1.YY
#-------------------------------------------------------------------------------------------------------

##########LIBERA ACESSO PC-CPD
#------------------------------------------------------------------------------------------------------
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 80 -j DNAT --to-destination 192.168.1.XX
#------------------------------------------------------------------------------------------------------

##########LIBERA PORTAS
#----------------------------------------------------
#LIBERA SSH (PUTTY)
#iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
#iptables -A FORWARD -s 0/0 -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -s 0/0 -p tcp --dport 3128 -j ACCEPT
#iptables -A FORWARD -s 0/0 -p tcp --dport 3128 -j ACCEPT
#----------------------------------------------------

##########BLOQUEIA PORTA MSN
#------------------------------------------------
iptables -A FORWARD -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -p tcp --dport 5223 -j REJECT
#------------------------------------------------

echo "Firewall ativado! ........................ [OK]";
}

stop (){
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

#Politica padrao
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

#Compartilha a conexao
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eht0 -j MASQUERADE

#Direciona redelocal para web
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

echo "Compartilhadmento da rede ativo .................. [OK]";
echo "Firewall desativado .............................. [OK]";
}

case "$1" in
"start") start ;;
"stop") stop ;;
"reload") stop; start ;;
*)
echo "Use parametros start | stop | reload" ;;

esac

16. Re: Bloquear acesso externo

Enviado em 06/01/2012 - 16:05h

Vou fazer umas alterações para vc, mas não use proxy transparente:

#! /bin/bash

start(){
echo "Firewall iniciando ....................... [OK]";
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

#REGRAS FIREWALL

##########HABILITA O ROTEAMENTO
#-------------------------------------
echo 1 > /proc/sys/net/ipv4/ip_forward
#-------------------------------------

##########POLITICA FIREWALL
#--------------------------
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#---------------------------

##########FAZ O ROTEAMENTO DA REDE INTERNA PARA WEB
#---------------------------------------------------------------------
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
#---------------------------------------------------------------------

##########PACOTES RECEBIDOS NA REDE LOCAL DIRECIONADO PARA SQUID(3128)
#---------------------------------------------------------------------------------
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#---------------------------------------------------------------------------------

##########LIBERA ACESSO CAMERAS
#-------------------------------------------------------------------------------------------------------
#DVR (STAND ALONE)
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 3030 -j DNAT --to-destination 192.168.1.XX
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 6136 -j DNAT --to-destination 192.168.1.XX

#PC (CAM3)
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 6161 -j DNAT --to-destination 192.168.1.YY
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 4051 -j DNAT --to-destination 192.168.1.YY
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 5051 -j DNAT --to-destination 192.168.1.YY
#-------------------------------------------------------------------------------------------------------

##########LIBERA ACESSO PC-CPD
#------------------------------------------------------------------------------------------------------
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 80 -j DNAT --to-destination 192.168.1.XX
#------------------------------------------------------------------------------------------------------

##########LIBERA PORTAS
#----------------------------------------------------

#########
# INPUT #
#########

#LIBERA SSH (PUTTY)
#iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
# Squid
#iptables -A INPUT -s 0/0 -p tcp --dport 3128 -j ACCEPT

##########
# OUTPUT #
##########

#Libera DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

#Libera web
iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT

# Libera FTP (caso use o apt-get)
iptables -A OUTPUT -p tcp -m mulitpor --dports 20,21 -j ACCEPT

###########
# FORWARD #
###########

#iptables -A FORWARD -s 0/0 -p tcp --dport 22 -j ACCEPT

#iptables -A FORWARD -s 0/0 -p tcp --dport 3128 -j ACCEPT

# ATENÇÃO: não esqueça de fazer as regras de FORWARD para as regras de NAT.

#----------------------------------------------------

echo "Firewall ativado! ........................ [OK]";
}

stop (){
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

#Politica padrao
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

#Compartilha a conexao
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eht0 -j MASQUERADE

#Direciona redelocal para web
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

echo "Compartilhadmento da rede ativo .................. [OK]";
echo "Firewall desativado .............................. [OK]";
}

case "$1" in
"start") start ;;
"stop") stop ;;
"reload") stop; start ;;
*)
echo "Use parametros start | stop | reload" ;;

esac

Pegue as regras que vc tem de NAT e crie também para foward assim vc terá o seu acesso liberado.

Não esqueça de postar os resultados aqui ok?

17. Re: Bloquear acesso externo

Enviado em 06/01/2012 - 16:15h

Galera... CRÍTICO

estava funcionando tudo perfeitamente, reiniciei para ficar ZERADO.
agora ele nao sobe mais! aparece a seguinte mensagem:

NO INITTAB FILE FOUND.

O que eu faço? CRÍTICO... o servidor está parado!

18. Re: Bloquear acesso externo

Enviado em 06/01/2012 - 16:29h

bash -x /etc/init.d/seu_script_de_firewall

Ele vai te mostrar em qual linha está o erro.

19. Re: Bloquear acesso externo

Enviado em 06/01/2012 - 16:41h

o servidor não está nem inicializando!!!

erro: NO INITTAB FILE FOUND!

20. Re: Bloquear acesso externo

Enviado em 06/01/2012 - 16:48h

Desculpe eu não havia lido tudo.

Inicializa o seu linux com a opção single

Na tela de boot (se for o grub) pressione a tecla "e" e ao final da linha adicione a palavra "single" sem as aspas.

Ai verifique se o arquivo /etc/inittab existe, caso exista, verifiqe as permissões.

No meu está assim -rw-r--r-- 1 root root

21. Re: Bloquear acesso externo

Enviado em 07/01/2012 - 09:57h

amigo usei o recurso de recuperação que está no cd do debian, e pelo shell constatei que a pasta /etc nao está mas junto aos demais diretórios.

o que eu faço? tenho backup, mas esta em outro hd.

Já coloquei o hd linux em um PC windows para restaurar o bkp porém ele nao lê ext3, usei alguns programas para isso mas sem sucesso.

Pelo shell de recuperação nao consigo montar nem cdrom e pendrive para restaurar.

o que eu faço?

22. Re: Bloquear acesso externo

Enviado em 07/01/2012 - 16:52h

Realmente o Rwindows não lê ext3...

Já que vc tem o backup em outro hd, coloque ele no seu servidor, e monte ele com o comando:

#mount /dev/seu_hd_com_backup /mnt/diretorio_de_montagem

E restaure o seu backup.

23. Re: Bloquear acesso externo

Enviado em 23/06/2016 - 14:08h

Aqui eu dei permissão de execução para o arquivo do firewall e executei novamente: ./firewall.sh.

Bloquear acesso externo

Responder tópico