removido
(usa Nenhuma)
Enviado em 15/08/2011 - 23:19h
respostas...
1º - sim, ela libera conexão nas respectivas portas;
2º - você deve usar a regra de prerouting se achar necessario fazer algum redirecionamento;
3º - não vai bloquear por que essa regra vem após as regras de redirecionamento;
OBS: rode o script como está abaixo e veja se acessa o servidor, se não conseguir posta aqui e se conseguir posta também.
OBS: alterei rescentemente esse script de firewall, veja as alterações por favor.
posta ai o resultado, blz?
######################
# SCRIPT FIREWALL #
######################
#/bin/bash
fire_start(){
#--------------------------------------------------#
# Regras de INPUT #
#--------------------------------------------------#
echo "Definindo regras de INPUT"
###################################################
# Compartilhamento da Internet #
###################################################
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
##################################################
# protege contra ataques syn_flood #
##################################################
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
#######################################################################################################################
# aceita no host conexões de entrada pela interface eth1 direcionadas as portas 22,3389 e 8082 usando o protocolo tcp.#
#######################################################################################################################
iptables -A INPUT -i eth1 -m multiport -p tcp --dport 22,3389,8082 -j ACCEPT
#####################################################
# Protecao contra IP Spoofing #
#####################################################
for i in /proc/sys/net/ipv4/conf/*/rp_filter;
do echo 1 >$i done
#####################################################
# Ignora os pings #
#####################################################
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
#####################################################
# Protecao contra Port Scanners #
#####################################################
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#####################################################
# Aceita todo trafego loopback #
#####################################################
iptables -A INPUT -i lo -j ACCEPT
#####################################################
# Libera trafego LAN #
#####################################################
iptables -A INPUT -s 192.168.15.0/24 -i eth0 -j ACCEPT
#####################################################
# Redirecionamento Terminal Service Desktop Quarto #
#####################################################
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 3389 -j DNAT --to-destination 192.168.15.31:3389
#####################################################
# Redirecionamento Terminal Service Notebook Marcos #
#####################################################
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 3390 -j DNAT --to-destination 192.168.15.30:3390
#####################################################
# Redirecionamento Local WebServer #
#####################################################
iptables -v -A INPUT -p tcp --dport 8181 -j ACCEPT
#####################################################
# Redirecionamento WebServer BKP #
#####################################################
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 8082 -j DNAT --to-destination 192.168.15.110:8082
################################################################################
# impede que seu servidor sofra uma ataque que para com a resposta da sua rede.#
################################################################################
iptables -A FORWARD -p tcp --syn -m limit --limit 10/s -j ACCEPT
######################################################################################################################
# bloqueia tentativas de novas conexões ( tentativas de aberturas de conexões ) #
# descarta pacotes mal formados, protegendo contra ataques diversos #
######################################################################################################################
iptables -A INPUT -p tcp --syn -j DROP
iptables -A INPUT -i eth1 -m state --state INVALID -j DROP
######################################################################################################################
# Bloqueia todo trafego de entrada pela interface eth1 (independente do protocolo e porta usada para abertua da mesma#
######################################################################################################################
#iptables -A INPUT -j LOG --log-prefix "FIREWALL: INPUT " ( está regra não sei do que se trata, por isso deixei comentada)
iptables -A INPUT -i eth1 -j DROP
####################################################
# Anti-Redirects #
####################################################
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
####################################################
# Anti Source Route #
####################################################
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
####################################################
# Ignore echo broadcasts #
####################################################
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
####################################################
# Anti-Bugus Response #
####################################################
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
}
fire_stop(){
echo "Parando o Firewall"
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
}
fire_restart(){
fire_stop
sleep 1
fire_start
}
case "$1" in
'start')
fire_start
;;
'stop')
fire_stop
;;
'restart')
fire_restart
;;
*)
echo "usage $0 start|stop|restart"
esac