Firewall Iptables

vlcunes
(usa Debian)

Enviado em 08/08/2013 - 08:31h

Abaixo estou enviando o script que eu estou criando. Caso tenha algo desnecessário ou errado por qualquer outro motivo, por favor, me avisem.

#!/bin/sh -e
##Firewall Criado
# Inicio (31/07)

## INTERFACES
ifacenet="eth1"
ifacelocal="eth2"

## LIMPAR REGRAS
iptables -F
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

## COMPARTILHAMENTO DA INTERNET
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

## POLITICAS PADRAO
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT


####### TABELA FILTER #######
## INPUT
iptables -A INPUT -j LOG
#Liberando interfaces loopback
iptables -A INPUT -i lo -j ACCEPT
#Liberar conexoes estabelecidas e relatadas
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 10.102.1.30 -p tcp --dport 22 -j ACCEPT

## FORWARD

Buckminster
(usa Debian)

Enviado em 08/08/2013 - 08:35h

ifacenet="eth1"
ifacelocal="eth2"

Essas duas linhas acima estão desnecessárias, você não está usando essas variáveis. Pode comentá-las ou apaga-las.

vlcunes
(usa Debian)

Enviado em 08/08/2013 - 08:59h

Realmente. Mas eu poderia ser mas especificos na regra conforme abaixo?


iptables -A INPUT -s 10.102.1.30 -i eth2 -p tcp --dport 22 -j ACCEPT
ou
iptables -A INPUT -s 10.102.1.30 -i $ifacelocal -p tcp --dport 22 -j ACCEPT

Buckminster
(usa Debian)

Enviado em 08/08/2013 - 09:06h

Poderia, mas o uso de variáveis só faz sentido em scripts bastantes grandes e complexos.

phoemur
(usa Debian)

Enviado em 08/08/2013 - 09:14h

Uma coisa que eu achei importante é que quando você inicia serviços no rc.local você não tem como pará-los depois a não ser usando kill.
Não dá pra dar um service firewall stop (systemd) por exemplo...
É claro que no caso do firewall é só dar um flush nas regras que está resolvido, mas outros serviços não daria...

vlcunes
(usa Debian)

Enviado em 08/08/2013 - 10:09h

Boa observação.

px
(usa Debian)

Enviado em 08/08/2013 - 10:18h

Ai gente me da uma ajuda neste topico aq, estou com problema no iptables também, é bem básico o problema apesar de ser grande o topico, quem puder:
http://www.vivaolinux.com.br/topico/netfilter-iptables/Ajuda-com-regra-iptables-modulo-conntrack






---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

vlcunes
(usa Debian)

Enviado em 08/08/2013 - 11:07h

Pessoal,

Não sei se isso é normal ou preciso fazer alguma coisa. Configurei as placas de rede da seguinte forma:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto eth1
iface eth1 inet static
address 10.102.1.225
network 10.102.1.0
netmask 255.255.255.0
gateway 10.102.1.253

auto eth2
iface eth2 inet static
address 192.168.50.1
network 192.168.50.0
netmask 255.255.255.0
gateway 192.168.50.1

Mas, eu alguns momentos eu perco a comunicação com a internet e quando vou em route para ver as rotas, não aparecem nem 192.168.50.1 e 10.102.1.253. Quero que a rota 10.102.1.253 seja a principal, pois é ela quem está na porta WAN do servidor.

andrecanhadas
(usa Debian)

Enviado em 08/08/2013 - 11:13h

Remova o gateway da placa que não recebe internet só é possivel 1 gateway por vez

vlcunes
(usa Debian)

Enviado em 08/08/2013 - 11:19h

Funcionou!!

Muito obrigado "andrecanhadas"

Buckminster
(usa Debian)

Enviado em 08/08/2013 - 14:33h

Eu paro o Iptables com /etc/init.d/firewall.sh stop sendo que no rc.local tem:

/etc/init.d/firewall.sh start
exit 0

vlcunes
(usa Debian)

Enviado em 13/08/2013 - 17:37h

O que tem de errado nessa regra que eu não consigo navegar?

!/bin/sh -e
##Firewall Criado por Vitor Lucas
# Inicio (31/07)

## INTERFACES
#ifacenet="eth1"
#ifacelocal="eth2"

## LIMPAR REGRAS
iptables -F
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

## COMPARTILHAMENTO DA INTERNET
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE


## POLITICAS PADRAO
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

####### TABELA FILTER #######
## INPUT
#Liberando interfaces loopback
iptables -A INPUT -i lo -j ACCEPT
#Liberar conexoes estabelecidas e relatadas
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m multiport -p tcp --dport 21,22,23,80,443 -j ACCEPT
iptables -A OUTPUT -m multiport -p tcp --dport 21,22,23,80,443 -j ACCEPT
iptables -A FORWARD -m multiport -p tcp --dport 21,22,23,80,443 -j ACCEPT