ol� lista ,,, Gostaria da ajuda dos colegas .... para isso: Estou configurando um firewall com iptables, esta m�quina roda os seguintes servi�os: Squid - Proxy wu-ftpd - Servidor FTP Postfix - pop3 smtp forward de internet pra redeinterna . . mais quando ativo meu firewall n�o consigo usar o proxy ... j� tentei todas regras que vi . detalhe: se descomentar a linha que fecha o resto funciona, mais o e-mail n�o .... Se alguem puder me ajudar agrade�o ,, toda ajuda � bem vinda .... Obrigado. segue meu script: #!/bin/bash /sbin/iptables -F # Compartilha a conex�o com squid iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # Rejeitar conex�es novas (NEW) e inv�lidas (INVALID) de pacotes com destino � maquina local ou que devem ser repassados vindos de eth1. /sbin/iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP /sbin/iptables -A FORWARD -i eth1 -m state --state NEW,INVALID -j DROP # Habilitar IP forwarding echo 1 > /proc/sys/net/ipv4/ip_forward #>Bloqueia PING #echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #Anti-Spoofings /sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP /sbin/iptables -A INPUT -s 127.0.0.0/8 -i eth1 -j DROP /sbin/iptables -A INPUT -s 172.16.0.0/12 -i eth1 -j DROP /sbin/iptables -A INPUT -s 192.168.1.0/16 -i eth1 -j DROP #Bloqueando Multicast /sbin/iptables -A INPUT -s 224.0.0.0/8 -d 0/0 -j DROP /sbin/iptables -A INPUT -s 0/0 -d 224.0.0.0/8 -j DROP #printf "." #>Ping da morte: /sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT #>Prote��o contra Syn-Flood /sbin/iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT #>Port scanner suspeito: /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT #>Protege contra pacotes danificados (usados em ataques DoS) /sbin/iptables -A INPUT -m unclean -j DROP /sbin/iptables -A FORWARD -m unclean -j DROP #Aceita trafico em lo (loopback) device /sbin/iptables -I INPUT -i lo -j ACCEPT /sbin/iptables -I OUTPUT -o lo -j ACCEPT /sbin/iptables -I INPUT -i ! lo -s 127.0.0.0/255.0.0.0 -j DROP #printf "."
# Porta de SSH # LOG --> /var/log/messages #/sbin/iptables -A INPUT -p tcp --destination-port 22 -j LOG --log-prefix "FIREWALL - Servi�o: SSH -> " # Porta de SSH para fora /sbin/iptables -A INPUT -p tcp --destination-port 22 -i eth1 -j DROP # Porta de SSH local /sbin/iptables -A INPUT -p tcp --destination-port 22 -i eth0 -j ACCEPT #printf "." # Porta de FTP # LOG --> /var/log/messages #/sbin/iptables -A INPUT -p tcp --destination-port 21 -j LOG --log-prefix "FIREWALL - Servi�o: FTP -> " # Porta de FTP para fora #/sbin/iptables -A INPUT -p tcp --destination-port 21 -i eth1 -j DROP # Porta de FTP local /sbin/iptables -A INPUT -p tcp --destination-port 21 -i eth0 -j ACCEPT # Abrir FTP para fora /sbin/iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT # Abre para a rede local /sbin/iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT # Fecha o resto /sbin/iptables -A INPUT -p tcp --syn -j DROP #Bloqueando Tracertroute /sbin/iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP # Salvando as regras /sbin/iptables-save > /etc/firewall echo "Firewall Ativo!" ___________________________________ EWV, http://www.ewv.com.br --------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
