Ola a todos
Alguem poderia dar uma analisada nas minha regras de firewall abaixo e me dizer porque
que o
FTP nao esta funcionando direito.
Eu n�o manjo nada de iptables, li algumas documenta�oes, achei que tava entendendo
alguma coisa, mas....
Juntei algumas regras que vi na net e montei este meu script. Pro meu uso,
aparentemente esta tudo certo. Agora o FTP, para os usuarios externos acesserem o meu
servidor nao esta funcionando.
Os usuarios internos conseguem se fizerem um ftp 192.168.10.2, que � o endere�o do meu
servidor, onde esta instalado o Proftd. Se eu der ftp 200.XXX.XXX.XX, que � meu
endere�o IP fixo (speedy) por onde teria que as conexoes esternas ele nao consegue se
conectar. Da erro o seguinte erro: 500 sorry, no server ....
Conexao terminada pelo host
segue script
#!/bin/bash
/sbin/iptables -F
/sbin/iptables -t nat -F
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
# Habilitar IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
REDE="192.168.10.0/24"
POP="200.231.25.52" # ip do provedor de pop
SMTP="200.231.25.52" # ip do provedor de smtp
# Acesso ao servidor POP3
# fazendo o mascaramento dos pacotes da rede interna para o POP3
iptables -A POSTROUTING -o eth0 -p tcp -s $REDE -d $POP --sport 1024: --dport 110 -j
MASQUERADE -t nat
# permitindo o FORWARD da rede interna para o POP3
iptables -A FORWARD -o eth0 -p tcp -s $REDE -d $POP --sport 1024: --dport 110 -j ACCEPT
# permitindo o FORWARD do POP3 para a rede interna
iptables -A FORWARD -o eth1 -p tcp -s $POP -d $REDE --sport 110 --dport 1024: -j ACCEPT
# Acesso ao servidor SMTP
# fazendo o mascaramento dos pacotes da rede interna para o SMTP
iptables -A POSTROUTING -o eth0 -p tcp -s $REDE -d $SMTP --sport 1024: --dport 25 -j
MASQUERADE -t nat
# permitindo o FORWARD da rede interna para o SMTP
iptables -A FORWARD -o eth0 -p tcp -s $REDE -d $SMTP --sport 1024: --dport 25 -j ACCEPT
# permitindo o FORWARD do SMTP para a rede interna
iptables -A FORWARD -o eth1 -p tcp -s $SMTP -d $REDE --sport 25 --dport 1024: -j ACCEPT
# Porta de SSH
#LOG --> /var/log/messages
/sbin/iptables -A INPUT -p tcp --destination-port 22 -j LOG --log-prefix "FIREWALL -
Servi�o: SSH -> "
# Porta de SSH para fora
/sbin/iptables -A INPUT -p tcp --destination-port 22 -i eth1 -j DROP
# Porta de SSH local
/sbin/iptables -A INPUT -p tcp --destination-port 22 -i eth0 -j ACCEPT
#printf "."
# Porta de FTP
# LOG --> /var/log/messages
/sbin/iptables -A INPUT -p tcp --destination-port 21 -j LOG --log-prefix "FIREWALL -
Servi�o: FTP -> "
# Porta de FTP para fora
/sbin/iptables -A INPUT -p tcp --destination-port 21 -i eth1 -j ACCEPT
# Porta de FTP local
/sbin/iptables -A INPUT -p tcp --destination-port 21 -i eth0 -j ACCEPT
# Abrir FTP para fora
/sbin/iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
# Liberando alguns hosts
#modprobe iptable_nat
iptables -t nat -A POSTROUTING -s 192.168.10.22 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.27 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.29 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.5 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.199 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.35 -o eth1 -j MASQUERADE
# Compartilha a conex�o com squid
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
# Rejeitar conex�es novas (NEW) e inv�lidas (INVALID) de pacotes com destino
# � maquina local ou que devem ser repassados vindos de eth1.
/sbin/iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP
/sbin/iptables -A FORWARD -i eth1 -m state --state NEW,INVALID -j DROP
#>Bloqueia PING
#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
#Anti-Spoofings
/sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
/sbin/iptables -A INPUT -s 127.0.0.0/8 -i eth1 -j DROP
/sbin/iptables -A INPUT -s 172.16.0.0/12 -i eth1 -j DROP
/sbin/iptables -A INPUT -s 192.168.10.0/24 -i eth1 -j DROP
#Bloqueando Multicast
/sbin/iptables -A INPUT -s 224.0.0.0/8 -d 0/0 -j DROP
/sbin/iptables -A INPUT -s 0/0 -d 224.0.0.0/8 -j DROP
#printf "."
#>Ping da morte:
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j
ACCEPT
#>Prote��o contra Syn-Flood
/sbin/iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
#>Port scanner suspeito:
/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s
-j ACCEPT
#>Protege contra pacotes danificados (usados em ataques DoS)
/sbin/iptables -A INPUT -m unclean -j DROP
/sbin/iptables -A FORWARD -m unclean -j DROP
#Aceita trafico em lo (loopback) device
/sbin/iptables -I INPUT -i lo -j ACCEPT
/sbin/iptables -I OUTPUT -o lo -j ACCEPT
/sbin/iptables -I INPUT -i ! lo -s 127.0.0.0/255.0.0.0 -j DROP
#printf "."
# Abre para a rede local
/sbin/iptables -A INPUT -p tcp --syn -s 192.168.10.0/255.255.255.0 -j ACCEPT
# Fecha o resto
/sbin/iptables -A INPUT -p tcp --syn -j DROP
#Bloqueando Tracertroute
/sbin/iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP
# Salvando as regras
/sbin/iptables-save > /etc/firewall
echo "Firewall Ativo!"
---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
