Re: Res: Iptables não está tratando as exceções.
Allan,
E se vc fizer algo mais simples tipo:
Supondo que tua rede interna é 192.168.x.x
##
for i in `cat /home/maquinas-liberadas-squid |grep 192 | awk '{print $1}'`; do
$iptables -t nat -A PREROUTING -i eth1 -p tcp -s $i -d 0/0 --dport 80 -j ACCEPT
done
$iptables -t nat -A PREROUTING -i eth1 -p tcp -s $rede-interna -d 0/0 --dport
80 -j REDIRECT --to-ports 3128
##
Abraços,
Marcelo
Claudio Rocha de Jesus wrote:
Você já viu se não existe alguma outra regra que esta liberando o acesso?
Pode ser que o problema esteja em outro ponto.
--
Claudio Rocha de Jesus
Analista de Suporte Técnico
crochadeje...@yahoo.com.br
Linux user number 433834
/*Sem educação não há liberdade.*/
--
- Mensagem original
De: Allan Carvalho al...@ceb.unicamp.br
Para: Debian debian-user-portuguese@lists.debian.org
Enviadas: Terça-feira, 1 de Setembro de 2009 15:05:25
Assunto: Iptables não está tratando as exceções.
Prezados.
Fiz, no meu gateway, através de iptables, um redirecionamento da porta 80
para
porta 3128, para que todas as conexões na porta 80 caiam na porta do proxy,
porém, coloquei exceção de alguns IPs, utilizei o seguinte comando:
for i in $ipAllowed; do
$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 ! -s $i -j REDIRECT
--to-port 3128
done
Onde $ipAllowed são os IPs que eu não quero que caiam nessa regra, através
do
iptables -t nat -L, certifico que os hosts realmente entraram na regra:
amazonas:~# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destinationREDIRECT tcp
--
!etch.dominio.com anywheretcp dpt:www redir ports 3128
Só que todos os hosts estão caindo na regra, ou seja, o iptables está
ignorando
a exceção, alguém pode me dar uma luz de onde eu errei?
Agradeço desde já.
-- Atenciosamente,
Allan Carvalho
http://allandc.wordpress.com/
Linux Registered User No: 454591
Para as lagartixas só posso dizer, treine muito e vire um calango, e
continue
admirando os crocodilos
-- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com
--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Res: Iptables não está tratando as exceções.
Marcelo escreveu:
Allan,
E se vc fizer algo mais simples tipo:
Supondo que tua rede interna é 192.168.x.x
##
for i in `cat /home/maquinas-liberadas-squid |grep 192 | awk '{print $1}'`; do
$iptables -t nat -A PREROUTING -i eth1 -p tcp -s $i -d 0/0 --dport 80 -j ACCEPT
done
$iptables -t nat -A PREROUTING -i eth1 -p tcp -s $rede-interna -d 0/0 --dport
80 -j REDIRECT --to-ports 3128
##
Abraços,
Marcelo
Claudio Rocha de Jesus wrote:
Você já viu se não existe alguma outra regra que esta liberando o acesso?
Pode ser que o problema esteja em outro ponto.
--
Claudio Rocha de Jesus
Analista de Suporte Técnico
crochadeje...@yahoo.com.br
Linux user number 433834
/*Sem educação não há liberdade.*/
--
- Mensagem original
De: Allan Carvalho al...@ceb.unicamp.br
Para: Debian debian-user-portuguese@lists.debian.org
Enviadas: Terça-feira, 1 de Setembro de 2009 15:05:25
Assunto: Iptables não está tratando as exceções.
Prezados.
Fiz, no meu gateway, através de iptables, um redirecionamento da porta 80 para
porta 3128, para que todas as conexões na porta 80 caiam na porta do proxy,
porém, coloquei exceção de alguns IPs, utilizei o seguinte comando:
for i in $ipAllowed; do
$iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 ! -s $i -j REDIRECT
--to-port 3128
done
Onde $ipAllowed são os IPs que eu não quero que caiam nessa regra, através do
iptables -t nat -L, certifico que os hosts realmente entraram na regra:
amazonas:~# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destinationREDIRECT tcp --
!etch.dominio.com anywheretcp dpt:www redir ports 3128
Só que todos os hosts estão caindo na regra, ou seja, o iptables está ignorando
a exceção, alguém pode me dar uma luz de onde eu errei?
Agradeço desde já.
-- Atenciosamente,
Allan Carvalho
http://allandc.wordpress.com/
Linux Registered User No: 454591
Para as lagartixas só posso dizer, treine muito e vire um calango, e continue
admirando os crocodilos
-- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com
Seguindo a dica do Elgio no link
http://www.vivaolinux.com.br/topico/Squid-Iptables/redirecionamento-3/
implementei da seguinte forma:
# cria a chain
iptables -t nat -N PROXY
# desvia tudo que eh porta 80 para a nova chain
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j PROXY
# Um return para cada ip que tu NAO QUER redir
iptables -t nat -A PROXY -s Ip1 -j RETURN
iptables -t nat -A PROXY -s Ip2 -j RETURN
...
# E no fim, ULTIMA Regra da chain PROXY
iptables -t nat -A PROXY -p tcp --dport 80 -j REDIRECT --to-port 3128
Deste jeito funcionou.
Agradeço à todos pela ajuda.
--
Atenciosamente,
Allan Carvalho
http://allandc.wordpress.com/
Linux Registered User No: 454591
Para as lagartixas só posso dizer, treine muito e vire um calango, e continue
admirando os crocodilos
--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Res: Iptables não está tratando as exceções.
Você já viu se não existe alguma outra regra que esta liberando o acesso? Pode ser que o problema esteja em outro ponto. -- Claudio Rocha de Jesus Analista de Suporte Técnico crochadeje...@yahoo.com.br Linux user number 433834 /*Sem educação não há liberdade.*/ -- - Mensagem original De: Allan Carvalho al...@ceb.unicamp.br Para: Debian debian-user-portuguese@lists.debian.org Enviadas: Terça-feira, 1 de Setembro de 2009 15:05:25 Assunto: Iptables não está tratando as exceções. Prezados. Fiz, no meu gateway, através de iptables, um redirecionamento da porta 80 para porta 3128, para que todas as conexões na porta 80 caiam na porta do proxy, porém, coloquei exceção de alguns IPs, utilizei o seguinte comando: for i in $ipAllowed; do $iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 ! -s $i -j REDIRECT --to-port 3128 done Onde $ipAllowed são os IPs que eu não quero que caiam nessa regra, através do iptables -t nat -L, certifico que os hosts realmente entraram na regra: amazonas:~# iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destinationREDIRECT tcp -- !etch.dominio.com anywheretcp dpt:www redir ports 3128 Só que todos os hosts estão caindo na regra, ou seja, o iptables está ignorando a exceção, alguém pode me dar uma luz de onde eu errei? Agradeço desde já. -- Atenciosamente, Allan Carvalho http://allandc.wordpress.com/ Linux Registered User No: 454591 Para as lagartixas só posso dizer, treine muito e vire um calango, e continue admirando os crocodilos -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Veja quais são os assuntos do momento no Yahoo! +Buscados http://br.maisbuscados.yahoo.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Res: Iptables - me ajudem!
Rafael, nao e possivel fazer proxy transparente em maquinas diferentes, somente se o iptables e o squid estiverem na mesma maquina. Neste caso o que voce pode fazer e bloquear o acesso direto a internet e configurar o proxy de cada maquina na rede 2. -- Claudio Rocha de Jesus Analista de Suporte Tecnico [EMAIL PROTECTED] Linux user number 433834 -- - Mensagem original De: Rafael Leandro [EMAIL PROTECTED] Para: debian-user-portuguese@lists.debian.org Enviadas: Segunda-feira, 23 de Julho de 2007 10:07:33 Assunto: Iptables - me ajudem! Olá pessoal, O ponto é o seguinte: Eu estou com duas redes ( cada uma em cidades diferentes) Na cidade 1, toda autenticação é feita via proxy (squid) Na cidade 2 o acesso é direto Eu queria que a cidade 2 continuasse acessando direto, só que, com todo o seu tráfego sendo redirecionado para o proxy da cidade 1. Mas sem autenticação na cidade 2 (tem que ser direto). a regra que eu fiz foi essa: iptables -t nat -I PREROUTING -s .xxx.xxx.xxx.xxx (rede cidade 2). -p tcp --dport 80 -o eth1 -j DNAT --to xxx.xxx.xxx.xxx:porta (servidor cidade 1) Eu não sou muito bom em iptables!!! Obrigado a todos! -- Rafael Leandro Linux User #431877 Flickr agora em português. Você cria, todo mundo vê. http://www.flickr.com.br/
Res: Iptables - onde tá o arquivo de config?
No menu do kurumin abaixo da opcao para ativar o firewall existe a opcao para desativar o firewall e outra para reconfigura-lo. Tenta um dos dois. Falou. -- - -Claudio Rocha de Jesus |.|-|.| Analista de Suporte Tecnico -[EMAIL PROTECTED] Linux user number 433834 -- - Mensagem original De: Marcelo Castilho Manzano [EMAIL PROTECTED] Para: d-u-p debian-user-portuguese@lists.debian.org Enviadas: Quarta-feira, 4 de Julho de 2007 13:20:45 Assunto: Iptables - onde tá o arquivo de config? Gente, Quando executo iptables -L ele dá: [EMAIL PROTECTED]:~# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination TCPMSS tcp -- anywhere anywheretcp flags:SYN,RST/SYN tcpmss match 1400:1536 TCPMSS clamp to PMTU Chain OUTPUT (policy ACCEPT) target prot opt source destination já reiniciei a minha maquina umas 5 vezes e sempre que reinicio ele traz essa regra quando executo iptables -L como faço pra descobrir qual arquivo tá carregando essa regra na inicialização? e o que devo fazer pra não carregar mais?simplesmente deleto o arquivo..??.será que tem algum arquivo que possa estar fazendo referencia para esse arquivo que está com essa regra escrita.?? obs.. tenho o kurumin 7 e para carregar um script do iptables fiz o seguinte: criei o arquivo: /etc/init.d/rc.firewall dei direito de execução: chmod +x /etc/init.d/rc.firewall coloquei o caminho /etc/init.d/rc.firewall no final do arquivo /etc/rc.d/rc.local e coloquei umas regras de iptables nesse arquivo, porém elas não estavam funcionando e pra testar cai na besteira de ativar o firewall do kurumim via modo gráfico lá pelo painel de controle do kuruminse não me engano o kurumin usa aquele firestart... será que alguem pode me ajudar a achar esse arquivo...pois preciso desativar ele pra fazer manualmente as minhas regras... obrigado -- |--| |Marcelo Manzano| |Cel.99603104 | |[EMAIL PROTECTED] | |--| Novo Yahoo! Cadê? - Experimente uma nova busca. http://yahoo.com.br/oqueeuganhocomisso
Res: iptables com nat
Faça como segue:
Crie variaveis para ficar mais facil para gerenciar:
IPT='/sbin/iptables'# Define o caminho padrao para o binario
INT_EXT='eth0' # Interface de rede Externa Internet
INT_LOC='eth1' # Interface de rede da Rede Local
UP_PORTS='1024:65535' # Define numero de portas acima de 1024
# Enderecos que podem conectar-se a sites FTP.
FTP_ACCEPT=192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6
192.168.0.9 192.168.0.11 192.168.0.34 192.168.0.91 192.168.0.9
5 192.168.0.150
# Enderecos que podem conectar-se a internet diretamente.
HTTP_ACCEPT=192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5
192.168.0.6 192.168.0.9 192.168.0.11 192.168.0.34 192.168.0.52 192.168.0.150
# Declaracoes de Range IP de rede
LAN_RANGE=192.168.0.0/24 # Rede de Padrao
# Habilitando Redirecionamento de pacotes (IP forwarding)
echo 1 /proc/sys/net/ipv4/ip_forward
# Bloqueia solicitacoes de entrada, saida e passantes por padrao.
# Tabela filter
$IPT -t filter -P INPUT DROP
$IPT -t filter -P OUTPUT DROP
$IPT -t filter -P FORWARD DROP
# Ativando o mascaramento da rede interna.
# Com isso tudo que sair para internet saira com o endereco externo.
# Permitindo que todas as maquinas da rede local naveguem na internet.
$IPT -t nat -A POSTROUTING -s $LAN_RANGE -o $INT_EXT -j SNAT --to
200.XXX.XXX.XXX
#INPUT
# Gera log de todo trafego entrante.
$IPT -t filter -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j LOG
# Aceita conexoes originadas na rede local.
$IPT -t filter -A INPUT -s $LAN_RANGE -m state --state
NEW,RELATED,ESTABLISHED -j ACCEPT
#FORWARD
# Permite a passagem de alguns tipos de ping e limita por causa do ping da
morte.
# apenas de dentro para fora da rede.
$IPT -t filter -A FORWARD -s $LAN_RANGE -i $INT_LOC -o $INT_EXT -p icmp
-m limit --limit 1/s -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -t filter -A FORWARD -d $LAN_RANGE -i $INT_EXT -o $INT_LOC -p icmp
-m limit --limit 1/s -m state --state RELATED,ESTABLISHED -j ACCEPT
# Permissao de acesso a sites e servidores FTP.
for FTP in ${FTP_ACCEPT};do
$IPT -t filter -A FORWARD -s ${FTP} -i $INT_LOC -o $INT_EXT -m
multiport -p tcp --dport 20,21 -m state --state NEW,RELATED,ESTABLISHED -j
ACCEPT
$IPT -t filter -A FORWARD -s ${FTP} -i $INT_LOC -o $INT_EXT -p tcp
--sport $UP_PORTS --dport $UP_PORTS -m state --state NEW,RELATED,ESTABLISHED -j
ACCEPT
$IPT -t filter -A FORWARD -d ${FTP} -i $INT_EXT -o $INT_LOC -m state
--state ESTABLISHED,RELATED -j ACCEPT
done
# Permissao de acesso a servidores HTTP diretamente
for HTTP in ${HTTP_ACCEPT};do
$IPT -t filter -A FORWARD -s ${HTTP} -i $INT_LOC -o $INT_EXT -m
multiport -p tcp --dport 80,8080,443 -m state --state NEW,RELATED,ESTABLISHED
-j ACCEPT
$IPT -t filter -A FORWARD -d ${HTTP} -i $INT_EXT -o $INT_LOC -m
multiport -p tcp --sport 80,8080,443 -m state --state ESTABLISHED,RELATED -j
ACCEPT
done
Como voce bloqueou todos os acessos voce deve permitir em todas as chains
(input, forward e output) cada servico que deseja acessar, portanto siga o
exemplo das liberacoes de http e ftp para o forward e crie regras para permitir
o mesmo no input e output, caso contrario o seu firewall nao conseguira acessar
estes servicos. E lembre-se o protocolo TCP e como se fosse uma via de mao
dupla, se voce libera a entrada tem que liberar a saida em cada uma das chains.
Qualquer coisa posta ai!
Falou
--
- -Claudio Rocha de Jesus
|.|-|.| Analista de Suporte Tecnico
-[EMAIL PROTECTED]
Linux user number 433834
--
- Mensagem original
De: Carlos Alberto [EMAIL PROTECTED]
Para: [EMAIL PROTECTED]; [EMAIL PROTECTED]; Lista Debian
debian-user-portuguese@lists.debian.org
Enviadas: Quarta-feira, 23 de Maio de 2007 4:57:09
Assunto: iptables com nat
Pessoal, gostaria de só liberar a net, http, ftp e o msn, através de nat, ja
tentei de
tudo. Estou liberando tudo por nat. Como faço? segue abaixo o que fiz no
iptables...:
#!/bin/bash
## Apaga quaisquer regras que por ventura existam
iptables -F
Regras de policiamento
## bloqueia qualquer pacote que não seja explicitament permitio
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
INPUT
## Permite acesso a interface loopback
iptables -A INPUT -i lo -j ACCEPT
## Permite apenas entrada das respostas as conexões desaida
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
## Aceita conexoes ICMP com limite de conexoes por minuto
iptables -A INPUT -p icmp -m limit --limit 3/m --limit-burst 3 -j ACCEPT
## Liberar a porta do ssh
iptables -A INPUT -p tcp -s
192.168.0.24 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s
192.168.0.159 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s
Res: iptables e proxy transparente
Desculpe! ai vai:
Crie variaveis para ficar mais facil para gerenciar:
IPT='/sbin/iptables'# Define o caminho padrao para o binario
INT_EXT='eth0' # Interface de rede Externa Internet
INT_LOC='eth1' # Interface de rede da Rede Local
UP_PORTS='1024:65535' # Define numero de portas acima de 1024
#
Enderecos que podem conectar-se a sites FTP.
FTP_ACCEPT=192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6
192.168.0.9 192.168.0.11 192.168.0.34 192.168.0.91 192.168.0.9
5 192.168.0.150
Falou
--
- -Claudio Rocha de Jesus
|.|-|.| Analista de Suporte Tecnico
-[EMAIL PROTECTED]
Linux user number 433834
--
- Mensagem original
De: Carlos Alberto [EMAIL PROTECTED]
Para: Claudio Rocha de Jesus [EMAIL PROTECTED]; Lista Debian
debian-user-portuguese@lists.debian.org; [EMAIL PROTECTED]; [EMAIL PROTECTED]
Enviadas: Terça-feira, 22 de Maio de 2007 12:51:16
Assunto: Re: iptables e proxy transparente
faltou vc definir algumas variaveis, para que eu entenda, blz. Obrigado pela
ajuda.
Em 22/05/07, Claudio Rocha de Jesus
[EMAIL PROTECTED] escreveu:
Porque voce nao controla o acesso do ftp via iptables, veja o que fiz:
# Enderecos que podem conectar-se a sites FTP.
FTP_ACCEPT=
192.168.1.12 192.168.1.13
192.168.1.14 192.168.1.15
192.168.1.16 192.168.1.19
192.168.1.111 192.168.1.134
192.168.1.191 192.168.1.195
192.168.1.150
for FTP in ${FTP_ACCEPT};do
$IPT -t filter -A FORWARD -s ${FTP} -i $INT_LOC -o $INT_EXT -m
multiport -p tcp --dport 20,21 -m state --state NEW,RELATED,ESTABLISHED
-j ACCEPT
$IPT -t filter -A FORWARD -s ${FTP} -i $INT_LOC -o $INT_EXT -p tcp
--sport $UP_PORTS --dport $UP_PORTS -m state --state NEW,RELATED,ES
TABLISHED -j ACCEPT
$IPT -t
filter -A FORWARD -d ${FTP} -i $INT_EXT -o $INT_LOC -m state --state
ESTABLISHED,RELATED -j ACCEPT
done
--
- -Claudio Rocha de Jesus
|.|-|.| Analista de Suporte Tecnico
-[EMAIL PROTECTED]
Linux user number 433834
--
- Mensagem original
De: Carlos Alberto
[EMAIL PROTECTED]
Para:
[EMAIL PROTECTED]; [EMAIL PROTECTED]; Lista Debian
debian-user-portuguese@lists.debian.org
Enviadas: Segunda-feira, 21 de Maio de 2007 18:46:01
Assunto: iptables e proxy transparente
Pessoal, gostaria de só liberar a net, http e ftp, através de proxy(squid)
transparente e liberar tambem o msn com nat, ja tentei de tudo, a
porta do squid é a 81. O proxy transparente funciona somente para o http, para
ftp nada. Estou liberando tudo por nat. Queria liberar apenas o msn, como faço?
segue abaixo o que fiz no iptables...:
#!/bin/bash
## Apaga quaisquer regras que por ventura existam
iptables -F
Regras de policiamento
## bloqueia qualquer pacote que não seja explicitament permitio
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
INPUT
## Permite acesso a interface loopback
iptables -A INPUT -i lo -j ACCEPT
## Permite apenas entrada das respostas as conexões desaida
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -i eth0 -s
192.168.0.0/24 --dport 81 -j ACCEPT
## Aceita conexoes ICMP com limite de conexoes por minuto
iptables -A INPUT -p icmp -m limit --limit 3/m --limit-burst 3 -j ACCEPT
## Liberar a porta do ssh
iptables -A INPUT -p tcp -s
192.168.0.24 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s
192.168.0.159 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s
192.168.0.150 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s
192.168.0.148 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.115 --dport 22 -j ACCEPT
## Registra nos logs do sistema pacotes bloqueados, estes são marcados com
prefixo Firewall:
iptables -A INPUT -j LOG --log-prefix Firewall:
OUTPUT
## Permite que o servidor acesse outras maquinas
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
### PREROUTING ###
## Redireciona conexoes com destino a porta 80 para a porta 81
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 81
### FORWARD ###
# Connection tracking (aceita pacotes para conexoes já estabelecidas)
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED,DNAT -j ACCEPT
#iptables -A FORWARD -m ip_nat_ftp --ctstate ESTABLISHED,RELATED,DNAT -j ACCEPT
## Redireciona dados de eth0 para eth1
iptables -A FORWARD -s 192.168.0.159 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.24 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.148 -o eth1 -j ACCEPT
iptables -A FORWARD -s
192.168.0.115 -o eth1 -j ACCEPT
iptables -A FORWARD -s
192.168.0.150 -o eth1 -j ACCEPT
POSTROUTING
## Compartilhamento
Res: iptables e proxy transparente
Porque voce nao controla o acesso do ftp via iptables, veja o que fiz:
# Enderecos que podem conectar-se a sites FTP.
FTP_ACCEPT=192.168.1.12 192.168.1.13 192.168.1.14 192.168.1.15
192.168.1.16 192.168.1.19 192.168.1.111 192.168.1.134 192.168.1.191
192.168.1.195 192.168.1.150
for FTP in ${FTP_ACCEPT};do
$IPT -t filter -A FORWARD -s ${FTP} -i $INT_LOC -o $INT_EXT -m
multiport -p tcp --dport 20,21 -m state --state NEW,RELATED,ESTABLISHED
-j ACCEPT
$IPT -t filter -A FORWARD -s ${FTP} -i $INT_LOC -o $INT_EXT -p tcp
--sport $UP_PORTS --dport $UP_PORTS -m state --state NEW,RELATED,ES
TABLISHED -j ACCEPT
$IPT -t filter -A FORWARD -d ${FTP} -i $INT_EXT -o $INT_LOC -m state
--state ESTABLISHED,RELATED -j ACCEPT
done
--
- -Claudio Rocha de Jesus
|.|-|.| Analista de Suporte Tecnico
-[EMAIL PROTECTED]
Linux user number 433834
--
- Mensagem original
De: Carlos Alberto [EMAIL PROTECTED]
Para: [EMAIL PROTECTED]; [EMAIL PROTECTED]; Lista Debian
debian-user-portuguese@lists.debian.org
Enviadas: Segunda-feira, 21 de Maio de 2007 18:46:01
Assunto: iptables e proxy transparente
Pessoal, gostaria de só liberar a net, http e ftp, através de proxy(squid)
transparente e liberar tambem o msn com nat, ja tentei de tudo, a porta do
squid é a 81. O proxy transparente funciona somente para o http, para ftp nada.
Estou liberando tudo por nat. Queria liberar apenas o msn, como faço? segue
abaixo o que fiz no iptables...:
#!/bin/bash
## Apaga quaisquer regras que por ventura existam
iptables -F
Regras de policiamento
## bloqueia qualquer pacote que não seja explicitament permitio
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
INPUT
## Permite acesso a interface loopback
iptables -A INPUT -i lo -j ACCEPT
## Permite apenas entrada das respostas as conexões desaida
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 81 -j ACCEPT
## Aceita conexoes ICMP com limite de conexoes por minuto
iptables -A INPUT -p icmp -m limit --limit 3/m --limit-burst 3 -j ACCEPT
## Liberar a porta do ssh
iptables -A INPUT -p tcp -s 192.168.0.24 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s
192.168.0.159 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.150 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s
192.168.0.148 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.115 --dport 22 -j ACCEPT
## Registra nos logs do sistema pacotes bloqueados, estes são marcados com
prefixo Firewall:
iptables -A INPUT -j LOG --log-prefix Firewall:
OUTPUT
## Permite que o servidor acesse outras maquinas
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
### PREROUTING ###
## Redireciona conexoes com destino a porta 80 para a porta 81
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 81
### FORWARD ###
# Connection tracking (aceita pacotes para conexoes já estabelecidas)
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED,DNAT -j ACCEPT
#iptables -A FORWARD -m ip_nat_ftp --ctstate ESTABLISHED,RELATED,DNAT -j ACCEPT
## Redireciona dados de eth0 para eth1
iptables -A FORWARD -s 192.168.0.159 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.24 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.148 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.115 -o eth1 -j ACCEPT
iptables -A FORWARD -s
192.168.0.150 -o eth1 -j ACCEPT
POSTROUTING
## Compartilhamento da internet
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p tcp -j SNAT --to
192.168.2.97
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p udp -j SNAT --to
192.168.2.97
### Ativa o modulo responsavel pelo encaminhamento de pacotes ###
echo 1 /proc/sys/net/ipv4/ip_forward
--
Cumprimentos
Carlos Alberto Mota Castro (Maranhão)
Estudante de Engenharia Elétrica
UNESP - FEIS - Ilha Solteira
Usuário GNU/Linux
__
Fale com seus amigos de graça com o novo Yahoo! Messenger
http://br.messenger.yahoo.com/
Re: Res: iptables + squid
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 04/30/2007 10:48 AM, Leandro Soares wrote: Felipe, primeiro obrigado pela ajuda. Vc acha que se eu passar para proxy transparente teria condições de de estabecer esta regra ? Não. :-( um abraço, Leandro Soares Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFGOVhMCjAO0JDlykYRAl/wAKCcztoB7HrlTrBtZHsM1xKcqo6DuQCcDZzo zrVZf9kuHzI9YJ4dkMzZrTY= =DUyd -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Res: iptables + squid
Felipe, primeiro obrigado pela ajuda. Vc acha que se eu passar para proxy transparente teria condições de de estabecer esta regra ? um abraço, Leandro Soares - Mensagem original De: Felipe Augusto van de Wiel (faw) [EMAIL PROTECTED] Para: debian-user-portuguese@lists.debian.org Enviadas: Segunda-feira, 30 de Abril de 2007 1:01:50 Assunto: Re: iptables + squid -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 04/25/2007 11:44 AM, Leandro Soares wrote: Amigos, tenho o seguinte cenário na minha rede: 1) Router DLINK fazendo balanceamento de duas wan´s. 2) Um proxy (squid) + Firewall com autenticação. |--| ---WAN1 | DLINK | |--| ---WAN2 | | |--| | PROXY | |--| | | | | | | | | maquinas rede interna. Todas as maquina na rede acessam via Proxy que faz as requisições ao DLINK que faz o balanceamento do dois links. Meu problema é que tenho que fazer algumas configuração no DLINK para determinadas maquinas passarem só pela WAN1 e para fazer isso ele (DLINK) tem que identificar que a requisição esta vindo desta maquina e não do Proxy. Pergunto, tem alguma rede no iptables que faça o DLINK identificar a maquina interna que esta fazendo a requisição ? *Teoricamente*, você poderia ter dois proxies, isso envolveria ter dois IPs na rede interna e dois IPs entre o proxy e o DLINK, mas isso permitiria alguns justes de quem vai pra onde. Como você não faz proxy transparente, as regras de firewall teriam que ser feitas na saída, e nesse momento já é o SQUID trabalhando, _talvez_ no squid.conf você possa entrar algo para usar ACLs e definir diferentes ações, a idéia seria fazer com que os pacotes chegassem com origens diferentes no DLINK (ou seja, ter dois IPs de saída no proxy), mas isso também dependeria da topologia da sua rede (não poderia ser um cabo cross, a menos que o DLINK suportasse IPs virtuais). um abraço, Leandro Soares Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFGNWouCjAO0JDlykYRAg9CAJ9EX6+LVOKW/WiRHqog8SwHiQ23NQCdH1wP eEYajU6AFeCn0h/qw0U69Aw= =Z3wC -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] __ Fale com seus amigos de graça com o novo Yahoo! Messenger http://br.messenger.yahoo.com/
Res: iptables
obrigado *= .''`. Yours Trully : :' : Carlos Beltrame `. `'` Eletrical Engineer `- IEEE #80472763 Linux User #442225 UNESP - Câmpus de Ilha Solteira http://www.ieee.org/unesp-ilha http://www.ldc.feis.unesp.br *= - Mensagem original De: paulobruck1 [EMAIL PROTECTED] Para: lista debian debian-user-portuguese@lists.debian.org Enviadas: Sábado, 28 de Abril de 2007 12:20:28 Assunto: Re: iptables Em Sáb, 2007-04-28 às 07:46 -0700, Carlos Augusto Beltrame escreveu: Ola pessoal, estou em dúvida, qual a diferença entre: iptables -A iptables -I me disseram que A eh pra adicionar uma regra, e I eh pra inserir uma regra, nao seria igual? obrigado o -I ( insert) insere a regra no começo da tabela e o -A ( append) insere no final da tabela []s *= .''`. Yours Trully : :' : Carlos Beltrame `. `'` Eletrical Engineer `- IEEE #80472763 Linux User #442225 UNESP - Câmpus de Ilha Solteira http://www.ieee.org/unesp-ilha http://www.ldc.feis.unesp.br *= __ Fale com seus amigos de graça com o novo Yahoo! Messenger http://br.messenger.yahoo.com/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] __ Fale com seus amigos de graça com o novo Yahoo! Messenger http://br.messenger.yahoo.com/
RES: Iptables
Funcionou no bootmisc.sh, valew ! -Mensagem original- De: Franz Gustav Niederheitmann [mailto:[EMAIL PROTECTED] Enviada em: segunda-feira, 17 de julho de 2006 12:37 Para: [EMAIL PROTECTED] Cc: debian-user-portuguese Assunto: Re: Iptables Em Seg, 2006-07-17 às 12:22 -0300, Daniel Alves escreveu: Alguém pode me dizer como faço para que as regras de firewall sejam iniciadas no boot ? Já salvei o arquivo: iptables-save /etc/init.d/firewall, mas não sei como iniciar o arquivo durante o boot. o mais facil eh vc criar um link simbolico no rc2.d ou ql rcX.d q vc estiver usando outra maneira eh colocar o /etc/init.d/firewall no arquivo /etc/init.d/bootmisc.sh naum esqueca de dar um chmod +x no /etc/init.d/firewall outra coisa, se for colocar no rc, acredito q vc deva colocar pra iniciar depois de que a placa de rede inicializa... poderia tambem modificar o /etc/init.d/networking, que jah vem com algumas protecoes... Obrigado, Daniel Alves -- Franz Gustav Niederheitmann GNU/Linux user #301744 Um livro é um mudo que fala, um surdo que responde, um cego que guia, um morto que vive. Não há fatos, só interpretações. Friedrich Wilhelm Nietzsche O fato de um camponês poder tornar-se rei não torna este reino democrático. Woodrow Wilson O homem conquistará sua liberdade quando o último rei for enforcado com as tripas do último padre. Diderot http://franzpiadas.blogspot.com/ http://franzlivros.blogspot.com/ http://franzfrases.blogspot.com/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] __ Informao do NOD32 IMON 1.1663 (20060716) __ Esta mensagem foi verificada pelo NOD32 sistema antivrus http://www.eset.com.br __ Informao do NOD32 IMON 1.1663 (20060716) __ Esta mensagem foi verificada pelo NOD32 sistema antivrus http://www.eset.com.br
Re: RES: Iptables: meu script (e algumas d úvidas)
Alan eu tenho uma dúvida, sobre o seu script Cade a proteção contra o ping da morte, syn flood, e outros? Qual a interface está recebendo o comando abaixo? # Bloqueia qualquer tentativa de nova conexão de fora para esta máquina iptables -A int-input -m state --state ! ESTABLISHED,RELATED -j DROP Alan Hoffmeister [EMAIL PROTECTED] escreveu:É assim que funciona aqui na empresa.. A liberação dos IP's necessários é aos poucos conforme a real nessecidade de acesso.. Isso funciona muito legal.. E Andre, cara, no reals não tem pq tu fica mandando mensagens com direitos.. Isso me da coceira. ainda mais em uma lista publica ^.- André Novelli - TI Embalatec escreveu: cara, nao manjo muito de firewall nao, mas eu droparia todas as conexões saintes e iria liberando conforme a necessidade ... Andre N.R.S. Leite Depto. de TI - Embalatec [EMAIL PROTECTED] 11 5534.0017***Atenção* Esta mensagem pode conter informação confidencial e/ou privilegiada. Se você não for o destinatário ou a pessoa autorizada a receber esta mensagem, não pode usar, copiar ou divulgar as informações nela contidas ou tomar qualquer ação baseada nessas informações. Se você recebeu esta mensagem por engano, por favor avise imediatamente o remetente, respondendo o e-mail e em seguida apague-o. Agradecemos sua cooperação.This message may contain confidential and/or privileged information. If you are not the addressee or authorized to receive this for the addressee, you must not use, copy, disclose or take any action based on this message or any information herein. If you have received this message in error, please advise the sender immediately by reply e-mail and delete this message. Thank you for your cooperation -Mensagem original- De: master_ [mailto:[EMAIL PROTECTED]] Enviada em: sexta-feira, 3 de fevereiro de 2006 09:19 Para: debian-user-portuguese@lists.debian.org Assunto: Iptables: meu script (e algumas dúvidas) Bom galera gostaria que vcs criticassem meu script de firewall. Vou explicar o que eu quis fazer: Nesse servidor roda qmail(+acessorios)+apache+squid. Quis fazê-lo o mais restritivo possível e ir liberando somente o necessário (25, 110, 80 para entrantes e mascarar somente algumas para a rede) Segue o script: INICIO DO SCRIPT # POLICY # # Tabela filter iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT ACCEPT iptables -t filter -P FORWARD DROP # Tabela nat iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING ACCEPT # Ativamos o redirecionamento de pacotes (requerido para NAT) # echo "1" /proc/sys/net/ipv4/ip_forward # Abaixar o limite de conexoes simultaneas echo "2048" /proc/sys/net/ipv4/ip_conntrack_max Tabela filter # ### # Chain INPUT # # Criamos um chain que será usado para tratar o tráfego vindo da Internet iptables -N int-input # Aceita todo o tráfego vindo do loopback e indo pro loopback iptables -A INPUT -i lo -j ACCEPT # Todo tráfego vindo da rede interna também é aceito iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT # Conexões vindas da interface eth1 são tratadas pelo chain int-input iptables -A INPUT -i eth1 -j int-input # Outras conex sao bloqueadas iptables -A INPUT -j DROP # Chain FORWARD # Permite redirecionamento de conexões entre as interfaces locais # especificadas abaixo. Qualquer tráfego vindo/indo para outras # interfaces será bloqueado neste passo. iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT iptables -A FORWARD -j DROP # Chain int-input # Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação # O tráfego de pacotes icmp que superar este limite será bloqueado # pela regra "...! ESTABLISHED,RELATED -j DROP" no final do # chain int-input iptables -A int-input -p icmp -j ACCEPT # Primeiro aceitamos o tráfego vindo da Internet para as portas 80, 110, 25 iptables -A int-input -p tcp --dport 80 -j ACCEPT iptables -A int-input -p tcp --dport 110 -j ACCEPT iptables -A int-input -p tcp --dport 25 -j ACCEPT # Bloqueia qualquer tentativa de nova conexão de fora para esta máquina iptables -A int-input -m state --state ! ESTABLISHED,RELATED -j DROP # Aceita outros tipos de trafego iptables -A int-input -j ACCEPT ### # Tabela nat # ### # Redir do SQUID iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # Ativando mascaramento para determinadas portas iptables -t nat -A POSTROUTING -s 192.168.0.0/24
RES: Iptables: meu script (e algumas dúvidas)
cara, nao manjo muito de firewall nao, mas eu droparia todas as conexões saintes e iria liberando conforme a necessidade ... Andre N.R.S. LeiteDepto. de TI - Embalatec[EMAIL PROTECTED]11 5534.0017***Atenção*Esta mensagem pode conter informação confidencial e/ou privilegiada. Se você não for o destinatário ou a pessoa autorizada a receber esta mensagem, não pode usar, copiar ou divulgar as informações nela contidas ou tomar qualquer ação baseada nessas informações. Se você recebeu esta mensagem por engano, por favor avise imediatamente o remetente, respondendo o e-mail e em seguida apague-o. Agradecemos sua cooperação.This message may contain confidential and/or privileged information. If you are not the addressee or authorized to receive this for the addressee, you must not use, copy, disclose or take any action based on this message or any information herein. If you have received this message in error, please advise the sender immediately by reply e-mail and delete this message. Thank you for your cooperation -Mensagem original-De: master_ [mailto:[EMAIL PROTECTED]Enviada em: sexta-feira, 3 de fevereiro de 2006 09:19Para: debian-user-portuguese@lists.debian.orgAssunto: Iptables: meu script (e algumas dúvidas) Bom galera gostaria que vcs criticassem meu script de firewall. Vou explicar o que eu quis fazer: Nesse servidor roda qmail(+acessorios)+apache+squid. Quis fazê-lo o mais restritivo possível e ir liberando somente o necessário (25, 110, 80 para entrantes e mascarar somente algumas para a rede) Segue o script: INICIO DO SCRIPT # POLICY ## Tabela filteriptables -t filter -P INPUT DROPiptables -t filter -P OUTPUT ACCEPTiptables -t filter -P FORWARD DROP# Tabela natiptables -t nat -P PREROUTING ACCEPTiptables -t nat -P OUTPUT ACCEPTiptables -t nat -P POSTROUTING ACCEPT # Ativamos o redirecionamento de pacotes (requerido para NAT) #echo "1" /proc/sys/net/ipv4/ip_forward # Abaixar o limite de conexoes simultaneasecho "2048" /proc/sys/net/ipv4/ip_conntrack_max Tabela filter # Chain INPUT ## Criamos um chain que será usado para tratar o tráfego vindo da Internet iptables -N int-input# Aceita todo o tráfego vindo do loopback e indo pro loopbackiptables -A INPUT -i lo -j ACCEPT# Todo tráfego vindo da rede interna também é aceitoiptables -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT# Conexões vindas da interface eth1 são tratadas pelo chain int-inputiptables -A INPUT -i eth1 -j int-input # Outras conex sao bloqueadasiptables -A INPUT -j DROP # Chain FORWARD # Permite redirecionamento de conexões entre as interfaces locais# especificadas abaixo. Qualquer tráfego vindo/indo para outras# interfaces será bloqueado neste passo. iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPTiptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPTiptables -A FORWARD -j DROP # Chain int-input # Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação# O tráfego de pacotes icmp que superar este limite será bloqueado# pela regra "...! ESTABLISHED,RELATED -j DROP" no final do # chain int-inputiptables -A int-input -p icmp -j ACCEPT # Primeiro aceitamos o tráfego vindo da Internet para as portas 80, 110, 25iptables -A int-input -p tcp --dport 80 -j ACCEPTiptables -A int-input -p tcp --dport 110 -j ACCEPTiptables -A int-input -p tcp --dport 25 -j ACCEPT # Bloqueia qualquer tentativa de nova conexão de fora para esta máquinaiptables -A int-input -m state --state ! ESTABLISHED,RELATED -j DROP # Aceita outros tipos de trafegoiptables -A int-input -j ACCEPT Tabela nat # Redir do SQUIDiptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # Ativando mascaramento para determinadas portas iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p icmp -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 110 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 25 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 80 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 3128 -j ACCEPTiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j ACCEPTiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport https -j MASQUERADE -- FIM DO SCRIPT
Re: RES: Iptables: meu script (e algumas dúvida s)
assim que funciona aqui na empresa.. A liberao dos IP's necessrios aos poucos conforme a real nessecidade de acesso.. Isso funciona muito legal.. E Andre, cara, no reals no tem pq tu fica mandando mensagens com direitos.. Isso me da coceira. ainda mais em uma lista publica ^.- Andr Novelli - TI Embalatec escreveu: cara, nao manjo muito de firewall nao, mas eu droparia todas as conexes saintes e iria liberando conforme a necessidade ... Andre N.R.S. Leite Depto. de TI - Embalatec [EMAIL PROTECTED] 11 5534.0017 ***Ateno* Esta mensagem pode conter informao confidencial e/ou privilegiada. Se voc no for o destinatrio ou a pessoa autorizada a receber esta mensagem, no pode usar, copiar ou divulgar as informaes nela contidas ou tomar qualquer ao baseada nessas informaes. Se voc recebeu esta mensagem por engano, por favor avise imediatamente o remetente, respondendo o e-mail e em seguida apague-o. Agradecemos sua cooperao. This message may contain confidential and/or privileged information. If you are not the addressee or authorized to receive this for the addressee, you must not use, copy, disclose or take any action based on this message or any information herein. If you have received this message in error, please advise the sender immediately by reply e-mail and delete this message. Thank you for your cooperation -Mensagem original- De: master_ [mailto:[EMAIL PROTECTED]] Enviada em: sexta-feira, 3 de fevereiro de 2006 09:19 Para: debian-user-portuguese@lists.debian.org Assunto: Iptables: meu script (e algumas dvidas) Bom galera gostaria que vcs criticassem meu script de firewall. Vou explicar o que eu quis fazer: Nesse servidor roda qmail(+acessorios)+apache+squid. Quis faz-lo o mais restritivo possvel e ir liberando somente o necessrio (25, 110, 80 para entrantes e mascarar somente algumas para a rede) Segue o script: INICIO DO SCRIPT # POLICY # # Tabela filter iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT ACCEPT iptables -t filter -P FORWARD DROP # Tabela nat iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING ACCEPT # Ativamos o redirecionamento de pacotes (requerido para NAT) # echo "1" /proc/sys/net/ipv4/ip_forward # Abaixar o limite de conexoes simultaneas echo "2048" /proc/sys/net/ipv4/ip_conntrack_max ### # Tabela filter # ### # Chain INPUT # # Criamos um chain que ser usado para tratar o trfego vindo da Internet iptables -N int-input # Aceita todo o trfego vindo do loopback e indo pro loopback iptables -A INPUT -i lo -j ACCEPT # Todo trfego vindo da rede interna tambm aceito iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT # Conexes vindas da interface eth1 so tratadas pelo chain int-input iptables -A INPUT -i eth1 -j int-input # Outras conex sao bloqueadas iptables -A INPUT -j DROP # Chain FORWARD # Permite redirecionamento de conexes entre as interfaces locais # especificadas abaixo. Qualquer trfego vindo/indo para outras # interfaces ser bloqueado neste passo. iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT iptables -A FORWARD -j DROP # Chain int-input # Aceitamos todas as mensagens icmp vindas de eth1 com certa limitao # O trfego de pacotes icmp que superar este limite ser bloqueado # pela regra "...! ESTABLISHED,RELATED -j DROP" no final do # chain int-input iptables -A int-input -p icmp -j ACCEPT # Primeiro aceitamos o trfego vindo da Internet para as portas 80, 110, 25 iptables -A int-input -p tcp --dport 80 -j ACCEPT iptables -A int-input -p tcp --dport 110 -j ACCEPT iptables -A int-input -p tcp --dport 25 -j ACCEPT # Bloqueia qualquer tentativa de nova conexo de fora para esta mquina iptables -A int-input -m state --state ! ESTABLISHED,RELATED -j DROP # Aceita outros tipos de trafego iptables -A int-input -j ACCEPT ### # Tabela nat # ### # Redir do SQUID iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # Ativando mascaramento para determinadas portas iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p icmp -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 110 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 25 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 80 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 3128 -j ACCEPT iptables -t nat -A
RES: RES: Iptables: meu script (e algumas dúvidas)
foi mals ... ja instalei um client de email só pra lista agora nao vou chatear mais . -Mensagem original-De: Alan Hoffmeister [mailto:[EMAIL PROTECTED]Enviada em: sexta-feira, 3 de fevereiro de 2006 09:33Para: debian-user-portuguese@lists.debian.orgCc: debian-user-portuguese@lists.debian.orgAssunto: Re: RES: Iptables: meu script (e algumas dúvidas)É assim que funciona aqui na empresa.. A liberação dos IP's necessários é aos poucos conforme a real nessecidade de acesso.. Isso funciona muito legal..E Andre, cara, no reals não tem pq tu fica mandando mensagens com direitos.. Isso me da coceira. ainda mais em uma lista publica ^.-André Novelli - TI Embalatec escreveu: cara, nao manjo muito de firewall nao, mas eu droparia todas as conexões saintes e iria liberando conforme a necessidade ... Andre N.R.S. LeiteDepto. de TI - Embalatec[EMAIL PROTECTED]11 5534.0017***Atenção*Esta mensagem pode conter informação confidencial e/ou privilegiada. Se você não for o destinatário ou a pessoa autorizada a receber esta mensagem, não pode usar, copiar ou divulgar as informações nela contidas ou tomar qualquer ação baseada nessas informações. Se você recebeu esta mensagem por engano, por favor avise imediatamente o remetente, respondendo o e-mail e em seguida apague-o. Agradecemos sua cooperação.This message may contain confidential and/or privileged information. If you are not the addressee or authorized to receive this for the addressee, you must not use, copy, disclose or take any action based on this message or any information herein. If you have received this message in error, please advise the sender immediately by reply e-mail and delete this message. Thank you for your cooperation -Mensagem original-De: master_ [mailto:[EMAIL PROTECTED]]Enviada em: sexta-feira, 3 de fevereiro de 2006 09:19Para: debian-user-portuguese@lists.debian.orgAssunto: Iptables: meu script (e algumas dúvidas) Bom galera gostaria que vcs criticassem meu script de firewall. Vou explicar o que eu quis fazer: Nesse servidor roda qmail(+acessorios)+apache+squid. Quis fazê-lo o mais restritivo possível e ir liberando somente o necessário (25, 110, 80 para entrantes e mascarar somente algumas para a rede) Segue o script: INICIO DO SCRIPT # POLICY ## Tabela filteriptables -t filter -P INPUT DROPiptables -t filter -P OUTPUT ACCEPTiptables -t filter -P FORWARD DROP# Tabela natiptables -t nat -P PREROUTING ACCEPTiptables -t nat -P OUTPUT ACCEPTiptables -t nat -P POSTROUTING ACCEPT # Ativamos o redirecionamento de pacotes (requerido para NAT) #echo "1" /proc/sys/net/ipv4/ip_forward # Abaixar o limite de conexoes simultaneasecho "2048" /proc/sys/net/ipv4/ip_conntrack_max Tabela filter # Chain INPUT ## Criamos um chain que será usado para tratar o tráfego vindo da Internet iptables -N int-input# Aceita todo o tráfego vindo do loopback e indo pro loopbackiptables -A INPUT -i lo -j ACCEPT# Todo tráfego vindo da rede interna também é aceitoiptables -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT# Conexões vindas da interface eth1 são tratadas pelo chain int-inputiptables -A INPUT -i eth1 -j int-input # Outras conex sao bloqueadasiptables -A INPUT -j DROP # Chain FORWARD # Permite redirecionamento de conexões entre as interfaces locais# especificadas abaixo. Qualquer tráfego vindo/indo para outras# interfaces será bloqueado neste passo. iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPTiptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPTiptables -A FORWARD -j DROP # Chain int-input # Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação# O tráfego de pacotes icmp que superar este limite será bloqueado# pela regra "...! ESTABLISHED,RELATED -j DROP" no final do # chain int-inputiptables -A int-input -p icmp -j ACCEPT # Primeiro aceitamos o tráfego vindo da Internet para as portas 80, 110, 25iptables -A int-input -p tcp --dport 80 -j ACCEPTiptables -A int-input -p tcp --dport 110 -j ACCEPTiptables -A int-input -p tcp --dport 25 -j ACCEPT # Bloqueia qualquer tentativa de nova conexão de fora para esta máquinaiptables -A int-input -m state --state ! ESTABLISHED,RELATED -j DROP # Aceita outros tipos de
RES: IPTABLES
Eu utilizo o shorewall (http://shorewall.sourceforge.net/) para gerenciar o IPTABLES Eu não manjo lunfas de IPTABLES, mas com o shorewall, dá para criar muitas regras, muitas mesmo... Para instalar no debian: apt-get install shorewall Recomendo usar o Webmin (apt-get install webmin webmin-core) com o modulo do shorewall (apt-get install webmin-shorewall) para configura-lo. Eu particularmente não uso o webmin para configurar o shorewall, visto que ele é muito limitado, mas dá para fazer um bom firewall usando as configurações do webmin. Keny Hayakawa Schmeling Diretor Comercial Optinfo Tecnologia em Informática Ltda. Tel: (11) 6805-1529 [EMAIL PROTECTED] -Mensagem original- De: Leonardo Machado [mailto:[EMAIL PROTECTED] Enviada em: sexta-feira, 26 de agosto de 2005 14:51 Para: debian-user-portuguese@lists.debian.org Assunto: IPTABLES eu preciso de um manul, ou tutorial de iptables, se for em portugues melhor. alguem sabe onde posso encontrrar??? -- Liquid_Byte Says: Beggars Cannot Be Choosers -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RES: iptables elegante para inicialização roteam ento
Existe o comando iptables-save e iptables-restore para isso, é só instalar o iptables no kernel e deixar ele carregando automaticamente no boot. -Mensagem original- De: Joel Franco Guzmán [mailto:[EMAIL PROTECTED] Enviada em: segunda-feira, 15 de setembro de 2003 11:25 Para: debian-user-portuguese@lists.debian.org Assunto: iptables elegante para inicialização roteamento Pessoal, Bom dia, Frequentemente, utilizo o debian como roteador, e cada vez que o instalo, tenho que colocar o comando do iptables (mascaramento) em um arquivo separado no /etc/init.d, do tipo /etc/init.d/rc.firewall com start e stop dentro dele. Pergunto: Não existe uma forma mais elegante de fazer isso? []s -- .''`. | Joel Franco : :' : | Debian Addicted `. `'` | Sanca-SP `-| ICQ 19354050 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RES: Iptables no Kernel do Debian 3.0
Recompile o Kernel com suporte a IP_TABLES... :-) Siga as instruçoes que estão no site do Guia Foca... é batata. lá tem tudo o que você precisa habilitar no kernel :-`) -Mensagem original-De: Rápido SP - CPD (Luiz Anversa) [mailto:[EMAIL PROTECTED]Enviada em: quarta-feira, 22 de janeiro de 2003 12:59Para: [EMAIL PROTECTED]Cc: debian-user-portuguese@lists.debian.orgAssunto: Iptables no Kernel do Debian 3.0 Bom Dia !! Caro Gustavo, estou precisando de sua ajuda. Quando instalo o debian 3.0 fica tudos os modulos e o iptales blz, agora quando recompilo ele, meu iptables para de funcionar e somem todos os modulos, a mensagem que aparece quando dou um iptables -L é a seguinte Ç modprobe: can't locate module ip_tables iptables ver 1.2.6a can't initialize iptables table filter iptables who (do yuo need to insmd) Perhaps iptables or yuor kernel needs to be upgraded . Como devo fazer para que o iptables funcione. ! Att Luiz Fernando
RES: Iptables
site deve estar como erro nao consegui acessar, sds Carlucio Lopes http://br.tinycobol.org Projeto Cobol Linux http://wiki.tinycobol.org tutoriais,dicas,etc. www.focalinux.org tutoriais//postresql-7.2 Debian Gnu/Linux 3.0 wood kernel 2.4.18 Linux counter nr. 285056.//Deus seja Louvado -Mensagem original- De: caio ferreira [mailto:[EMAIL PROTECTED] Enviada em: quarta-feira, 4 de dezembro de 2002 23:54 Para: debian-user-portuguese@lists.debian.org Assunto: Iptables On Tue, 19 Nov 2002 06:00:48 -0500 Franciosi, Andre [EMAIL PROTECTED] wrote: O tutorial do Oskar é um bom começo, http://www.netfilter.org/documentation/tutorials/blueflux/ipta bles-tutorial. html Da só uma olhada nesse tutorial !! -- [ ]'s ***.''`. * [EMAIL PROTECTED] * : :' : * GNU/Linux Debian * `. `'` *** `- Gnupg ID 0x01186BE1 Key fingerprint =3D F17E 75C6 CE00 0E09 F63B 71B0 A0D2 FAD9 0118 6BE1 A Amazônia, pulmão do mundo, está doente. E não vai ser mole tirar a chapa -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: RES: Iptables
Tente assim: http://www.netfilter.org/documentation/tutorials/blueflux/ Abraços, Menezes Em Qui, 2002-11-28 às 14:08, Carlucio Lopes escreveu: site deve estar como erro nao consegui acessar, sds Carlucio Lopes http://br.tinycobol.org Projeto Cobol Linux http://wiki.tinycobol.org tutoriais,dicas,etc. www.focalinux.org tutoriais//postresql-7.2 Debian Gnu/Linux 3.0 wood kernel 2.4.18 Linux counter nr. 285056.//Deus seja Louvado -Mensagem original- De: caio ferreira [mailto:[EMAIL PROTECTED] Enviada em: quarta-feira, 4 de dezembro de 2002 23:54 Para: debian-user-portuguese@lists.debian.org Assunto: Iptables On Tue, 19 Nov 2002 06:00:48 -0500 Franciosi, Andre [EMAIL PROTECTED] wrote: O tutorial do Oskar é um bom começo, http://www.netfilter.org/documentation/tutorials/blueflux/ipta bles-tutorial. html Da só uma olhada nesse tutorial !! -- [ ]'s ***.''`. * [EMAIL PROTECTED] * : :' : * GNU/Linux Debian * `. `'` *** `- Gnupg ID 0x01186BE1 Key fingerprint =3D F17E 75C6 CE00 0E09 F63B 71B0 A0D2 FAD9 0118 6BE1 A Amazônia, pulmão do mundo, está doente. E não vai ser mole tirar a chapa -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RES: Iptables
man iptables -Mensagem original- De: Luís Trindade Gomes [mailto:[EMAIL PROTECTED] Enviada em: segunda-feira, 18 de novembro de 2002 22:46 Para: debian-user-portuguese@lists.debian.org Assunto: Iptables Olá, Gostava de sber onde posso encontar um manual de iptables, onde possa aprender a configura o iptables. Cumprimentos, Luís -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
