Oi Gente,
Pesquisando na Net e no guia FocaLinux, fiz um firewall um pouco
simples, mas bem funcional, porém estou tendo problemas com o Outlook Express,
pois depois que coloquei o Firewall, toda vez que tento enviar ou receber
mensagem via Outlook da as seguintes Mensagens:" Não foi possível conectar ao
servidor. Conta: 'Famatri', Servidor: 'pop.triang.com.br', protocolo: POP3,
porta 110,segura (ssl): Não, erro de soquete: 10060, Nro do erro: 0x800ccc0e
Não foi possível conectar ao servidor. Conta: 'Famatri', Servidor:
'pop.triang.com.br', protocolo: SMTP, porta 25,segura (ssl): Não, erro de
soquete: 10060, Nro do erro: 0x800ccc0e "
Estou postando o firewall, e solicito ajuda de quem já passou por este
problema, pois já pesquisei na NET e no próprio guia FocaLinux, e nada tá dando
certo. (Sistema Fedora Core 5. Não tem servidor de DNS. Roda Proxy e Firewall
"Iptables". O Squid esta ativo e as acl safe port 110 e 25 não estão comentadas)
Gente desde já agradeço a ajuda,
Felipe
=======================================================
#!/bin/bash
echo " INICIANDO REGRA DE FIREWALL "
#--------------------------------------------------------------
# Definição da Variaveis
#---------------------------------------------------------------
ipt=/sbin/iptables
mod=/sbin/modprobe
dnssmt=201.16.129.157 # IP do Servidor de Correio SMT (smt.triang.com.br)
dnspop=201.16.129.156 # IP do Servidor de Correio POP (pop.triang.com.br)
rede_interna=192.168.1.0/24
#placa interna =eth1
#placa externa =eth0
# IP do Servidor Web 192.168.1.1
# O IP da Rede Interna vai do 192.168.1.2 até 192.168.1.80
# ----------------------------------------------------------------
# Zera regras
# ----------------------------------------------------------------
$ipt -F
$ipt -X
$ipt -F -t nat
$ipt -X -t nat
$ipt -F -t mangle
$ipt -X -t mangle
echo "Zeramento das regras OK!"
# ----------------------------------------------------------------
# Ativa modulos
# ----------------------------------------------------------------
$mod iptable_nat
$mod ip_conntrack
$mod ip_conntrack_ftp
$mod ip_nat_ftp
$mod ipt_LOG
$mod ipt_REJECT
$mod ipt_MASQUERADE
echo "Carga dos Modulos OK!"
$ipt -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
$ipt -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j REDIRECT --to-port 3128
# ----------------------------------------------------------------
# Mascaramento ( NAT )
# ----------------------------------------------------------------
# Mascarar pacotes de saida para a internet
# Habilitando o recurso de IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
#-----------------------------------------------------------------
# VNC regras de iptables pra repassar pra maquina local
# ----------------------------------------------------------------
$ipt -A FORWARD -i eth0 -p tcp --dport 5800:5900 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -i eth0 -p udp --dport 5800:5900 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
$ipt -t nat -A PREROUTING -p tcp -i eth0 --dport 5800:5900 -j DNAT --to
192.168.1.30:5800-5900
$ipt -t nat -A PREROUTING -p udp -i eth0 --dport 5800:5900 -j DNAT --to
192.168.1.30:5800-5900
# ----------------------------------------------------------------
# Proteções Contra Ataques
# ----------------------------------------------------------------
# bloqueia ping
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
#Bloquear Trin00
$ipt -A INPUT -p tcp -i eth0 --dport 1524 -j DROP
$ipt -A INPUT -p tcp -i eth0 --dport 27665 -j DROP
$ipt -A INPUT -p udp -i eth0 --dport 27444 -j DROP
$ipt -A INPUT -p udp -i eth0 --dport 31335 -j DROP
# Proteção contra pacotes danificados ou suspeitos.
$ipt -A FORWARD -m unclean -j DROP
#Proteção contra Syn-floods
$ipt -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Protege contra os "Ping of Death"
$ipt -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Protege contra os ataques do tipo "Syn-flood, DoS, etc"
$ipt -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
# Protege contra port scanners avançados (Ex.: nmap)
$ipt -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j
ACCEPT
# Protege AS PORTAS PROIBIDAS
$ipt -A INPUT -p tcp --dport 21 -j LOG --log-prefix "Porta do FTP "
$ipt -A INPUT -p tcp --dport 23 -j LOG --log-prefix "Porta do TELNET "
$ipt -A INPUT -p tcp --dport 22 -j LOG --log-prefix "Porta do SSH "
$ipt -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix "Porta do NETBEUI "
# Protege contra BackDoors Wincrash e BackOrifice
$ipt -A INPUT -p tcp --dport 5042 -j LOG --log-prefix "Porta do Wincrash "
$ipt -A INPUT -p tcp --dport 12345 -j LOG --log-prefix "Porta do BackOrifice "
# ----------------------------------------------------------------
#libera o loopback
# ----------------------------------------------------------------
$ipt -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
echo "Proteção das regras OK!"
# ----------------------------------------------------------------
# libera conexões de fora pra dentro
# ----------------------------------------------------------------
$ipt -A INPUT -p tcp --dport 443 -j ACCEPT
$ipt -A IMPUT -p tcp --dport 563 -j ACCEPT
$ipt -A INPUT -p tcp --dport 20 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT
$ipt -A INPUT -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 25 -j ACCEPT
$ipt -A INPUT -p tcp --dport 110 -j ACCEPT
$ipt -A INPUT -p tcp --dport 443 -j ACCEPT
$ipt -A INPUT -p tcp --dport 563 -j ACCEPT
# ----------------------------------------------------------------
#Liberar portas para minha Correio
# ----------------------------------------------------------------
$ipt -A FORWARD -p tcp -s $rede_interna -d $dnssmt --dport 53 -j ACCEPT
$ipt -A FORWARD -p tcp -s $rede_interna -d $dnspop --dport 53 -j ACCEPT
$ipt -A FORWARD -p tcp -s $dnssmt --sport 53 -d $rede_interna -j ACCEPT
$ipt -A FORWARD -p tcp -s $dnspop --sport 53 -d $rede_interna -j ACCEPT
$ipt -A FORWARD -p TCP -s $rede_interna --dport 25 -j ACCEPT
$ipt -A FORWARD -p TCP -s $rede_interna --dport 110 -j ACCEPT
$ipt -A FORWARD -p tcp --sport 25 -j ACCEPT
$ipt -A FORWARD -p tcp --sport 110 -j ACCEPT
# ----------------------------------------------------------------
#Libera porta para a Conectividade Social
# ----------------------------------------------------------------
$ipt -A FORWARD -p tcp --dport 2631 -j ACCEPT
$ipt -A FORWARD -p udp --dport 2631 -j ACCEPT
# ----------------------------------------------------------------
#Libera porta HTTPS
# ----------------------------------------------------------------
$ipt -A FORWARD -p tcp --dport 443 -j ACCEPT
$ipt -A FORWARD -p tcp --dport 563 -j ACCEPT
# ----------------------------------------------------------------
# Libera conexoes de dentro pra fora:
# ----------------------------------------------------------------
$ipt -A OUTPUT -p tcp --dport 80 -j ACCEPT
$ipt -A OUTPUT -p tcp --dport 22 -j ACCEPT
$ipt -A OUTPUT -p tcp --dport 20 -j ACCEPT
$ipt -A OUTPUT -p tcp --dport 21 -j ACCEPT
$ipt -A OUTPUT -p tcp --dport 86 -j ACCEPT
$ipt -A OUTPUT -p tcp --dport 5190 -j ACCEPT
$ipt -A OUTPUT -p tcp --dport 1863 -j ACCEPT
$ipt -A OUTPUT -p tcp --dport 25 -j ACCEPT
$ipt -A OUTPUT -p tcp --dport 110 -j ACCEPT
$ipt -A OUTPUT -p tcp --dport 443 -j ACCEPT
$ipt -A OUTPUT -p tcp --dport 563 -j ACCEPT
# ---------------------------------------------------------------
# Redireciona conexâo via DesktopRemoto, para o balão
#----------------------------------------------------------------
redir --caddr=192.168.1.30 --lport=3389 --cport=3389 &
echo "Conexão do DeskTop Remoto Liberada"
echo "Carga do Firewall OK!"
__________________________________________________
Fale com seus amigos de graça com o novo Yahoo! Messenger
http://br.messenger.yahoo.com/
__________________________________________________
Fale com seus amigos de graça com o novo Yahoo! Messenger
http://br.messenger.yahoo.com/
[As partes desta mensagem que não continham texto foram removidas]
