voce nao colocou a regra para mascarar a rede interna ... testa desse jeito que vai funcionar...:
#!/bin/bash echo " INICIANDO REGRA DE FIREWALL " #----------- ----------------------------------------------- # Definição da Variaveis #---------------------------------------------------------- ipt=/sbin/iptables mod=/sbin/modprobe dnssmt=201.16.129.157 # IP do Servidor de Correio SMT (smt.triang.com.br) dnspop=201.16.129.156 # IP do Servidor de Correio POP (pop.triang.com.br) rede_interna=192.168.1.0/24 #placa interna =eth1 #placa externa =eth0 # IP do Servidor Web 192.168.1.1 # O IP da Rede Interna vai do 192.168.1.2 até 192.168.1.80 # ---------------------------------------------------------- # Zera regras # ---------------------------------------------------------- $ipt -F $ipt -X $ipt -F -t nat $ipt -X -t nat $ipt -F -t mangle $ipt -X -t mangle echo "Zeramento das regras OK!" # ---------------------------------------------------------- # Ativa modulos # ---------------------------------------------------------- $mod iptable_nat $mod ip_conntrack $mod ip_conntrack_ftp $mod ip_nat_ftp $mod ipt_LOG $mod ipt_REJECT $mod ipt_MASQUERADE echo "Carga dos Modulos OK!" $ipt -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 $ipt -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j REDIRECT --to-port 3128 # ---------------------------------------------------------- # Mascaramento ( NAT ) # ---------------------------------------------------------- # Mascarar pacotes de saida para a internet # Habilitando o recurso de IP forwarding echo 1 > /proc/sys/net/ipv4/ip_forward $ipt -t nat -A POSTROUTING -s $rede_interna -j MASQUERADE #---------------------------------------------------------- # VNC regras de iptables pra repassar pra maquina local # ---------------------------------------------------------- $ipt -A FORWARD -i eth0 -p tcp --dport 5800:5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $ipt -A FORWARD -i eth0 -p udp --dport 5800:5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $ipt -t nat -A PREROUTING -p tcp -i eth0 --dport 5800:5900 -j DNAT --to 192.168.1.30:5800-5900 $ipt -t nat -A PREROUTING -p udp -i eth0 --dport 5800:5900 -j DNAT --to 192.168.1.30:5800-5900 # ---------------------------------------------------------- # Proteções Contra Ataques # ---------------------------------------------------------- # bloqueia ping echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all #Bloquear Trin00 $ipt -A INPUT -p tcp -i eth0 --dport 1524 -j DROP $ipt -A INPUT -p tcp -i eth0 --dport 27665 -j DROP $ipt -A INPUT -p udp -i eth0 --dport 27444 -j DROP $ipt -A INPUT -p udp -i eth0 --dport 31335 -j DROP # Proteção contra pacotes danificados ou suspeitos. $ipt -A FORWARD -m unclean -j DROP #Proteção contra Syn-floods $ipt -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT # Protege contra os "Ping of Death" $ipt -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # Protege contra os ataques do tipo "Syn-flood, DoS, etc" $ipt -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT # Protege contra port scanners avançados (Ex.: nmap) $ipt -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT # Protege AS PORTAS PROIBIDAS $ipt -A INPUT -p tcp --dport 21 -j LOG --log-prefix "Porta do FTP " $ipt -A INPUT -p tcp --dport 23 -j LOG --log-prefix "Porta do TELNET " $ipt -A INPUT -p tcp --dport 22 -j LOG --log-prefix "Porta do SSH " $ipt -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix "Porta do NETBEUI " # Protege contra BackDoors Wincrash e BackOrifice $ipt -A INPUT -p tcp --dport 5042 -j LOG --log-prefix "Porta do Wincrash " $ipt -A INPUT -p tcp --dport 12345 -j LOG --log-prefix "Porta do BackOrifice " # ---------------------------------------------------------- #libera o loopback # ---------------------------------------------------------- $ipt -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT echo "Proteção das regras OK!" # ---------------------------------------------------------- # libera conexões de fora pra dentro # ---------------------------------------------------------- $ipt -A INPUT -p tcp --dport 443 -j ACCEPT $ipt -A IMPUT -p tcp --dport 563 -j ACCEPT $ipt -A INPUT -p tcp --dport 20 -j ACCEPT $ipt -A INPUT -p tcp --dport 21 -j ACCEPT $ipt -A INPUT -p tcp --dport 22 -j ACCEPT $ipt -A INPUT -p tcp --dport 25 -j ACCEPT $ipt -A INPUT -p tcp --dport 110 -j ACCEPT $ipt -A INPUT -p tcp --dport 443 -j ACCEPT $ipt -A INPUT -p tcp --dport 563 -j ACCEPT # ---------------------------------------------------------- #Liberar portas para minha Correio # ---------------------------------------------------------- $ipt -A FORWARD -p tcp -s $rede_interna -d $dnssmt --dport 53 -j ACCEPT $ipt -A FORWARD -p tcp -s $rede_interna -d $dnspop --dport 53 -j ACCEPT $ipt -A FORWARD -p tcp -s $dnssmt --sport 53 -d $rede_interna -j ACCEPT $ipt -A FORWARD -p tcp -s $dnspop --sport 53 -d $rede_interna -j ACCEPT $ipt -A FORWARD -p TCP -s $rede_interna --dport 25 -j ACCEPT $ipt -A FORWARD -p TCP -s $rede_interna --dport 110 -j ACCEPT $ipt -A FORWARD -p tcp --sport 25 -j ACCEPT $ipt -A FORWARD -p tcp --sport 110 -j ACCEPT # ---------------------------------------------------------- #Libera porta para a Conectividade Social # ---------------------------------------------------------- $ipt -A FORWARD -p tcp --dport 2631 -j ACCEPT $ipt -A FORWARD -p udp --dport 2631 -j ACCEPT # ---------------------------------------------------------- #Libera porta HTTPS # ---------------------------------------------------------- $ipt -A FORWARD -p tcp --dport 443 -j ACCEPT $ipt -A FORWARD -p tcp --dport 563 -j ACCEPT # ---------------------------------------------------------- # Libera conexoes de dentro pra fora: # ---------------------------------------------------------- $ipt -A OUTPUT -p tcp --dport 80 -j ACCEPT $ipt -A OUTPUT -p tcp --dport 22 -j ACCEPT $ipt -A OUTPUT -p tcp --dport 20 -j ACCEPT $ipt -A OUTPUT -p tcp --dport 21 -j ACCEPT $ipt -A OUTPUT -p tcp --dport 86 -j ACCEPT $ipt -A OUTPUT -p tcp --dport 5190 -j ACCEPT $ipt -A OUTPUT -p tcp --dport 1863 -j ACCEPT $ipt -A OUTPUT -p tcp --dport 25 -j ACCEPT $ipt -A OUTPUT -p tcp --dport 110 -j ACCEPT $ipt -A OUTPUT -p tcp --dport 443 -j ACCEPT $ipt -A OUTPUT -p tcp --dport 563 -j ACCEPT # ---------------------------------------------------------- # Redireciona conexâo via DesktopRemoto, para o balão #---------------------------------------------------------- redir --caddr=192.168.1.30 --lport=3389 --cport=3389 & echo "Conexão do DeskTop Remoto Liberada" echo "Carga do Firewall OK!" -- Sds. Alexandre J. Correa Onda Internet www.ondainternet.com.br Linux User ID #142329
