Boa tarde a todos... Pessoal, eu sou meio basicao em iptables e queria ver se conseguia entender o cenario abaixo:
Eu estou tentando fazer um firewall basico pra empresa onde trabalho, do tipo, fecha tudo e abre apenas alguns servicos e o q tiver de http vai via proxy transparente pro squid. Bom o script abaixo foi pego da internet e adaptado, estou usando o iptables-save e o iptables-restore para poder me organizar melhor... O Script abaixo ele ate funcionava, pois nada saia ate eu colocar a linha -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT, no periodo de testes para poder tes acesso geral. note que essa regra esta comentada agora. Acontece que eu fosse soh usar a linha -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP para fechar e tudo estaria ok... mas nao esta... Ele esta deixando passar tudo passar por ele. Estou desconfiado das regras genericas em :INPUT ACCEPT [0:0], :FORWARD ACCEPT [623:549238] e :OUTPUT ACCEPT [53:7004] que elas sejam as responsaveis por estar passando tudo (entenda-se por tudo pop, smtp, messenger, p2p, etc) mas quando eu comento uma delas ou todas elas, tudo para de funcionar inclusive o proxy transparente... Alguem poderia me dar umas dicas sobre o que estudar para sanar meus problemas? Se puderem dar dicas do caminho das pedras eu fico grato. Generated by iptables-save v1.3.6 on Sat Jun 9 17:39:28 2007 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [623:549238] :OUTPUT ACCEPT [53:7004] -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 1225 -j ACCEPT -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT -A INPUT -p tcp -m tcp --dport 953 -j ACCEPT -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 3128 -j ACCEPT #-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP #-A INPUT -j DROP COMMIT # Completed on Sat Jun 9 17:39:28 2007 # Generated by iptables-save v1.3.6 on Sat Jun 9 17:39:28 2007 *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j DNAT --to 192.168.0.250:3128 -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Sat Jun 9 17:39:28 2007 ~ Best Regards, Marcelo Magno "It is impossible to get out of a problem by using the same type of thinking that it took to get into the problem." -- Albert Einstein -- Interessado em aprender mais sobre o Ubuntu em português? http://wiki.ubuntu-br.org/ComeceAqui - ubuntu-br mailing list ubuntu-br@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-br