Marcelo, A cadeia INPUT só restringirá acesso às portas do servidor onde está a firewall. No caso de restringir portas que as máquinas da intranet acessam na internet, você deverá usar a cadeia FOWARD.
On Wednesday 15 August 2007 12:18:17 Marcelo Magno wrote: > Boa tarde a todos... > > Pessoal, eu sou meio basicao em iptables e queria ver se conseguia > entender o cenario abaixo: > > Eu estou tentando fazer um firewall basico pra empresa onde trabalho, do > tipo, fecha tudo e abre apenas alguns servicos e o q tiver de http vai > via proxy transparente pro squid. > > Bom o script abaixo foi pego da internet e adaptado, estou usando o > iptables-save e o iptables-restore para poder me organizar melhor... > > O Script abaixo ele ate funcionava, pois nada saia ate eu colocar a > linha -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --tcp-flags > FIN,SYN,RST,ACK SYN -j ACCEPT, no periodo de testes para poder tes > acesso geral. note que essa regra esta comentada agora. > > Acontece que eu fosse soh usar a linha -A INPUT -p tcp -m tcp > --tcp-flags FIN,SYN,RST,ACK SYN -j DROP para fechar e tudo estaria ok... > mas nao esta... Ele esta deixando passar tudo passar por ele. > > Estou desconfiado das regras genericas em :INPUT ACCEPT [0:0], :FORWARD > ACCEPT [623:549238] e :OUTPUT ACCEPT [53:7004] que elas sejam as > responsaveis por estar passando tudo (entenda-se por tudo pop, smtp, > messenger, p2p, etc) mas quando eu comento uma delas ou todas elas, tudo > para de funcionar inclusive o proxy transparente... > > Alguem poderia me dar umas dicas sobre o que estudar para sanar meus > problemas? Se puderem dar dicas do caminho das pedras eu fico grato. > > > > Generated by iptables-save v1.3.6 on Sat Jun 9 17:39:28 2007 > *filter > > :INPUT ACCEPT [0:0] > :FORWARD ACCEPT [623:549238] > :OUTPUT ACCEPT [53:7004] > > -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT > -A INPUT -p tcp -m tcp --dport 1225 -j ACCEPT > -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT > -A INPUT -p tcp -m tcp --dport 953 -j ACCEPT > -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 53 -j ACCEPT > -A INPUT -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 53 -j ACCEPT > -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j > ACCEPT > -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 3128 -j > ACCEPT > #-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --tcp-flags > FIN,SYN,RST,ACK SYN -j ACCEPT > -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP > #-A INPUT -j DROP > COMMIT > # Completed on Sat Jun 9 17:39:28 2007 > # Generated by iptables-save v1.3.6 on Sat Jun 9 17:39:28 2007 > *nat > > :PREROUTING ACCEPT [0:0] > :POSTROUTING ACCEPT [0:0] > :OUTPUT ACCEPT [0:0] > > -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j DNAT > --to 192.168.0.250:3128 > -A POSTROUTING -o eth0 -j MASQUERADE > COMMIT > # Completed on Sat Jun 9 17:39:28 2007 > ~ > > > Best Regards, > Marcelo Magno > > "It is impossible to get out of a problem by using the same type of > thinking > that it took to get into the problem." -- Albert Einstein -- Patrick Silva Ximenes GULMS - Grupo de Usuarios Linux MS ([EMAIL PROTECTED]) PSLMS - Projeto Software Livre MS -- Interessado em aprender mais sobre o Ubuntu em português? http://wiki.ubuntu-br.org/ComeceAqui - ubuntu-br mailing list ubuntu-br@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-br