http://www.zago.eti.br/firewall/iptables-cont3.txt Este arquivo FAQ é continuação de iptables.txt, foram divididos para diminuir o tamanho do arquivo. Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ***************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux ***************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: Isaac Cavalcanti Cc: Lista da conectiva Assunto: Re: (linux-br)IPTABLES - Fechando portas altas e baixas Data: Mon, 11 Oct 2004 15:32:33 -0300 Olá Isaac, Comece classificando as conexões do firewall por zona. Exemplo, eth0 está ligada a internet, zona Externa. eth1 está ligada a sua rede local, zona LAN. Agora crie as políticas de cada zona: EXT-> : Porta tcp 22 Porta tcp 1723 LAN-> : (Você pode declarar como confiável) LAN->EXT Porta 80 Porta 110 Porta 25 EXT->LAN Porta 3389 agora crie o seu firewall: # Aceita loopback iptables -A INPUT -i lo -j ACCEPT #Aceita conexões estabelecias e relacionadas iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Regras para a zona EXT iptables -A INPUT -i eth0 -p tcp --syn --dport 22 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --syn --dport 1723 -j ACCEPT # Precisa aceitar o protocolo 47 (GRE) para trabalhar em conjunto com o PPTP iptables -A INPUT -i eth0 -p 47 -j ACCEPT # Regras para a zona LAN iptables -A INPUT -i eth1 -j ACCEPT iptables -A INPUT -j LOG --log-prefix 'REJEITADO ENTRADA: ' --log-level debug iptables -A INPUT -j REJECT (ou DROP) iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Repasse de pacotes da zona LAN para zona EXT iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -j ACCEPT #repasse de pacotes da zona EXT par a zona LAN iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 3389 -j ACCEPT iptables -A FORWARD -j LOG --log-level debug --log-prefix 'REJEITADO FORWARD: ' iptables -A FORWARD -j REJECT (ou DROP) iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination ip.do.seu.ts:3389 Da uma olhada numa ferramenta on-line para gerar scripts iptables: http://www.triforsec.com.br/projetos/iptsimples/ Abraço! Alejandro Flores > 1) Carregue os modulos(eu sei fazer) > ai daqui para abaixo eu me perco na logica, olha o que eu quero: > Fechar todas as portas tanto baixas como altas e libera somente: > 80 - para que a rede(192.168.0.0/24 navegue na internet mascarada) > 22 - ssh para eu administrar remotamente > 1723 - para a pvn > 3389 - para o terminal service do windows(mas parece que nao basta so > liberar a porta) > 110 - pop > 25 - smtp ***************************************************** De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br Cc: Isaac Cavalcanti Assunto: Re: (linux-br)IPTABLES - Fechando portas altas e baixas Data: Mon, 11 Oct 2004 11:44:39 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Isaac Cavalcanti wrote: >Fechar todas as portas tanto baixas como altas iptables -P INPUT DROP >e libera somente: > >80 - para que a rede(192.168.0.0/24 navegue na internet mascarada) Isso não está relacionado. A liberação da porta é somente para quem quer acessar o seu site. >22 - ssh para eu administrar remotamente iptables -A INPUT -p tcp --dport 22 -j ACCEPT >1723 - para a pvn Mesmo que acima. Tem certeza de que essa é a única porta usada? Não há qualquer outra comunicação? >3389 - para o terminal service do windows(mas parece que nao basta so >liberar a porta) Idem. >110 - pop >25 - smtp iptables -A INPUT -p tcp -mmultiport --dports 25,110 -j ACCEPT - -- Thiago Macieira - Registered Linux user #65028 thiago (AT) macieira (DOT) info ***************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: Isaac Cavalcanti Cc: Lista da conectiva Assunto: Re: (linux-br)IPTABLES - ESTABLISHED, RELATED Data: Mon, 11 Oct 2004 15:09:58 -0300 Olá, O Iptables é um firewall statefull (faz análise do estado das conexões). '-m state' está informando que nessa regra deve ser utilizado o módulo de checagem de estados, --state informa os estados que devem ser checados (Conexão estabelecida ou Relacionada). Caso o estado da conexão seja uma dessas 2, então ele vai aceitar. Abraço! Alejandro Flores On Mon, 11 Oct 2004 05:36:40 -0400, Isaac Cavalcanti wrote: > Colegas, para que servem essas linhas: > iptables -A FORWARD -i eth1 -m state --state ESTABLISHED, RELATED > -jACCEPTiptables -A INPUT -i eth1 -m state --state ESTABLISHED, RELATED > -j ACCEPTiptables -A OUTPUT -m state --state ESTABLISHED, RELATED -j > ACCEPTiptables -A FORWARD -i eth0 -m state --state ESTABLISHED, RELATED > -jACCEPTiptables -A INPUT -i eth0 -m state --state ESTABLISHED, RELATED > -j ACCEPT ***************************************************** De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) VNC na rede interna - várias máquinas Data: Tue, 15 Mar 2005 22:50:28 -0300 Gustavo { Ozzy } wrote: > Agora, preciso configurar o mesmo serviço de VNC em outra máquina da >rede, no IP 2 por exemplo. Então copiei a regra e troquei os IP's > somente, mas naum funcionou. Como devo proceder para q Troque a porta também. Você não pode ter duas regras com as mesmas condições (--dport 5900). -- Thiago Macieira - thiago (AT) macieira (DOT) info ***************************************************** De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br, Kilson Arruda Assunto: Re: (linux-br)Cabecalho UDP Data: Tue, 12 Apr 2005 07:48:19 -0300 Kilson Arruda wrote: >Olá Pessoal, >Como é possível alterar o cabecalho de um pacote udp, forjando os > enderecos IP e MAC da origem? Com o iptables? Use o as regras de DNAT e SNAT como para o TCP. É a mesma coisa. O MAC não faz sentido nesse caso, porque ele é local à rede. Quando você está atravessando o roteador, o MAC já ficou para trás. -- Thiago Macieira - thiago (AT) macieira (DOT) info PGP/GPG: 0x6EF45358; fingerprint: E067 918B B660 DBD1 105C 966C 33F5 F005 6EF4 5358 ***************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: Kilson Arruda Cc: Lista Conectiva Assunto: Re: (linux-br)Cabecalho UDP Data: Tue, 12 Apr 2005 08:35:59 -0300 Olá, > Olá Pessoal, > Como é possível alterar o cabecalho de um pacote udp, forjando os enderecos > IP e MAC da origem? > Agradeco qualquer ajuda. Você pode utilizar a biblioteca libnet e fazer um programa em c para criar seu próprio pacote ou utilizar um programa chamado Packit, que manda pacotes do jeito que você quiser. -- Abraço! Alejandro Flores http://www.triforsec.com.br/ ***************************************************** De: Eddy Martins Para: linux Assunto: (linux-br)RE: bloqueio de sites por estações Data: Mon, 09 May 2005 08:18:43 -0300 --=-r5xF+oj9OIf+wv4cIhKD Content-Type: text/plain Content-Transfer-Encoding: quoted-printable Bom dia...=20 Tem duas opcoes... vc pode usar o Squid um proxy mto bom ou usar o iptables.. no forward vc digita assi iptables -A FORWARD -s 192.168.0.15 -d www.uol.com.br -j DROP isso bloqueia o acesso da maquina 15 para o site da uol Eddy Roberto Martins Adm Redes Linux / Windows Solucoes em Linux. eddy@msysteminf.com ***************************************************** De: Antonio da Silva Martins Junior Para: Linux-BR Assunto: Re: (linux-br)Iptables - erro somente na inicialização - solução (fwd) Data: Mon, 31 Oct 2005 14:42:29 -0200 (BRDT) On Sat, 29 Oct 2005, Wendell wrote: > Utilizo o ifconfig para pegar o IP da interface ppp0. Olá, Para indicar a interface ppp0 (o melhor é somente o ppp) use ppp+, p.ex.: iptables -A -i ppp+ Vai servir para qqr. ppp que por acaso subir! Antonio. +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Antonio S. Martins Jr. - Support Analist | "Only The Shadow Knows | | Universidade Estadual de Maringa - Brasil| what evil lurks in the | | NPD - Núcleo de Processamento de Dados | Heart of Men!" | | E-Mail: asmartins@uem.br / shadow@uem.br | !!! Linux User: 52392 !!! | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ***************************************************** ***************************************************** ***************************************************** ***************************************************** ***************************************************** *****************************************************