[FUG-BR][OT] Regras para configurar IPTABLES
Márcio Luciano Donada
mdonada em auroraalimentos.com.br
Qui Jan 27 16:44:27 BRST 2005
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Sergio Alencar / ICA wrote:
| Olah pessoal!
| Sei que isso eh OFF-TOPIC, mas sou novato em IPTABLES e td do mundo do
| sw livre. Gostaria de obter ajuda no seguinte problema:
| O Script que rodo para o IPTABLES, que jah peguei pronto na net, o torna
| um "FW ABERTO", onde INPUT tah ACCEPT, e baseado neste modelo estou
| tentando criar outro onde a politica default para INPUT eh DROP, soh
| liberando o que axu necessário, mas tem algo errado... a parte do FWD
| tah funcionando, mas por exemplo, consigo mandar emails mas naum
| recebo... .Naum sei se precisa liberer outras portas para que os
| serviços funcionem... Se rodo o script antigo, td funciona. Soh tenho
| uma maquina SERVER com os seguintes serviços que são necessários: QMail
| , Apache, IMAP, MySQL e VSFTP. Adicionalmente tenho que manter os
| seguintes serviços funcionando: SpamAssassin, IMAP. E a maquina
| compartilha a internet para a rede interna. Vou colar abaixo o script e
| gostaria que alguem pudesse indicar o que tah errado, plz!!!
|
| Agradeço desde jah a quem puder ajudar e peço desculpas pelo off-topic.
|
| PS: Sei que o script deve estar tosco para caramba...
|
-
----------------------------------------------------------------------------------------------------------
|
| $IPTABLES -F INPUT
| $IPTABLES -P INPUT DROP
| $IPTABLES -F OUTPUT
| $IPTABLES -P OUTPUT ACCEPT
| $IPTABLES -F FORWARD
| $IPTABLES -P FORWARD DROP
| $IPTABLES -t nat -F
|
| # Regras para a Chain INPUT
| #-----------------------------
|
| #Libera acesso ao servidor para a rede interna
| $IPTABLES -A INPUT -s 192.168.1.0/24 -p tcp -j ACCEPT
| $IPTABLES -A INPUT -s 192.168.1.0/24 -p udp -j ACCEPT
|
| #Libera o loopback
| $IPTABLES -A INPUT -p tcp -s 127.0.0.1/255.0.0.0 -j ACCEPT
|
| #Libera acesso apenas para as portas nececessarias para redes externas
| #FTP
| $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 21 -j ACCEPT
| #SSH
| $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 22 -j ACCEPT
| #SMTP
| $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 25 -j ACCEPT
| #DNS
| $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 53 -j ACCEPT
| $IPTABLES -A INPUT -i $EXTIF -p udp --destination-port 53 -j ACCEPT
| #HTTP
| $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 80 -j ACCEPT
| #CourierPasswd
| $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 106 -j ACCEPT
| #POP3
| $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 110 -j ACCEPT
| #RPC BIND
| $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 111 -j ACCEPT
| #IMAP
| $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 143 -j ACCEPT
| #SpamAssassin
| $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 783 -j ACCEPT
| #MySQL
| $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 3306 -j ACCEPT
| #???
| $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 3310 -j ACCEPT
| #X11
| $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 6000 -j ACCEPT
|
| # Regras para a Chain FORWARD
| #---------------------------------
| #Protecoes diversas contra portscanners, ping of death, ataques DoS, etc.
| $IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
| 1/s -j ACCEPT
| $IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
|
| #Esta regra permite a entrada de conexoes estabelecidas e relacionadas
| $IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state
| ESTABLISHED,RELATED -j ACCEPT
|
| #Mais protecoes
| $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG
| $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
| --limit 1/s -j ACCEPT
| $IPTABLES -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
| $IPTABLES -A FORWARD -m unclean -j DROP
|
| #Permite a saida de todas as conexoes
| $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
| $IPTABLES -A FORWARD -j LOG
|
| #Habilita o mascaramento (NAT)
| $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
|
|
Cara, lista ERRADA pra isso. Aqui é FreeBSD (ipfw,ipfilter,pf)
[]'s
__
Márcio Luciano Donada
mdonada at auroraalimentos dot com dot br
FreeBSD - The time is mesuared in years!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
iD8DBQFB+TaKyJq2hZEymxcRAvoMAKC0ZCMz0QNkcmQzeT0nme33AnoalQCaAiRQ
nwvt83u23ETwUxsqZ9C6lWk=
=RymL
-----END PGP SIGNATURE-----
-------------- Próxima Parte ----------
_______________________________________________________________
Para enviar um novo email para a lista: freebsd em fug.com.br
Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd