[FUG-BR][OT] Regras para configurar IPTABLES

Farias farias em smo.com.br
Qui Jan 27 17:05:24 BRST 2005 

Olá Sergio, acho que o melhor caminho mandar esse e-mail para uma lista 
de Linux :-P

Sergio Alencar / ICA escreveu:

> Olah pessoal!
> Sei que isso eh OFF-TOPIC, mas sou novato em IPTABLES e td do mundo do 
> sw livre. Gostaria de obter ajuda no seguinte problema:
> O Script que rodo para o IPTABLES, que jah peguei pronto na net, o 
> torna um "FW ABERTO", onde INPUT tah ACCEPT, e baseado neste modelo 
> estou tentando criar outro onde a politica default para INPUT eh 
> DROP,  soh liberando o que axu necessário, mas tem algo errado... a 
> parte do FWD tah funcionando, mas por exemplo, consigo mandar emails 
> mas naum recebo... .Naum sei se precisa liberer outras portas para que 
> os serviços funcionem... Se rodo o script antigo, td funciona.  Soh 
> tenho uma maquina SERVER com os seguintes serviços que são 
> necessários: QMail , Apache, IMAP, MySQL e VSFTP. Adicionalmente tenho 
> que manter os seguintes serviços funcionando: SpamAssassin, IMAP. E a 
> maquina compartilha a internet para a rede interna. Vou colar abaixo o 
> script e gostaria que alguem pudesse indicar o que tah errado, plz!!!
>
> Agradeço desde jah a quem puder ajudar e peço desculpas pelo off-topic.
>
> PS: Sei que o script deve estar tosco para caramba...
> ---------------------------------------------------------------------------------------------------------- 
>
> $IPTABLES -F INPUT
> $IPTABLES -P INPUT DROP
> $IPTABLES -F OUTPUT
> $IPTABLES -P OUTPUT ACCEPT
> $IPTABLES -F FORWARD
> $IPTABLES -P FORWARD DROP
> $IPTABLES -t nat -F
>
> # Regras para a Chain INPUT
> #-----------------------------
>
> #Libera acesso ao servidor para a rede interna
> $IPTABLES -A INPUT -s 192.168.1.0/24 -p tcp -j ACCEPT
> $IPTABLES -A INPUT -s 192.168.1.0/24 -p udp -j ACCEPT
>
> #Libera o loopback
> $IPTABLES -A INPUT -p tcp -s 127.0.0.1/255.0.0.0 -j ACCEPT
>
> #Libera acesso apenas para as portas nececessarias para redes externas
> #FTP
> $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 21 -j ACCEPT
> #SSH
> $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 22 -j ACCEPT
> #SMTP
> $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 25 -j ACCEPT
> #DNS
> $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 53 -j ACCEPT
> $IPTABLES -A INPUT -i $EXTIF -p udp --destination-port 53 -j ACCEPT
> #HTTP
> $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 80 -j ACCEPT
> #CourierPasswd
> $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 106 -j ACCEPT
> #POP3
> $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 110 -j ACCEPT
> #RPC BIND
> $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 111 -j ACCEPT
> #IMAP
> $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 143 -j ACCEPT
> #SpamAssassin
> $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 783 -j ACCEPT
> #MySQL
> $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 3306 -j ACCEPT
> #???
> $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 3310 -j ACCEPT
> #X11
> $IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 6000 -j ACCEPT
>
> # Regras para a Chain FORWARD
> #---------------------------------
> #Protecoes diversas contra portscanners, ping of death, ataques DoS, etc.
> $IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 
> 1/s -j ACCEPT
> $IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
>
> #Esta regra permite a entrada de conexoes estabelecidas e relacionadas
> $IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state 
> ESTABLISHED,RELATED -j ACCEPT
>
> #Mais protecoes
> $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG
> $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit 
> --limit 1/s -j ACCEPT
> $IPTABLES -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
> $IPTABLES -A FORWARD -m unclean -j DROP
>
> #Permite a saida de todas as conexoes
> $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
> $IPTABLES -A FORWARD -j LOG
>
> #Habilita o mascaramento (NAT)
> $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
>
>
>------------------------------------------------------------------------
>
>_______________________________________________________________
>Para enviar um novo email para a lista: freebsd em fug.com.br
>Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>


-------------- Próxima Parte ----------
_______________________________________________________________
Para enviar um novo email para a lista: freebsd em fug.com.br
Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd