Re: Dúvida sobre iptables
O for está correto, pois não se consegue resolver DNS, por isso o
usuário não navega quando tenta uma url qualquer. Ele só vai coseguir se
colocar o ip. É isso que eu quero entender.
O formato do arquivo com os mac addressees é:
mac_address descrição
E isso eu testei, inclusive na mão.
Aguardo avaliação.
Obrigado.
Seguem abaixo novamente as regras:
#! /bin/bash
IPTABLES="/sbin/iptables"
IP=xxx.xxx.xxx.xxx
# FLUSH EVERYTHING
$IPTABLES -F
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
$IPTABLES -F -t nat
$IPTABLES -X
# POLITICAS PADRAO
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
#mascaramento
echo "Setando mascaramento..."
echo 1 > /proc/sys/net/ipv4/ip_forward
#$IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
$IPTABLES -A POSTROUTING -t nat -o eth0 -j SNAT --to $IP
#==================================================================
#INPUT
#==================================================================
echo "Regra INPUT..."
#ICMP
$IPTABLES -A INPUT -p icmp -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 20:21 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 443 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 587 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 23 -j LOG
$IPTABLES -A INPUT -p tcp --dport 23 -j DROP
$IPTABLES -A INPUT -p udp --dport 23 -j LOG
$IPTABLES -A INPUT -p udp --dport 23 -j DROP
$IPTABLES -A INPUT -p tcp --dport 12345 -j LOG
$IPTABLES -A INPUT -p tcp --dport 12345 -j DROP
$IPTABLES -A INPUT -p udp --dport 12345 -j LOG
$IPTABLES -A INPUT -p udp --dport 12345 -j DROP
$IPTABLES -A INPUT -p tcp --dport 31337 -j LOG
$IPTABLES -A INPUT -p tcp --dport 31337 -j DROP
$IPTABLES -A INPUT -p udp --dport 31337 -j LOG
$IPTABLES -A INPUT -p udp --dport 31337 -j DROP
$IPTABLES -A INPUT -p tcp --dport 1023: -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 1023: -j ACCEPT
#==================================================================
#OUTPUT
#==================================================================
echo "Regra OUTPUT..."
#$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#ICMP
$IPTABLES -A OUTPUT -p icmp -j ACCEPT
#==================================================================
#FORWARD
#==================================================================
echo "Regra FORWARD..."
#$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# ICMP
$IPTABLES -A FORWARD -p icmp -j ACCEPT
# ping of death
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s
-j ACCEPT
# Contra ataques Syn-flood
$IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
# Contra Port scanners avancados (nmap)
# $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST
SYN,ACK,FIN,RST-m limit --limit 1/s -j ACCEPT
#Existe, ainda, uma regra muito importante que nao eh extensao mas tambem
pode ser utilizada como seguranca. Eh a protecao contra pacotes
danificados ou suspeitos.
$IPTABLES -A FORWARD -m unclean -j DROP
$IPTABLES -A FORWARD -p tcp --dport 12345 -j LOG
$IPTABLES -A FORWARD -p tcp --dport 12345 -j DROP
$IPTABLES -A FORWARD -p udp --dport 12345 -j LOG
$IPTABLES -A FORWARD -p udp --dport 12345 -j DROP
$IPTABLES -A FORWARD -p tcp --dport 31337 -j LOG
$IPTABLES -A FORWARD -p tcp --dport 31337 -j DROP
$IPTABLES -A FORWARD -p udp --dport 31337 -j LOG
$IPTABLES -A FORWARD -p udp --dport 31337 -j DROP
# Mac Addresses permitidos
for placa in `cat /root/firewall/mac.address | cut -f1 -d" "`
do
echo $placa
$IPTABLES -A FORWARD -p all -m mac --mac-source $placa -j DROP
done
==============================
Carlos Emir Mantovani Macedo
Net Admin
(19) 3256-4131
Infosoftware Consulting
www.infosoftware.com.br
==============================
Olá Emir,
Concordo com o que o André disse, será que o problema não está nesse for
que está usando para pegar o mac address?
Já tentou colocar eles na mão para ver o que acontece?
[]'s
Henrique
> # Mac Addresses permitidos
> for placa in `cat /root/firewall/mac.address | cut -f1 -d" "`
> do
> echo $placa
> $IPTABLES -A FORWARD -p all -m mac --mac-source $placa -j DROP
> done
--
To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
--
To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: