Re: Dúvida sobre iptables

To: debian-user-portuguese@lists.debian.org
Subject: Re: Dúvida sobre iptables
From: "Carlos Emir M Macedo" <emir@infosoftware.com.br>
Date: Tue, 2 Jul 2002 11:35:12 -0300
Message-id: <[🔎] OFF6CEE3CA.2BA9D325-ON03256BEA.004FE0EF@infosoftware.com.br>

        O for está correto, pois não se consegue resolver DNS, por isso o 
usuário não navega quando tenta uma url qualquer. Ele só vai coseguir se 
colocar o ip. É isso que eu quero entender.
        O formato do arquivo com os mac addressees é:

mac_address descrição

        E isso eu testei, inclusive na mão.
        Aguardo avaliação.
        Obrigado.

        Seguem abaixo novamente as regras:

#! /bin/bash

IPTABLES="/sbin/iptables"
IP=xxx.xxx.xxx.xxx

# FLUSH EVERYTHING
$IPTABLES -F
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
$IPTABLES -F -t nat
$IPTABLES -X

# POLITICAS PADRAO
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

#mascaramento
echo "Setando mascaramento..."
echo 1 > /proc/sys/net/ipv4/ip_forward
#$IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

$IPTABLES -A POSTROUTING -t nat -o eth0 -j SNAT --to $IP

#==================================================================
#INPUT
#==================================================================
echo "Regra INPUT..."

#ICMP
$IPTABLES -A INPUT -p icmp -j ACCEPT

$IPTABLES -A INPUT -p tcp --dport 20:21 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 443 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 587 -j ACCEPT

$IPTABLES -A INPUT -p tcp --dport 23 -j LOG
$IPTABLES -A INPUT -p tcp --dport 23 -j DROP
$IPTABLES -A INPUT -p udp --dport 23 -j LOG
$IPTABLES -A INPUT -p udp --dport 23 -j DROP

$IPTABLES -A INPUT -p tcp --dport 12345 -j LOG
$IPTABLES -A INPUT -p tcp --dport 12345 -j DROP
$IPTABLES -A INPUT -p udp --dport 12345 -j LOG
$IPTABLES -A INPUT -p udp --dport 12345 -j DROP

$IPTABLES -A INPUT -p tcp --dport 31337 -j LOG
$IPTABLES -A INPUT -p tcp --dport 31337 -j DROP
$IPTABLES -A INPUT -p udp --dport 31337 -j LOG
$IPTABLES -A INPUT -p udp --dport 31337 -j DROP

$IPTABLES -A INPUT -p tcp --dport 1023: -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 1023: -j ACCEPT

#==================================================================
#OUTPUT
#==================================================================
echo "Regra OUTPUT..."
#$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#ICMP
$IPTABLES -A OUTPUT -p icmp -j ACCEPT

#==================================================================
#FORWARD
#==================================================================
echo "Regra FORWARD..."
#$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# ICMP
$IPTABLES -A FORWARD -p icmp -j ACCEPT

# ping of death
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s 

-j ACCEPT

# Contra ataques Syn-flood
$IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

# Contra Port scanners avancados (nmap)
# $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST 
SYN,ACK,FIN,RST-m limit --limit 1/s -j ACCEPT

#Existe, ainda, uma regra muito importante que nao eh extensao mas tambem 
pode ser utilizada como seguranca. Eh a protecao contra pacotes 
danificados ou suspeitos.
$IPTABLES -A FORWARD -m unclean -j DROP

$IPTABLES -A FORWARD -p tcp --dport 12345 -j LOG
$IPTABLES -A FORWARD -p tcp --dport 12345 -j DROP
$IPTABLES -A FORWARD -p udp --dport 12345 -j LOG
$IPTABLES -A FORWARD -p udp --dport 12345 -j DROP

$IPTABLES -A FORWARD -p tcp --dport 31337 -j LOG
$IPTABLES -A FORWARD -p tcp --dport 31337 -j DROP
$IPTABLES -A FORWARD -p udp --dport 31337 -j LOG
$IPTABLES -A FORWARD -p udp --dport 31337 -j DROP

# Mac Addresses permitidos
for placa in `cat /root/firewall/mac.address | cut -f1 -d" "`
do
  echo $placa
  $IPTABLES -A FORWARD -p all -m mac --mac-source $placa -j DROP
done

==============================
Carlos Emir Mantovani Macedo
Net Admin
(19) 3256-4131
Infosoftware Consulting
www.infosoftware.com.br
==============================


Olá Emir,

Concordo com o que o André disse, será que o problema não está nesse for 
que está usando para pegar o mac address?
Já tentou colocar eles na mão para ver o que acontece?

[]'s
Henrique

> # Mac Addresses permitidos
> for placa in `cat /root/firewall/mac.address | cut -f1 -d" "`
> do
>   echo $placa
>   $IPTABLES -A FORWARD -p all -m mac --mac-source $placa -j DROP
> done


-- 
To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact 
listmaster@lists.debian.org





--
To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

Follow-Ups:
- Re: Dúvida sobre iptables
  - From: Henrique Pedroni Neto <henrique@ital.org.br>

Prev by Date: netsaint
Next by Date: Re: Dúvida sobre iptables
Previous by thread: Re: Dúvida sobre iptables
Next by thread: Re: Dúvida sobre iptables
Index(es):
- Date
- Thread