Re: firewall
> - abri somente as portas 9, 13, 22, 37, 53, 111, 119, 139, 512, 513, 514 e
> 3306 somente para acesso dos clientes. O acesso a internet, pop www e icq,
> por parte dos clientes vai ficar para uma segunda etapa.
>
> /sbin/ipchains -A input -p tcp -s 192.168.0.0/24 -d 192.168.0.1 (X) -j
> ACCEPT /sbin/ipchains -A output -p tcp -s 192.168.0.1 (X) -d 192.168.0.0/24
> -j ACCEPT
Rápido e caceteiro:
#!/bin/sh
ipchains -P input DENY
for port in 9 13 22 37 53 111 119 138 139 512 513 514
do
ipchains -A input -j ACCEPT -p tcp -s 192.168.0.0/29 -d 192.168.0.1 $port
done
for port in 138 139
do
ipchains -A input -j ACCEPT -p udp -s 192.168.0.0/29 -d 192.168.0.1 $port
done
-----< cut here >----
Em resumo: vc esqueceu de liberar o udp nas portas 138/139 (usado pelo
netbios para acessar apresentação e sessão).
Não é necessário fazer nada nas cadeias de output e forward (a menos que vc
realmente precise).
Por último, com e a política de DENY/REJECT, vc não consiguirá usar o
firewall como router/gateway. Para permitir isto, vc precisa incluir, logo
após a definição de política:
ipchains -A input -j ACCEPT -p tcp ! -y -s 0/0 -d 0/0
que significa "aceite todas as conexões tcp já estabelecidas", e
ipchains -A input -j ACCEPT -p all -s 192.168.0.0/29 ! -d 192.168.0.1
que tem efeito semelhantes à
ipchains -A input -j ACCEPT -p all -s 192.168.0.0/29 -d 0/0
se esta estiver na ÚLTIMA LINHA!!!
--
Hélio Alexandre Lopes Loureiro
e-mail:helio.loureiro@edb.ericsson.se
Tel.: + 55 11 6224-1795
Division Multiservice Networks - First Deployments
Public Key => http://cipsga.procempa.com.br/oks/pt_BR/
(pgp-i 2.6.3) http://www.engnux.ufsc.br/helio/identity.pub.txt
/"\
\ / Campanha da fita ASCII - Contra mail HTML
X ASCII ribbon campaign - Against HTML mail
/ \
Reply to: