[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Dúvida sobre iptables

        Aqui estão as regras.
        Não posso bloquear por ip pq a empresa usa dhcp.
        []'s
        Emir

#! /bin/bash

IPTABLES="/sbin/iptables"
IP=xxx.xxx.xxx.xxx

# FLUSH EVERYTHING
$IPTABLES -F
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
$IPTABLES -F -t nat
$IPTABLES -X

# POLITICAS PADRAO
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

#mascaramento
echo "Setando mascaramento..."
echo 1 > /proc/sys/net/ipv4/ip_forward
#$IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

$IPTABLES -A POSTROUTING -t nat -o eth0 -j SNAT --to $IP

#==================================================================
#INPUT
#==================================================================
echo "Regra INPUT..."

#ICMP
$IPTABLES -A INPUT -p icmp -j ACCEPT

$IPTABLES -A INPUT -p tcp --dport 20:21 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 443 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 587 -j ACCEPT

$IPTABLES -A INPUT -p tcp --dport 23 -j LOG
$IPTABLES -A INPUT -p tcp --dport 23 -j DROP
$IPTABLES -A INPUT -p udp --dport 23 -j LOG
$IPTABLES -A INPUT -p udp --dport 23 -j DROP

$IPTABLES -A INPUT -p tcp --dport 12345 -j LOG
$IPTABLES -A INPUT -p tcp --dport 12345 -j DROP
$IPTABLES -A INPUT -p udp --dport 12345 -j LOG
$IPTABLES -A INPUT -p udp --dport 12345 -j DROP

$IPTABLES -A INPUT -p tcp --dport 31337 -j LOG
$IPTABLES -A INPUT -p tcp --dport 31337 -j DROP
$IPTABLES -A INPUT -p udp --dport 31337 -j LOG
$IPTABLES -A INPUT -p udp --dport 31337 -j DROP

$IPTABLES -A INPUT -p tcp --dport 1023: -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 1023: -j ACCEPT

#==================================================================
#OUTPUT
#==================================================================
echo "Regra OUTPUT..."
#$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#ICMP
$IPTABLES -A OUTPUT -p icmp -j ACCEPT

#==================================================================
#FORWARD
#==================================================================
echo "Regra FORWARD..."
#$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# ICMP
$IPTABLES -A FORWARD -p icmp -j ACCEPT

# ping of death
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s 
-j ACCEPT

# Contra ataques Syn-flood
$IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

# Contra Port scanners avancados (nmap)
# $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST 
SYN,ACK,FIN,RST-m limit --limit 1/s -j ACCEPT

#Existe, ainda, uma regra muito importante que nao eh extensao mas tambem 
pode ser utilizada como seguranca. Eh a protecao contra pacotes 
danificados ou suspeitos.
$IPTABLES -A FORWARD -m unclean -j DROP

$IPTABLES -A FORWARD -p tcp --dport 12345 -j LOG
$IPTABLES -A FORWARD -p tcp --dport 12345 -j DROP
$IPTABLES -A FORWARD -p udp --dport 12345 -j LOG
$IPTABLES -A FORWARD -p udp --dport 12345 -j DROP

$IPTABLES -A FORWARD -p tcp --dport 31337 -j LOG
$IPTABLES -A FORWARD -p tcp --dport 31337 -j DROP
$IPTABLES -A FORWARD -p udp --dport 31337 -j LOG
$IPTABLES -A FORWARD -p udp --dport 31337 -j DROP

# Mac Addresses permitidos
for placa in `cat /root/firewall/mac.address | cut -f1 -d" "`
do
  echo $placa
  $IPTABLES -A FORWARD -p all -m mac --mac-source $placa -j DROP
done

==============================
Carlos Emir Mantovani Macedo
Net Admin
(19) 3256-4131
Infosoftware Consulting
www.infosoftware.com.br
==============================


Pq você não bloquei pelo IP?
Passe suas regras para darmos uma olhada.

[]'s
Henrique

>         Senhores,
> 
>         Fiz um conjunto de regras de iptables que bloqueiam o acesso www 

> de um determinado mac address. Até aí tudo bem, eu testava com qualquer 
> site e realmente o usuário não conseguia navegar. Acontece que eu 
resolvi 
> testar usando-se diretamente o ip de um site qualquer. Qual não foi 
minha 
> surpresa ao conseguir acessar a página, mesmo estando com o mac address 
> bloqueado nas regras do iptables.
>         Alguém poderia me explicar como e o porquê disto acontecer? Se 
> necessárias as regras, basta pedir.
>         Desde já agradeço.
>         []'s
> 
> ==============================
> Carlos Emir Mantovani Macedo
> Net Admin
> (19) 3256-4131
> Infosoftware Consulting
> www.infosoftware.com.br
> ==============================
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact 
listmaster@lists.debian.org
> 


-- 
To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact 
listmaster@lists.debian.org





--
To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: