Firewall e proxy

To: "debian-user-portuguese@lists.debian.org" <debian-user-portuguese@lists.debian.org>
Subject: Firewall e proxy
From: "Eder Gobbi" <informatica-sc@guararapes-plywood.com.br>
Date: Wed, 26 Apr 2006 15:06:01 -0300
Message-id: <[🔎] op.s8mm8byxp5358m@grsw005.guaraply.guararapes-plywood.com.br>

Pessoal

E a segunda vez que to postando o mesmo problema..
Já faz mais de um mês que tô atrás disso..
Acho que sou muito ignorante, mas preciso tirar meu micro do proxy.

O proxy é autenticado no AD e tem regra no firewall que impede navegaçãofora do proxy..


Eu quero uma excessão à esta regra. Mas sou muito noob nisto..

Segue meu firewall..
Meu ip é 10.43.42.20

#!/bin/sh
# Script de Configuração de firewall
# Autor: Eder Gobbi - Woody
# Data: 21/03/2006
# Descrição: Produzido para ser distribuído livremente, baseado no guia
#             Foca GNU/Linux. http://www.guiafoca.org
#

# É assumido um sistema usando kmod para carga automática dos módulosusados por

# esta configuração do firewall:
# ipt_filter
# ipt_nat
# ipt_conntrack
# ipt_mangle
# ipt_TOS
# ipt_MASQUERADE
# ipt_LOG

# Se você tem um kernel modularizado que não utiliza o kmod, seránecessário

# carregar estes módulos via modprobe, insmod ou iptables --modprobe=modulo

##### Limpando regras #####
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

##### Carregando módulos necessários #####
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

##### Definição de Policiamento #####
# Tabela filter
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
# Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING DROP
# Tabela mangle
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT


##### Proteção contra IP Spoofing #####
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
 echo 1 >$i
done

##### Ativamos o redirecionamento de pacotes (requerido para NAT) #####
echo "1" >/proc/sys/net/ipv4/ip_forward

# O iptables define automaticamente o número máximo de conexões simultâneas

# com base na memória do sistema. Para 32MB = 2048, 64MB = 4096, 128MB =8192,

# sendo que são usados 350 bytes de memória residente para controlar
# cada conexão.
# Quando este limite é excedido a seguinte mensagem é mostrada:
#  "ip_conntrack: maximum limit of XXX entries exceed"
#

# Como temos uma rede simples, vamos abaixar este limite. Por outro ladoisto# criará uma certa limitação de tráfego para evitar a sobrecarga doservidor.

# echo "2048" > /proc/sys/net/ipv4/ip_conntrack_max


###############################################################
#                      Tabela filter                          #
###############################################################

##### Chain INPUT #####
# Criamos um chain que será usado para tratar o tráfego vindo da Internet e
iptables -N net-input

# Aceita todo o tráfego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT
# Todo tráfego vindo da rede interna também é aceito
iptables -A INPUT -s 10.43.42.0/24 -i eth1 -j ACCEPT

# Conexões vindas da interface eth0 são tratadas pelo chain net-input
iptables -A INPUT -i eth0 -j net-input

# Qualquer outra conexão desconhecida é imediatamente registrada ederrubada

iptables -A INPUT -j LOG --log-prefix "FIREWALL: INPUT "
iptables -A INPUT -j DROP


##### Chain FORWARD ####
# Permite redirecionamento de conexões entre as interfaces locais
# especificadas abaixo. Qualquer tráfego vindo/indo para outras
# interfaces será bloqueado neste passo
iptables -A FORWARD -s 10.43.42.20 -j ACCEPT
iptables -A FORWARD -d 10.43.42.0/24 -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -s 10.43.42.0/24 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
iptables -A FORWARD -j DROP


##### Chain net-input ####
# Aceitamos todas as mensagens icmp vindas de eth0 com certa limitação
# O tráfego de pacotes icmp que superar este limite será bloqueado
# pela regra "...! ESTABLISHED,RELATED -j DROP" no final do
# chain net-input
#
iptables -A net-input -p icmp -m limit --limit 2/s -j ACCEPT

# Aceita pacotes vindos dos sites da Caixa
iptables -A INPUT -p all -s 70.86.48.0/24 -j ACCEPT
iptables -A INPUT -p all -s 200.201.174.0/24 -j ACCEPT

# Primeiro aceitamos o tráfego vindo da Internet para o serviço www (porta80)

iptables -A net-input -p tcp --dport 80 -j ACCEPT

# A tentativa de acesso externo a estes serviços serão registrados nosyslog

# do sistema e serão bloqueados pela última regra abaixo.

iptables -A net-input -p tcp --dport 21 -j LOG --log-prefix "FIREWALL: ftp"iptables -A net-input -p tcp --dport 25 -j LOG --log-prefix "FIREWALL:smtp "iptables -A net-input -p udp --dport 53 -j LOG --log-prefix "FIREWALL: dns"iptables -A net-input -p tcp --dport 110 -j LOG --log-prefix "FIREWALL:pop3 "iptables -A net-input -p tcp --dport 113 -j LOG --log-prefix "FIREWALL:identd "iptables -A net-input -p udp --dport 111 -j LOG --log-prefix "FIREWALL:rpc"iptables -A net-input -p tcp --dport 111 -j LOG --log-prefix "FIREWALL:rpc"iptables -A net-input -p tcp --dport 137:139 -j LOG --log-prefix"FIREWALL: samba "iptables -A net-input -p udp --dport 137:139 -j LOG --log-prefix"FIREWALL: samba "

# Bloqueia qualquer tentativa de nova conexão de fora para esta máquina

iptables -A net-input -m state --state ! ESTABLISHED,RELATED -j LOG--log-prefix "FIREWALL: netin "

iptables -A net-input -m state --state ! ESTABLISHED,RELATED -j DROP
# Qualquer outro tipo de tráfego é aceito
iptables -A net-input -j ACCEPT


#######################################################
#                   Tabela nat                        #
#######################################################

##### Chain POSTROUTING #####

#Emule

iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.0.2 --dport 5010-j DNAT --to 10.43.42.20iptables -t nat -A PREROUTING -i eth0 -p udp -d 192.168.0.2 --dport 5020-j DNAT --to 10.43.42.20iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.0.2 --dport 5030-j DNAT --to 10.43.42.20


# Permite qualquer conexão vinda com destino a lo e rede local para eth1
iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.43.42.0/24 -o eth1 -j ACCEPT

# Conectividade Social

# iptables -t nat -A POSTROUTING -o eth0 -s 10.43.42.0/24 -d200.201.174.0/24 -j ACCEPT

iptables -t nat -A POSTROUTING -s 10.43.42.2/24 -d 200.201.173.0/24 -jMASQUERADE

# Não queremos que usuários tenham acesso direto a www e smtp da redeexterna, o# squid e smtpd do firewall devem ser obrigatoriamente usados. Tambémregistramos# as tentativas para monitorarmos qual máquina está tentando conectar-sediretamente.iptables -t nat -A POSTROUTING -s 10.43.42.0/24 -o eth0 -p tcp --dport 80-j LOG --log-prefix "FIREWALL: SNAT-www "#iptables -t nat -A POSTROUTING -s 10.43.42.0/24 -o eth0 -p tcp --dport 25-j LOG --log-prefix "FIREWALL: SNAT-smtp "#iptables -t nat -A POSTROUTING -s 10.43.42.0/24 -o eth0 -p tcp --dport 25-j DROPiptables -t nat -A POSTROUTING -s 10.43.42.20 -o eth0 -p tcp --dport 80 -jACCEPT#iptables -t nat -A POSTROUTING -s 10.43.42.0/24 -o eth0 -p tcp -d !200.201.174.0/24 --dport 80 -j DROP# feito masquerading dos outros serviços da rede interna indo para ainterface

# eth0
iptables -t nat -A POSTROUTING -s 10.43.42.0/24 -o eth0 -j MASQUERADE

# Qualquer outra origem de tráfego desconhecida indo para eth1 (conexõesvindas

# de eth0) são bloqueadas aqui

iptables -t nat -A POSTROUTING -o eth1 -d 10.43.42.0/24 -j LOG--log-prefix "FIREWALL: SNAT unknown"

iptables -t nat -A POSTROUTING -o eth1 -d 10.43.42.0/24 -j DROP

# Quando iniciamos uma conexão eth, obtemos um endereço classe A(10.x.x.x) e após# estabelecida a conexão real, este endereço é modificado. O tráfego indopara

# a interface eth não deverá ser bloqueado. Os bloqueios serão feitos no
# chain INPUT da tabela filter
iptables -t nat -A POSTROUTING -o eth0 -j ACCEPT

# Registra e bloqueia qualquer outro tipo de tráfego desconhecido
iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL: SNAT "
iptables -t nat -A POSTROUTING -j DROP


###############################################
#                Tabela mangle                #
###############################################

##### Chain OUTPUT #####
# Define mínimo de espera para os serviços ftp, telnet, irc e DNS, isto
# dará uma melhor sensação de conexão em tempo real e diminuirá o tempo
# de espera para conexões que requerem resolução de nomes.

#iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 21 -j TOS --set-tos0x10#iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 23 -j TOS --set-tos0x10#iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 6665:6668 -j TOS--set-tos 0x10#iptables -t mangle -A OUTPUT -o eth0 -p udp --dport 53 -j TOS --set-tos0x10iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 3389 -j TOS --set-tos0x10

--

Usando o revolucionário cliente de correio do Opera:http://www.opera.com/mail/

Reply to:

Follow-Ups:
- Re: Firewall e proxy
  - From: andnovelli <andre.ti@embalatec.com.br>

Prev by Date: Re: Iniciante com problemas de instalacao
Next by Date: Re: viualizar trafego na na placa de rede
Previous by thread: firewall e proxy
Next by thread: Re: Firewall e proxy
Index(es):
- Date
- Thread