[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: duvida com iptables



Pessoal fiz umas mudanças:

> #!/bin/bash
> #SRV-Firewall Novamarca500
> #Interface 2007
> #Clayton Nogueira - clayton.nog at gmail.com / clayton at interfacenet.com.br
Faltou o número da patente, a Microsoft pode alegar que este é o 238
item do Linux que infrenge as suas patentes no Linux.

FYI: esta frase foi patenteada sob registro 123456789 :P


> iniciar(){
Funções, é difícil ver alguém que use-as em shell, parabéns :)

obrigado!!!


> #Suporte aos modulos
> modprobe ip_tables
> modprobe iptable_filter
> modprobe ip_conntrack
> modprobe ip_conntrack_ftp
> modprobe ip_nat_ftp
> modprobe ipt_LOG
> modprobe ipt_state
> modprobe ipt_MASQUERADE
Já que estamos "modularizando" o script, que tal deixar isto numa
funçao de carga de módulos?
OBS: Em kernels mais recentes (leia 2.6) estes módulos são carregados
automaticamente.

entendi, valeu


> #Limpando as tabelas
> iptables -F  #limpa regras da tabela principal
> iptables -X  #zera regras da tabela principal
> iptables -t nat -F  #limpa regras da tabela nat
> iptables -t nat -X  #zera regras da tabela nat
Isso poderia virar outra função, mas eu particularmente penso o
seguinte: se estamos iniciando o firewall é porque:
1 - As regras atuais devem ser adicionadas
2 - Se não há necessidade de manter as regras anteriores que estas
sejam apagadas com um stop. :)

Faltou limpar a tabela mangle ai também, ela é usada para QOS, dentre
outras coisas.

ok, para limpar a tabela mangle, eu fiz
iptables -t mangle -F



> #Politica padrao
> iptables -P INPUT -j DROP #nega pacotes de entrada
> iptables -P FORWARD -j ACCEPT #aceita o forward de pacotes
> iptables -P OUTPUT -j ACCEPT #aceita pacotes de saida
> iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT #libera uma
> porta (inclusive para internet)
Esta regra conflita com o teu DNAT mais adiante, se quiser que outra
máquina da rede externa seja acessível vai ter que usar outra porta no
DNAT. As políticas estão OK.

no caso da regra conflitar eu coloquei a destination-port como 80 ao invés de 22




> #Proxy Transparente
> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
> --to-port 3128
Faltou a regra que diz que as conexões vindas da tua rede na porta
3128 são aceitas, lembre-se que a política é DROP.

no caso da regra que estava faltando, eu fiz o seguinte :

iptables -A INPUT -i eth1 (rede interna) -p tcp -s 10.0.0.0/8 -j ACCEPT

até aqui , está correto ?

aguardo resposta, obrigado.



Reply to: