Re: Firewall Etch

[Denis <denismpa@gmail.com>]

Em 17/07/07, Murilo<murilopz@gmail.com> escreveu:
> Estou fazendo um firewall aqui pra empresa e consigo colocar ele no ar
> e tudo certo, mas nao sei por que nao consigo compartilhar a conexao
> da internet com o restante da rede.
>
> O pior que o msn, skype e ate o ping tudo funciona. Somente na hora de
> navegar que ele nao vai.
>
> Se alguem puder me dar uma luz, fico agradecido. Eu tenho uma unica
> interface de rede. minha conexao eh com ip fixo
>
> interface eth0: 200.200.200.0 (ip da net)
> interface eh0:1: 192.168.0.8 (ip da maquina)
>
> #!/bin/bash
> #Regras de Firewall
>
> #Definir Variaveis
> IPT=/sbin/iptables
> REDE="192.168.0.0/24"
> PA="1024:65535"
> PL="25,53,80,110,143,443" #Portas Liberadas
> #25(SMTP),53(DNS),80(WEB),110(POP),443(HTTPS)
> INTRA="eth0"    #Intranet
> INTER="eth0"    #Internet
> IPNET=" 200.200.200.0"
> IPREDE="192.168.0.8"
> IPDNS="200.255.255.65"
> WEB=" 192.168.0.7" #Maquina com Squid
>
> #Limpando regras
> $IPT -F
> $IPT -X
>
> #Liberando Ipforward
> echo "1" > /proc/sys/net/ipv4/ip_forward
>
> #Nega tudo por padrao
> $IPT -P INPUT DROP
> $IPT -P FORWARD DROP
> $IPT -P OUTPUT ACCEPT
>
> #Criando o STATEFUL
> $IPT -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
> $IPT -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
> $IPT -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

Statefull???

Alguém aí me diga, se esta conexão autoriza pacotes novos, pacotes de
conexões já estabelecidas e pacotes sobre os quais a máquina 'já ouviu
falar sobre eles'

isso não torna as politicas lá em cima que estão no DROP em ACCEPT ?

Isso não torna desnecessárias todas aquelas regras lá embaixo dizendo
accept, accept, accept?????

> #Mascaramento
> $IPT -t nat -A POSTROUTING -s $REDE -o $INTER -j MASQUERADE
>
> #Libera Ping
> $IPT -A INPUT -p icmp --icmp-type echo-request -s 0/0 -d $IPREDE -j
> ACCEPT
> $IPT -A OUTPUT -p icmp --icmp-type echo-reply -s $IPREDE -d 0/0 -j
> ACCEPT
>
> #Libera SSH
> $IPT -A INPUT -s 0/0 -i $INTER -p tcp --dport 22 -j ACCEPT
>
> #Libera Resolucao de Nomes (DNS - Servidor/Cliente)
> $IPT -A OUTPUT -p udp -s $REDE --sport $PA -d $IPDNS --dport 53 -j
> ACCEPT
> $IPT -A INPUT -p udp -s $IPDNS --sport 53 -d $REDE --dport $PA -j
> ACCEPT
> $IPT -A INPUT -p udp -s $REDE --sport $PA -d $IPREDE --dport 53 -j
> ACCEPT
> $IPT -A OUTPUT -p udp -s $IPREDE --sport 53 -d $REDE --dport $PA -j
> ACCEPT
>
> #Libera Saida do Firewall
> $IPT -A OUTPUT -m multiport -d 0/0 -p tcp --dport $PL -j ACCEPT
> $IPT -A OUTPUT -m multiport -d 0/0 -p udp --dport $PL -j ACCEPT
> $IPT -A FORWARD -m multiport -s $REDE -d 0/0 -p tcp --dport $PL -j
> ACCEPT
> $IPT -A FORWARD -m multiport -s $REDE -d 0/0 -p udp --dport $PL -j
> ACCEPT
>
> #Analise e LOGs
> $IPT -A INPUT -j LOG --log-prefix "INPUT NAO DECLARADO"
> $IPT -A OUTPUT -j LOG --log-prefix "OUTPUT NAO DECLARADO"
> $IPT -A FORWARD -j LOG --log-prefix "FORWARD NAO DECLARADO"
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org



Denis Anjos.