Script Firewall Completo

Firewall Iptables Compatilhando so fata umas regras
Pgina 1 de 9
Ubuntu
Ubuntu-BR
Ubuntu-PT
Frum
Planeta
Frum Ubuntu Linux - PT

21 de Novembro de 2011, 21:56
Ol, Visitante. Faa o login ou registre-se. Perdeu o seu e-mail de ativao?

Para sempre Login Login com nome de usurio, senha e durao da sesso
Notcias: Atualizao no plugin de busca para Firefox e Internet Explorer.
HOME AJUDA REGRAS PESQUISA LOGIN REGISTRE-SE
Tpico
Pesquisa
Anncios
Bloqueio de trafego WEB

Filtro de contedo. Detm Malware Bloqueia uso indevido de sites
www.spamina.com
Frum Ubuntu Linux - PT > Suporte Tcnico > Servidores > Firewall Iptables Compatilhando so fata umas regras
anterior prximo
Pginas: [1] Autor Ir para o fundo Tpico: Firewall Iptables Compatilhando so fata umas regras (Lida 2302 vezes)
IMPRIMIR
Lucas Peregrino
Usurio Ubuntu Deslogado Mensagens: 20

em: 12 de Julho de 2009, 22:33
#Rede eth0 = 192.168.2.0/24 #Internet eth1 = 192.168.254.0/24 echo "Inciando Firewall" echo "Limpado Nat" ##Limpado Nat sudo iptables -t nat -F sudo iptables -t nat -X sudo iptables -t nat -Z sudo iptables -t mangle -F sudo iptables -F sudo iptables -X sudo iptables -Z sudo iptables -F INPUT sudo iptables -F OUTPUT sudo iptables -F FORWARD
echo "Definindo a Polica Padrao" ## Define a politica padrao sudo iptables -P INPUT DROP sudo iptables -P FORWARD DROP sudo iptables -P OUTPUT DROP sudo iptables -t filter -P INPUT DROP sudo iptables -t filter -P FORWARD DROP sudo iptables -t filter -P OUTPUT ACCEPT sudo iptables -t nat -P PREROUTING ACCEPT sudo iptables -t nat -P POSTROUTING ACCEPT
http://ubuntuforum-br.org/index.php?topic=53432.0
21/11/2011
Pgina 2 de 9
sudo iptables -t nat -P OUTPUT ACCEPT sudo iptables -t mangle -P PREROUTING ACCEPT sudo iptables -t mangle -P OUTPUT ACCEPT
echo "Modulos" ##Modulos sudo modprobe sudo modprobe sudo modprobe sudo modprobe sudo modprobe sudo modprobe sudo modprobe sudo modprobe sudo modprobe sudo modprobe sudo modprobe sudo modprobe sudo modprobe sudo modprobe
ip_tables ip_conntrack iptable_filter iptable_mangle iptable_nat ipt_LOG ipt_limit ipt_state ipt_REDIRECT ipt_owner ipt_REJECT ipt_MASQUERADE ip_conntrack_ftp ip_nat_ftp
echo "Mascaramento de rede para acesso externo" ##Mascaramento de rede para acesso externo sudo iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE echo "Ativando o Roteamento Dinamico" ##ativa o roteamento dinamico echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/ip_dynaddr echo "Habilitando Localhost" ##Habilitando LocalHost: sudo iptables -A INPUT -p tcp --syn -s 127.0.0.1 -j ACCEPT echo "Redirecionando Porta 80 para 3128" ##Redirencionar portas 80 para 3128 sudo iptables -t nat -A PREROUTING -i 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT -to-port 3128 sudo iptables -A INPUT -m tcp -p tcp -s ! 127.0.0.1 --dport 3129 -j DROP echo "Redirencionar portas 443 para 3128" ##Redirencionar portas 443 para 3128 sudo iptables -t nat -A PREROUTING -i 192.168.2.0/24 -p tcp --dport 443 -j REDIRECT -to-port 3128 echo "Libera a Conexao para rede Interna" ## Libera a conexao para a rede interna sudo iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE echo "Separa ICMP, TCP E UDP" ##Create separate chains for ICMP, TCP and UDP to traverse sudo iptables -N allowed sudo iptables -N tcp_packets sudo iptables -N udp_packets sudo iptables -N icmp_packets echo "netbios" ## NETBIOS sudo iptables -A INPUT -p tcp -s 192.168.2.0/24 --dport 137:139 -j ACCEPT sudo iptables -A INPUT -p udp -s 192.168.2.0/24 --dport 137:139 -j ACCEPT echo "dns Liberado"
21/11/2011
Pgina 3 de 9
## DNS - Libera a resolucao de nomes sudo iptables -A INPUT -p tcp -s 192.168.2.0/24 --dport 53 -j ACCEPT sudo iptables -A INPUT -p udp -s 192.168.2.0/24 --dport 53 -j ACCEPT echo "Bloqueio U89 - Software burlador de proxy" ## Bloqueando U89 - software burlador de proxy sudo iptables -A FORWARD -p tcp --dport 9666 -j DROP sudo iptables -A FORWARD -p tcp --dport 443 -j DROP echo "Travando o msn e Liberando o acesso por Maquina" ## Libera as maquinas na rede que pode ter msn sudo sudo sudo sudo iptables iptables iptables iptables -A -A -A -A FORWARD FORWARD FORWARD FORWARD -s 192.168.2.0/24 -p tcp --dport 1863 -j ACCEPT -s 192.168.2.0/24 -d 65.54.179.192 -j ACCEPT -p tcp --dport 1863 -j DROP -d 65.54.179.192 -j DROP
echo "Terminal Server" ## Terminal Server sudo iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 3389 -j DNAT --to 192.168.2.253 sudo iptables -t nat -A POSTROUTING -d 192.168.2.253 -j SNAT --to 192.168.2.254 echo "VNC" ## VNC #sudo iptables -t nat -A PREROUTING -s eth1 -m tcp -p tcp -i eth0 --dport 5900 -j DNAT --to-destination 192.168.2.0 echo "VNC em Servidor Web" ## VNC em Servidor Web #sudo iptables -t nat -A PREROUTING -s eth1 -m tcp -p tcp -i eth0 --dport 5800 -j DNAT --to-destination 192.168.2.0/24 echo "Liberando SSH" ## Liberando SSH (porta 6689 e 22 ) sudo iptables -A INPUT -p tcp --dport 22 -i 192.168.2.0/24 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 6689 -i 192.168.2.0/24 -j ACCEPT sudo iptables -A INPUT -s 192.168.2.0/24 -p tcp --dport ssh -j ACCEPT echo "Liberando SSH Externo" ## Liberando SSH Externo sudo iptables -A INPUT -p tcp --dport 22 -i eth1 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 6689 -i eth1 -j ACCEPT echo "Liberando SSH em Servidor Web" ## Liberando SSH em Servidor web sudo iptables -A INPUT -p tcp --dport 80 -i eth1 -j ACCEPT echo "Liberando Webmin" ## Liberando Webmin (porta 332) sudo iptables -A INPUT -s 192.168.2.0/24 -p tcp --dport 332 -j ACCEPT sudo iptables -A INPUT -s 192.168.2.0/24 -p tcp --dport 10000 -j ACCEPT echo "Liberando Acesso ao Webmin Externo" ## Liberando acesso Webmin externo sudo iptables -A INPUT -i eth1 -p tcp --dport 332 -j ACCEPT echo "Liberando Acesso Nota Fiscal Eletronica " ## Liberando acesso a NFE (Nota fiscal Eletronica) sudo iptables -t nat -I PREROUTING -p tcp --dport 80 -s 192.168.2.0/24 -d 200.189.133.249 -j ACCEPT sudo iptables -t nat -I PREROUTING -p tcp --dport 80 -s 192.168.2.0/24 -d
21/11/2011
Pgina 4 de 9
200.189.133.247 -j ACCEPT sudo iptables -t nat -A PREROUTING -p tcp -d 200.189.133.249 -j ACCEPT sudo iptables -A FORWARD -p tcp -d 200.189.133.249 -j ACCEPT sudo iptables -t nat -A PREROUTING -p tcp -d 200.189.133.247 -j ACCEPT sudo iptables -A FORWARD -p tcp -d 200.189.133.247 -j ACCEPT sudo iptables -t nat -I PREROUTING -s 192.168.2.0/24 -p tcp --dport 4199 -j ACCEPT sudo iptables -t nat -I PREROUTING -s 192.168.2.0/24 -p tcp --dport 5656 -j ACCEPT echo "Caixa Economica" ## Caixa Economica sudo iptables -t nat -I PREROUTING -s 192.168.2.0/24 -p tcp -d 200.201.174.0/24 -dport 80 -j ACCEPT sudo iptables -t nat -A PREROUTING -i eth1 -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 sudo iptables -I FORWARD -p tcp -s 192.168.2.0/24 -d 200.201.174.0/24 --dport 1024:65535 -j ACCEPT sudo iptables -I FORWARD -p tcp -s 192.168.2.0/24 -d 200.201.174.0/24 --sport 1024:65535 -j ACCEPT sudo iptables -I FORWARD -p tcp -s 192.168.2.0/24 -d 200.201.174.0/24 --dport 80 -j ACCEPT sudo iptables -t nat -A PREROUTING -i eth1 -d ! 200.201.173.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 sudo iptables -I FORWARD -p tcp -s 192.168.2.0/24 -d 200.201.173.0/24 --dport 1024:65535 -j ACCEPT sudo iptables -I FORWARD -p tcp -s 192.168.2.0/24 -d 200.201.173.0/24 --sport 1024:65535 -j ACCEPT sudo iptables -I FORWARD -p tcp -s 192.168.2.0/24 -d 200.201.173.0/24 --dport 80 -j ACCEPT sudo iptables -t nat -A PREROUTING -i eth1 -d ! 200.201.166.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 sudo iptables -I FORWARD -p tcp -s 192.168.2.0/24 -d 200.201.166.0/24 --dport 1024:65535 -j ACCEPT sudo iptables -I FORWARD -p tcp -s 192.168.2.0/24 -d 200.201.166.0/24 --sport 1024:65535 -j ACCEPT sudo iptables -I FORWARD -p tcp -s 192.168.2.0/24 -d 200.201.166.0/24 --dport 80 -j ACCEPT sudo iptables -t nat -A PREROUTING -i eth1 -d ! 200.201.162.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 sudo iptables -I FORWARD -p tcp -s 192.168.2.0/24 -d 200.201.162.0/24 --dport 1024:65535 -j ACCEPT sudo iptables -I FORWARD -p tcp -s 192.168.2.0/24 -d 200.201.162.0/24 --sport 1024:65535 -j ACCEPT sudo iptables -I FORWARD -p tcp -s 192.168.2.0/24 -d 200.201.162.0/24 --dport 80 -j ACCEPT sudo iptables -t nat -A PREROUTING -i eth1 -s 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 echo "Liberando Conectividade Social" ## Liberar Conectividade Social para todos # liberando acesso a toda a rede 200.201 e pode liberar sites alem da Caixa. sudo iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT sudo iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT echo "Liberando Pacotes de Retorno da internet" ## ACCEPT (libera) pacotes de retorno da internet sudo iptables -A INPUT -i ! eth1 -j ACCEPT sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT sudo iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
21/11/2011
Pgina 5 de 9
sudo iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT echo "Fechando as Portas do Samba para internet" ## Fechando as portas do samba caso fique de cara para a internet. sudo iptables -A INPUT -p tcp -i eth1 --syn --dport 139 -j DROP sudo iptables -A INPUT -p tcp -i eth1 --syn --dport 138 -j DROP echo "Conexao via rede interna com destino ao Web Server" ## Aceita conexoes vindas da rede interna com destino ao web server sudo iptables -A INPUT -p tcp -i 192.168.2.0/24 --syn --dport 80 -j ACCEPT echo "Abre a faixa de endereco da rede local" ## Abre para uma faixa de endereco da rede local sudo iptables -A INPUT -p tcp --syn -s 192.168.2.0/255.255.255.0 -j ACCEPT
ltima modificao: 12 de Julho de 2009, 23:09 por Lucas Peregrino
Registrado
Lucas Peregrino
Re: Firewall Iptables Compatilhando e pedido uma ajuda

Responder #1 em: 12 de Julho de 2009, 22:33
echo "Abrindo Porta de Conexao a Internet" ## Abre uma porta (inclusive para a Internet) sudo iptables -A INPUT -p tcp --destination-port sudo iptables -A INPUT -p tcp --destination-port sudo iptables -A INPUT -p tcp --destination-port sudo iptables -A INPUT -p tcp --destination-port sudo iptables -A INPUT -p tcp --destination-port sudo iptables -A INPUT -p tcp --destination-port sudo iptables -A INPUT -p tcp --destination-port sudo iptables -A INPUT -p tcp --destination-port sudo iptables -A INPUT -p tcp --destination-port sudo iptables -A INPUT -p tcp --destination-port sudo iptables -A INPUT -p tcp --destination-port ##Trafego sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables sudo iptables
80 -j ACCEPT 443 -j ACCEPT 465 -j ACCEPT 995 -j ACCEPT 332 -j ACCEPT 1863 -j ACCEPT 4199 -j ACCEPT 5959 -j ACCEPT 3389 -j ACCEPT 5900 -j ACCEPT 5800 -j ACCEPT
-A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A -A
INPUT -p tcp --destination-port 80 -j DROP INPUT -p tcp --destination-port 21 -j DROP INPUT -p tcp --destination-port 443 -j DROP INPUT -p tcp --destination-port 563 -j DROP INPUT -p tcp --destination-port 70 -j DROP INPUT -p tcp --destination-port 210 -j DROP INPUT -p tcp --destination-port 280 -j DROP INPUT -p tcp --destination-port 488 -j DROP INPUT -p tcp --destination-port 591 -j DROP INPUT -p tcp --destination-port 777 -j DROP INPUT -p tcp --destination-port 631 -j DROP INPUT -p tcp --destination-port 873 -j DROP INPUT -p tcp --destination-port 901 -j DROP INPUT -p tcp --destination-port 42801 -j DROP INPUT -p tcp --destination-port 2098 -j DROP INPUT -p tcp --destination-port 4199 -j DROP OUTPUT -p tcp --destination-port 4199 -j DROP INPUT -p tcp --destination-port 5959 -j DROP OUTPUT -p tcp --destination-port 5959 -j DROP INPUT -p tcp --destination-port 3389 -j DROP OUTPUT -p tcp --destination-port 3389 -j DROP INPUT -p tcp --destination-port 139 -j DROP OUTPUT -p tcp --destination-port 139 -j DROP INPUT -p tcp --destination-port 1863 -j DROP
21/11/2011
Pgina 6 de 9
sudo sudo sudo sudo sudo
iptables iptables iptables iptables iptables
-A -A -A -A -A
OUTPUT -p tcp --destination-port 1863 -j DROP INPUT -p tcp --destination-port 5900 -j DROP OUTPUT -p tcp --destination-port 5900 -j DROP INPUT -p tcp --destination-port 5800 -j DROP OUTPUT -p tcp --destination-port 5800 -j DROP
echo "Ignora Pings" ## Ignora pings echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all echo "Protege contra Synflood" ## Protege contra synflood echo "1" > /proc/sys/net/ipv4/tcp_syncookies echo "Nat ao contrario" ## Desabilita o suporte a source routed packets # Esta recurso funciona como um NAT ao contrario, que em certas circunstancias pode permitir que alguem de fora envie pacotes para micros dentro da rede localecho "0" >/proc/sys/net/ipv4/conf/eth0/accept_source_route echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_source_route echo "0" > /proc/sys/net/ipv4/conf/eth1/accept_source_route echo "Protecao contra ICMP Broadcasting" ## Protecao contra ICMP Broadcasting echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo "Protecao Contra IP spoofing" ##Proteo Contra IP Spoofing sudo iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP sudo iptables -A INPUT -s 172.16.0.0/16 -i eth1 -j DROP sudo iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP echo "Block Black Orifice" # Block Back Orifice sudo iptables -A INPUT -p sudo iptables -A INPUT -p echo "Block NetBus" # Block NetBus sudo iptables -A INPUT -p sudo iptables -A INPUT -p
tcp --dport 31337 -j DROP udp --dport 31337 -j DROP
tcp --dport 12345:12346 -j DROP udp --dport 12345:12346 -j DROP
echo "FIREWALL: NEW sem syn" # "FIREWALL: NEW sem syn: " sudo iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP echo "Dropa pacotes mal formados" # Dropa pacotes mal formados sudo iptables -A FORWARD -m unclean -j DROP echo "Proteo contra trinoo" # Proteo contra trinoo sudo iptables -N TRINOO sudo iptables -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trinoo: " sudo iptables -A TRINOO -j DROP sudo iptables -A INPUT -p TCP -i eth1 --dport 27444 -j TRINOO sudo iptables -A INPUT -p TCP -i eth1 --dport 27665 -j TRINOO sudo iptables -A INPUT -p TCP -i eth1 --dport 31335 -j TRINOO sudo iptables -A INPUT -p TCP -i eth1 --dport 34555 -j TRINOO sudo iptables -A INPUT -p TCP -i eth1 --dport 35555 -j TRINOO echo "Proteo contra tronjans" # Proteo contra tronjans
21/11/2011
Pgina 7 de 9
sudo iptables -N TROJAN sudo iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trojan: " sudo iptables -A TROJAN -j DROP sudo iptables -A INPUT -p TCP -i eth1 --dport 666 -j TROJAN sudo iptables -A INPUT -p TCP -i eth1 --dport 666 -j TROJAN sudo iptables -A INPUT -p TCP -i eth1 --dport 4000 -j TROJAN sudo iptables -A INPUT -p TCP -i eth1 -- dport 6000 -j TROJAN sudo iptables -A INPUT -p TCP -i eth1 --dport 6006 -j TROJAN sudo iptables -A INPUT -p TCP -i eth1 --dport 16660 -j TROJAN echo "Proteo contra worms" # Proteo contra worms sudo iptables -A FORWARD -p tcp --dport 135 -i eth0 -j REJECT echo " Proteo contra syn-flood" # Proteo contra syn-flood sudo iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT echo "Proteo contra port scanners" # Proteo contra port scanners sudo iptables -N SCANNER sudo iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner: " sudo iptables -A SCANNER -j DROP sudo iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth1 -j SCANNER sudo iptables -A INPUT -p tcp --tcp-flags ALL NONE -i eth1 -j SCANNER sudo iptables -A INPUT -p tcp --tcp-flags ALL ALL -i eth1 -j SCANNER sudo iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i eth1 -j SCANNER sudo iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i eth1 -j SCANNER sudo iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth1 -j SCANNER sudo iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth1 -j SCANNER echo "Bloqueio de NetBios" #Bloqueio de NetBios sudo iptables -t nat -A PREROUTING sudo iptables -t nat -A PREROUTING sudo iptables -t nat -A PREROUTING sudo iptables -t nat -A PREROUTING sudo iptables -t nat -A PREROUTING sudo iptables -t nat -A PREROUTING sudo iptables -t nat -A PREROUTING sudo iptables -t nat -A PREROUTING sudo iptables -t nat -A PREROUTING sudo iptables -t nat -A PREROUTING
-p -p -p -p -p -p -p -p -p -p
tcp --dport 445 -j DROP tcp --dport 135 -j DROP tcp --dport 137 -j DROP tcp --dport 138 -j DROP tcp --dport 139 -j DROP udp --dport 445 -j DROP udp --dport 135 -j DROP udp --dport 137 -j DROP udp --dport 138 -j DROP udp --dport 139 -j DROP
echo "Loga tentativa de acesso a determinadas portas" # Loga tentativa de acesso a determinadas portas sudo iptables -A INPUT -p tcp --dport 21 -i eth1 -j LOG --log-level 6 --log-prefix "FIREWALL: ftp: " sudo iptables -A INPUT -p tcp --dport 23 -i eth1 -j LOG --log-level 6 --log-prefix "FIREWALL: telnet: " sudo iptables -A INPUT -p tcp --dport 25 -i eth1 -j LOG --log-level 6 --log-prefix "FIREWALL: smtp: " sudo iptables -A INPUT -p tcp --dport 80 -i eth1 -j LOG --log-level 6 --log-prefix "FIREWALL: http: " sudo iptables -A INPUT -p tcp --dport 110 -i eth1 -j LOG --log-level 6 --log-prefix "FIREWALL: pop3: " sudo iptables -A INPUT -p udp --dport 111 -i eth1 -j LOG --log-level 6 --log-prefix "FIREWALL: rpc: " sudo iptables -A INPUT -p tcp --dport 113 -i eth1 -j LOG --log-level 6 --log-prefix "FIREWALL: identd: "
21/11/2011
Pgina 8 de 9
sudo iptables -A INPUT "FIREWALL: samba: " sudo iptables -A INPUT "FIREWALL: samba: " sudo iptables -A INPUT "FIREWALL: snmp: " sudo iptables -A INPUT "FIREWALL: irc: " sudo iptables -A INPUT "FIREWALL: squid: "
-p tcp --dport 137:139 -i eth1 -j LOG --log-level 6 --log-prefix -p udp --dport 137:139 -i eth1 -j LOG --log-level 6 --log-prefix -p tcp --dport 161:162 -i eth1 -j LOG --log-level 6 --log-prefix -p tcp --dport 6667:6668 -i eth1 -j LOG --log-level 6 --log-prefix -p tcp --dport 3128 -i eth1 -j LOG --log-level 6 --log-prefix
echo "Protecao contra Ping od death, ataques DoS," ## Protecao diversas contra portscanners, ping of death, ataques DoS, etc. sudo iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT sudo iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT sudo iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT sudo iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT sudo iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT sudo iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT sudo iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT sudo iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP sudo iptables -A FORWARD -m unclean -j DROP sudo iptables -A INPUT -m state --state INVALID -j DROP sudo iptables -N VALID_CHECK sudo iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP sudo iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP sudo iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP sudo iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP sudo iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP sudo iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP sudo iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP sudo iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j REJECT sudo iptables -A INPUT -m state --state INVALID -j REJECT sudo iptables -A INPUT -s 0.0.0.0/0 -p icmp -j DROP
echo "Manter conexoes jah estabelecidas para nao parar" ## Manter conexoes jah estabelecidas para nao parar sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT sudo iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT sudo iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT echo "Interface Loopback" ## Abre para a interface de loopback. # Esta regra e essencial para o KDE e outros programas graficos funcionarem adequadamente. sudo iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT sudo iptables -A INPUT -i lo -j ACCEPT echo "Fechando Todas Portas" ## Esta regra e coracao do firewall , # ela bloqueia qualquer conexoes que nao tenha sido permitida acima. sudo iptables -A INPUT -p tcp --syn -j DROP echo "Firewall Ativo" Atualmente preciso pra ta acrescentando nesse firewall o vnc que seria acesso remoto o vpn e PCAnywhere
21/11/2011
Pgina 9 de 9
ltima modificao: 12 de Julho de 2009, 23:06 por Lucas Peregrino
Registrado
ehs171
Re: Firewall Iptables Compatilhando so fata umas regras

Responder #2 em: 05 de Janeiro de 2010, 14:15
Boa tarde amigo, para liberar o vnc voce pode utilizar esta regra: echo "VNC Liberado" ## Libera VNNC /sbin/iptables -t nat -A PREROUTING -i $eth_externo -p tcp --dport 5500 -j DNAT --todest 10.0.0.16:5500 uma coisa que nao consegui utilizar neste seu firewall, foi o acesso ao samba, quando eu executo ele eu perco meu acesso ao samba.
Registrado
Pginas: [1]
Ir para o topo
IMPRIMIR
anterior prximo
Ir para: => Servidores
OK
Tema desenvolvido por FaBMak e n3t0 Powered by SMF 1.1.15 | SMF 2006-2009, Simple Machines 2011 Canonical Ltd. Ubuntu e Canonical so marcas registradas da Canonical Ltd.
21/11/2011

Script Firewall Completo

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Script Firewall Completo

Enviado por

Direitos autorais:

Formatos disponíveis

Firewall Iptables Compatilhando so fata umas regras

Frum Ubuntu Linux - PT

Ol, Visitante. Faa o login ou registre-se. Perdeu o seu e-mail de ativao?

Bloqueio de trafego WEB

Firewall Iptables Compatilhando so fata umas regras

Firewall Iptables Compatilhando so fata umas regras

Firewall Iptables Compatilhando so fata umas regras

Firewall Iptables Compatilhando so fata umas regras

Firewall Iptables Compatilhando so fata umas regras

ltima modificao: 12 de Julho de 2009, 23:09 por Lucas Peregrino

Re: Firewall Iptables Compatilhando e pedido uma ajuda

Firewall Iptables Compatilhando so fata umas regras

sudo sudo sudo sudo sudo

iptables iptables iptables iptables iptables

tcp --dport 31337 -j DROP udp --dport 31337 -j DROP

tcp --dport 12345:12346 -j DROP udp --dport 12345:12346 -j DROP

Firewall Iptables Compatilhando so fata umas regras

Firewall Iptables Compatilhando so fata umas regras

Firewall Iptables Compatilhando so fata umas regras

ltima modificao: 12 de Julho de 2009, 23:06 por Lucas Peregrino

Re: Firewall Iptables Compatilhando so fata umas regras

Ir para: => Servidores

Você também pode gostar