http://www.zago.eti.br/firewall/iptables-modelos.txt Mensagens que circulou na Linux-br com modelos ou indicação de scripts de firewall com iptables. Use CTRL+F para refinar a pesquisa. Linha de: **************** sapara mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux veja também neste diretorio (site) FAQ http://www.zago.eti.br/firewall/iptables.txt http://zago.eti.br/firewall/firewall.txt e todos os FAQ iniciados por ip Muito cuidado quando copiar modelos de firewall ou regras de iptables, neste documento as regras servem pra orientar, na maioria das vezes são partes de um firewall ou somente a linha de comando que deve ser inserida no firewall. Tenha cuidado com a quebra de linha, alguns clientes de e-mail quebra a linha em 80 colunas, mas a linha original pode conter mais caracteres que isto, fique atento a este detalhe. Scripts podem ser manipulados por qualquer editor de texto do Linux ou via ferramentas de configuração em ambiente gráfico como webmin, não manipule estes arquivos em DOS/WIN, tem que ser no Linux em formato texto puro do Linux, sem caracteres de controle no documento como; acentos, formatação de fontes, impressão e etc... Implemente as regras por partes, inicie com as regras minimas, faça testes e depois implemente a linha ou linhas que deseja e faça testes pra ver os resultados, na dúvida reinicie o micro pra ter certeza de quais são as regras que estão velendo. As regras pode ser digitadas diretamente na linha de comando, pra não repetir o processo toda vez que reiniciar a maquina, coloque todas as regras em um script, automatize a execução do script, acrescente no final do /etc/rc.d/rc.local uma chamada pra executar o script. ******************************************************************** Modelo pra compartilhar internet, NÃO é firewall, são somente regras pra compartilhar a conexão, e liberar tudo nas estações, navegação, e-mail e etc... modprobe iptable_nat iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward Pra conexões com IP fixo que levanta a interface eth0, altere nas regras acima, de ppp0 pra ethx, onde x é a interface de rede. Pra utilizar ftp nas estações precisa fazer NAT também pro ftp, tanto pra utilizar ftp como wget pra fazer download de ftp vai precisar também destas regras: modprobe ip_conntrack_ftp modprobe ip_nat_ftp Portanto pra compartilhar a internet fazer NAT pra web e também fazer NAT pra ftp, fica assim: modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe iptable_nat iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward ******************************************************************** COMPARTILHAR INTERNET COM SQUID Modelo pra compartilhar internet e redirecionadar pro Squid tudo da porta 80 (web) Redirecionar todo o trafego da porta 80 (navegação) pro Squid, esta regra obriga alterar as configurações do browser, onde tem que informar os usuários precisam configurar o browser pra navegar via proxy, informando o IP do servidor proxy e a porta 3128, isto força o uso do proxy e impede a navegação sem passar pelos controles do proxy, Lembre que pra aplicar esta regra, precisa ter instalado e configurado o servidor proxy (Squid), lembre que serviços que rodam em outras portas, continuam liberados, tais como: e-mail, kazaa, icq, msn e outros serviços de rede, em outro modelos trataremos das regras pra bloquear estes serviços, pra redirecionar o trafego da porta 80 pro Squid, acrescente nas regras do firewall (no servidor) esta linha: iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.1.0/24 --dport 80,443 -j REDIRECT --to-ports 3128 Esta regra não pode ser colocada em qualquer lugar do firewall, no Iptables a ordem das regras tem influencia no resultado, pra testar o Squid, use somente regras pra compartilhar a conexão e redirecionar o trafego pro Squid, como exemplo pode utilizar estas regras: modprobe iptable_nat iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.1.0/24 --dport 80,443 -j REDIRECT --to-ports 3128 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward Altere a interface ppp0 para o correto da tua rede, cuidado com a quebra de linhas, no exemplo acima são 4 linhas, a primeira carraga o modulo do Iptables, a segunda linha faz o redirecionamento de todo o trafego da porta 80 pro Squid na porta 3128, a terceira e quarta linha faz NAT para os demais serviços não controlados pelo Squid, como e-mail, conexões por ssh, ftp e etc.., depois que tudo funcinar, implante as suas regras de firewall, veja mais sobre firewall em: http://www.zago.eti.br/firewall linha de comando pra importar as regras acima pro "vi" (veja cp.txt) :r !lynx -dump http://www.zago.eti.br/modelos/ppp0-squid-compartilhar Pra quem já tem um firewall rodando, precisa reiniciar este serviço, ou reiniciar a maquina com o novo script.. ******************************************************************** REDIRECIONAR TODO O TRAFEGO DE NAVEGAÇÃO PARA O SQUID E BLOQUERAR MSN, ICQ, KAZAA E REDES P2P modprobe iptable_nat # Bloquear a Porta 1863, usada pelo msn iptables -A FORWARD -s 192.168.1.0/24 -p TCP --dport 1863 -j REJECT # Bloquear o servidor do hotmail iptables -A FORWARD -s 192.168.1.0/24 -p tcp -d messenger.hotmail.com -j REJECT iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.1.0/24 --dport 80,443 -j REDIRECT --to-ports 3128 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward Algumas mensagens dizem pra bloquear o IP no firewall, tentei colocar as regras abaixo no firewall acima, coloquei antes da regra que redireciona pro Squid: /usr/sbin/iptables -A FORWARD -o $eth1 -s ! 192.168.0.20 -d $IP.0/24 -j DROP /usr/sbin/iptables -A FORWARD -d 207.46.110.0/24 -j REJECT /usr/sbin/iptables -A FORWARD -d 64.4.12.0/24 -j REJECT /usr/sbin/iptables -A FORWARD -d 64.4.13.0/24 -j REJECT /usr/sbin/iptables -A FORWARD -d 65.54.194.0/24 -j REJECT /usr/sbin/iptables -A FORWARD -d 65.54.211.0/24 -j REJECT /usr/sbin/iptables -A FORWARD -d 131.107.102.0/24 -j REJECT /usr/sbin/iptables -A FORWARD -d 207.46.106.0/24 -j REJECT /usr/sbin/iptables -A FORWARD -s 192.168.1.0/24 -p TCP --dport 1863 -j REJECT Mesmo assim as estações continuavam acessando o MSN, GATOR e outros. A solução que resolveu o meu problema (bloquear todo acesso a sites como msn, gator e outros foi abrir um terminal e monitorar os logs com: tail -f /var/log/squid/access.log Esta linha de comando lista no terminal as entradas no arquivo de log, agora, monitorando os logs neste terminal, dá pra ver o nome do site que os usuários estão acessando, então observei que eles continuavam acessando sites que tem no nome palavras como: msn, passport, gator. Solução: abrir outro terminal, tornar root, editar o arquivo: /etc/squid/negapalavra.txt Neste arquivo estão as palavras bloqueadas, em resumo, bloqueia qualquer URL que tenha no nome alguma das palavras deste arquivo, no meu caso acrescentei neste arquivo as palavras: chat extreme-dm.com gator msn messenger passport room Após acrescentar as palavras acima, tem que atualizar o squid, execute: squid -k reconfigure Volte pro terminal 1 e continue monitorando os logs, vai perceber que os sites que contém na URL algumas das palavras acima, agora aparecem nos logs com uma palavra DENIED, resultado: mesmo pra quem estava com o MSN instalado e utilizando agora não acessa mais o MSN, nem precisou desinstalar na estação, bastou o bloqueio da palavra na ACL do squid. Tem que ficar monitorando os logs, os usuários sempre vão tentar outras saidas e o administrador tem que descobrir quais são pra fazer o bloqueio. Uma boa tecnica de descobrir isto é nos graficos no SARG, veja como configurar o sarg pra gerar relatorios, nestes graficos tem resumos por site, IP e outras opções que facilitam muito a analize dos logs, além de valorizar o teu trabalho, use e abuse, também mostre pro teu cliente ou chefe!!!! Pra configurar o sarg (graficos de relatorios do Squid), veja em: http://www.zago.eti.br/squid/sarg.txt Pra instalar e configurar o squid, veja em: http://www.zago.eti.br/squid/squid-CL9.txt ******************************************************************** Redicionar VNC pra estação da rede interna. Neste exemplo, estação windows atras de firewall, rodando VNC server nesta estação e recebendo conexões entrante vindo da internet. Regras de iptables (no micro que compartilha a conexão, firewall). Regras de iptables pra redirecionar todos os pedidos que chegam da net pra uma estação da rede interna, acrescente no teu firewall estas regras: # VNC regras de iptables pra repassar pra maquina local iptables -A FORWARD -i eth1 -p tcp --dport 5800:5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -p udp --dport 5800:5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5800:5900 -j DNAT --to 192.168.1.114:5800-5900 iptables -t nat -A PREROUTING -p udp -i eth1 --dport 5800:5900 -j DNAT --to 192.168.1.114:5800-5900 Explicando: Nesta rede tem um micro compartilhando a conexão e fazendo o firewall, as regras acima são aplicadas neste micro pra permitir que toda conexão de VNC que chegam da internet seja automaticamente redirecionada pra conectar na estação com IP 192.168.1.114. A estação windows esta configurada com IP 192.168.1.114 e rodando o VNC server. eth1 = a placa de rede que está de cara pra net, pra quem usa o pacote rp-pppoe troque eth1 por ppp0, pra quem usa eth0 conectada ao modem, troque eth1 pra eth0. Do mundo, quem executar o VNC view (cliente) e apontar para o IP da maquina que compartilha a conexão vai conectar na estação desta rede, neste exemplo a estação tem o IP 192.168.1.114. Ou seja o firewall redireciona automaticamente as solicitações pra conexão do VNC diretamente pra maquina com o IP que consta nas regras do firewall, pode alterar o IP e reiniciar o firewall pra conectar a outra maquina ou a partir da conexão de uma maquina executar o VNC nela pra conectar a outra maquina. No Mozilla do CL10 instalado com perfil "Desktop Corporativo" acessa normalmente o VNC de estações windows, basta colocar na URL do Mozilla, o IP da maquina com as regras de direcionamento mais :5800, por exemplo: http://200.200.200.200:5800 Aguarde a tela do VNC aparecer no broser, vai pedir a senha da estação Windows e voce tem a maquina windows no Mozilla rodando no CL10. Veja mais sobre VNC no FAQ: http://www.zago.eti.br/vnc.txt ******************************************************************** Quando um servidor de arquivos pra rede interna, também compartilha um conexão de internet, temos serviços rodando neste servidor que não precisam e nem podem estar de cara pra internet, voce precisa fechar a porta destes serviços pra evitar invasão. principalmente quando roda serviços que não tem nada a ver com internet nem tem segurança pra dar as caras pra internet, por exemplo o samba destinado a servidor de arquivos pra rede interna, portmap compartilhar diretorios pra outras maquinas, e também outros serviços que só interessam pra rede interna. Pra fechar as portas, por exemplo do samba que utiliza as portas 137, 138 e 139, precisa fechar somente a que ouve, ou se preferir feche logo as 3, acrescente estas linhas no teu firewall: iptables -A INPUT -p tcp -i eth1 --syn --dport 139 -j DROP iptables -A INPUT -p tcp -i eth1 --syn --dport 138 -j DROP iptables -A INPUT -p tcp -i eth1 --syn --dport 137 -j DROP Neste exemplo a placa de rede que está de cara pra net é a eth1, caso a sua placa de rede seja outra, faça a correção no modelo acima, pra que utiliza o pacote pppoe ou modem por linha discada, tem que alterar de eth1 pra ppp0, vai ficar assim: iptables -A INPUT -p tcp -i ppp0 --syn --dport 139 -j DROP iptables -A INPUT -p tcp -i ppp0 --syn --dport 138 -j DROP iptables -A INPUT -p tcp -i ppp0 --syn --dport 137 -j DROP Pra fehar a porta 111 utilizada pelo portmap (serviço de nfs) utilize esta regra, ajuste a interface de entrada, neste exemplo é eth1, coloque a interface de tua rede que recebe os pedidos da internet. iptables -A INPUT -p tcp -i eth1 --syn --dport 111 -j DROP Veja os resultados de: nmap -sS , exemplo na maquina com IP 192.168.1.53 nmap -sS 192.168.1.53 Teste o seu firewall nos sites: http://scan.sygatetech.com/ http://www.auditmypc.com/ https://grc.com/x/ne.dll?bh0bkyd2 Verifique no resultado, quais portas estão abertas, quando aparece portas que não devem ser acessadas via internet neste servidor, estas portas tem que ser fechadas, edite o teu scrip de firewall e acrescente mais uma regra especifica para fechar a porta, ou parar o serviço, volte ao site e faça novo teste. Tem muitas dicas nas mensagens deste documento e outros arquivos deste diretório com FAQ especificos sobre port scanner, firewall etc.. ******************************************************************** REGRAS PRA REDIRECIONAR (POR PORTA) PRA UMA MAQUINA DA REDE INTERNA. SSH - WEBMIN ... Neste exemplo: um micro compartilhando internet pra rede interna e fazendo o firewall, quero que as conexões por ssh passem diretamente pra uma estação da rede, ou seja pra outra maquina da rede atras do firewall. No micro que compartilha a internet não tem o servidor de ssh rodando, o servidor de ssh está rodando na estação com IP 192.168.1.53, de qualquer maquina da internet, quando digitar ssh zago@200.204.198.164 quem deverá atender esta conexão será a estação 192.168.1.53 que está atraz da maquina com IP 200.204.198.164. Considererando que tenho estas regras no firewall: modprobe iptable_nat iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.1.0/24 --dport 80,443 -j REDIRECT --to-ports 3128 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward Preciso acrescentar esta regra: /usr/sbin/iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 22 -i eth0 -j DNAT --to 192.168.1.53:22 Onde: eth0 é a placa de rede de cara pra net 22 é a porta que quero redicionar pra outra maquina (22 é a porta utilizada nas conexões por ssh) 192.168.1.53 é o IP reservado da maquina interna que vai atender a conexão. O firewall passou a ficar assim: modprobe iptable_nat /usr/sbin/iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 22 -i eth0 -j DNAT --to 192.168.1.53:22 iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.1.0/24 --dport 80,443 -j REDIRECT --to-ports 3128 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward obs, as regras acima não é um firewall, são regras simples pra compartilhar a internet, usei o termo e o modelo acima somente como exemplo pra mostrar as regras minimas pra fazer um redirecionamento por porta, no exemplo acima qualaquer pedido da internet, de qualquer IP que chega na porta 22 será redirecionado pra maquina interna, mesmo que o serviço sshd esteja rodando no micro que faz o redirecionamento ele não vai atender os pedidos e sim redireciona-los pra maquina da rede interna, no exemplo acima, a diretiva -i eth0 indica que será redirecionados somente os pedidos que chegam na eth0, neste micro também tem uma placa de rede eth1 pra rede interna, neste caso as maquinas da rede interna contiuam fazendo conexões neste servidor enquanto as maquinas da internet não fazem, elas são redirecionadas pra maquina com IP 192.168.1.53 que está atraz do firewall, isto é um exemplo, continue implementando as suas regras de firewall. EXEMPLO PRA QUEM TEM ADSL COM IP FIXO LIBERAR SSH E WEBMIM PRA SUPORTE REMOTO. Pra liberar acesso remoto somente pra conexões com origem no IP: 200.204.198.164 # libera acesso remoto pra suporte via ssh e webmin /usr/sbin/iptables -A INPUT -s 200.204.198.164 -d $ipexterno -p tcp --dport 22 -j ACCEPT /usr/sbin/iptables -A INPUT -s 200.204.198.164 -d $ipexterno -p tcp --dport 10000 -j ACCEPT Onde: 200.204.198.164 é o IP remoto que vai acessar minha rede $ipexterno é uma variavel com o IP valido da rede local, no inicio do firewall defina esta variavel ou coloque no lugar de $ipexterno o IP valido do teu ADSL. A regra fica assim: modprobe iptable_nat # libera acesso remoto pra suporte via ssh e webmin /usr/sbin/iptables -A INPUT -s 200.204.198.164 -d $ipexterno -p tcp --dport 22 -j ACCEPT /usr/sbin/iptables -A INPUT -s 200.204.198.164 -d $ipexterno -p tcp --dport 10000 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.1.0/24 --dport 80,443 -j REDIRECT --to-ports 3128 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward Lembre de ajustar pra tua rede, tanto o IP como o device ppp0 pra eth0 se for o caso, pra quem não tem squid remova a linha da porta 3128. Exemplo pra redirecionar todas requisições de correio eletronico pra um servidor de e-mail que esta rodando em uma maquina da rede interna. O exemplo a seguir ainda não foi testado, quando acertar retiro este aviso. # Faz repasse de pacotes porta 25 e 110 servidor de e-mail em maquina da rede interna (atraz de um firewall) /usr/sbin/iptables -A PREROUTING -t nat -p tcp -d 200.204.198.164 --dport 25 -j DNAT --to-destination 192.168.1.238 /usr/sbin/iptables -A PREROUTING -t nat -p udp -d 200.204.198.164 --dport 25 -j DNAT --to-destination 192.168.1.238 /usr/sbin/iptables -A PREROUTING -t nat -p tcp -d 200.204.198.164 --dport 110 -j DNAT --to-destination 192.168.1.238 /usr/sbin/iptables -A PREROUTING -t nat -p udp -d 200.204.198.164 --dport 110 -j DNAT --to-destination 192.168.1.238 /usr/sbin/iptables -A FORWARD -p tcp -j ACCEPT -d 192.168.1.238 --dport 25 /usr/sbin/iptables -A FORWARD -p udp -j ACCEPT -d 192.168.1.238 --dport 25 /usr/sbin/iptables -A FORWARD -p tcp -j ACCEPT -d 192.168.1.238 --dport 110 /usr/sbin/iptables -A FORWARD -p udp -j ACCEPT -d 192.168.1.238 --dport 110 O exemplo a seguir ainda não está funcionando, quando acertar retiro este aviso. modprobe iptable_nat /usr/sbin/iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 25 -i eth0 -j DNAT --to 192.168.1.238:25 /usr/sbin/iptables -t nat -A PREROUTING -p udp -s 0/0 --dport 22 -i eth0 -j DNAT --to 192.168.1.53:22 iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.1.0/24 --dport 80,443 -j REDIRECT --to-ports 3128 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward ******************************************************************** Redirecionar VNC pra uma estação da rede interna. Nesa configuração, estação win98 rodando VNC server, IP desta estação: 192.168.1.25 que atras de um micro compartilhando a conexão pra rede interna. No micro que compartilha a internet tem estas regras: modprobe iptable_nat /usr/sbin/iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 22 -i eth0 -j DNAT --to 192.168.1.53:22 iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.1.0/24 --dport 80,443 -j REDIRECT --to-ports 3128 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward pra redirecionar o VNC pra estação com IP 192.168.1.114 modifiquei para: modprobe iptable_nat iptables -A FORWARD -i eth1 -p tcp --dport 5800:5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -p udp --dport 5800:5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5800:5900 -j DNAT --to 192.168.1.114:5800-5900 iptables -t nat -A PREROUTING -p udp -i eth1 --dport 5800:5900 -j DNAT --to 192.168.1.114:5800-5900 iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.1.0/24 --dport 80,443 -j REDIRECT --to-ports 3128 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward Com esta regra no firewall, de qualquer lugar, basta colocar na URL do browser o IP do ADSL mais dois pontos e a porta 5800 pra fazer a conexão com a estação, por exemplo: 200.204.198.164:5800 este pedido pro (VNC) passa direto pra estação que está rodando o vncserver com IP 192.168.1.25, será solicitada a senha do vncserver e completada a conexão. No micro que compartilha a conexão não roda nada de VNC nem tem outras regras de iptables. ******************************************************************** De:  Manoel Pinho Para:  Buchecha Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)IPtables Data:  Tue, 30 Mar 2004 21:18:07 -0300 Buchecha escreveu: estou com problema no iptables estou começando mexer > com o linux não sou muito "expert" procurei na internet > e não consigo achar um script para o iptables. > > Quantos vc quer ? http://www.iptablesbr.cjb.net/ http://iptables-tutorial.frozentux.net/iptables-tutorial.html Geradores de regras iptables online: http://iptables.linuxit.com.br/ http://www.nabucodonosor.com/projetos/iptsimples/index.php ******************************************************************** De: rsjk Para: Lista Linux Assunto: (linux-br) IPTABLES Data: 11 Feb 2003 22:27:53 -0300 Estou configurando meu firewall, gostaria de saber se as regras que adquiri na internet e juntei todas, estao corretas e me darao segurança, outra coisa preciso bloquear todo acesso de fora da empresa para dentro, exceto alguns ip´s fixos que irao acessar o servidor alguem tem uma ideia??? abaixo seguem as regras que organizei: # Ignora tudo que não for *explicitamente* permitido iptables -P INPUT DROP iptables -A INPUT -i $IRE -m state --state INVALID -j DROP # Permite a entrada as nossas ligacoes iptables -A INPUT -s 127.0.0.1 -j ACCEPT iptables -A INPUT -i $IRE -m state --state RELATED -j ACCEPT iptables -A INPUT -i $IRE -m state --state ESTABLISHED -j ACCEPT # Permite o acesso do servidor ao cliente DHCP #iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport bootpc -j ACCEPT # Permite o acesso externo ao servidor de FTP (transferencia de dados) #iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport ftp -j ACCEPT # Permite o acesso ao servidor de FTP quando em modo "active" #iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport ftp-data -j ACCEPT # Permite o acesso externo ao servidor de SSH (login remoto) #iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport ssh -j ACCEPT # Permite o acesso externo aos servidores de HTTP e HTTPS (servidores web) #iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport http -j ACCEPT #iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport https -j ACCEPT # Permite o acesso externo aos servidores de correio eletronico #iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport smtp -j ACCEPT #iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport smtps -j ACCEPT #iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport pop3 -j ACCEPT #iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport pop3s -j ACCEPT #iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport imap -j ACCEPT #iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport imaps -j ACCEPT # Permite o acesso externo ao servidor de news #iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport nntp -j ACCEPT # Permite o acesso externo aos servidores de IRC #iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport irc -j ACCEPT #iptables -A INPUT -i $IRE -m state --state NEW -p tcp --dport ircs -j ACCEPT # Permite efetuar ping a partir de maquina externa #iptables -A INPUT -i $IRE -m state --state NEW -p icmp -j ACCEPT # Protecao contra syn-floods iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT # Protecao contra port scanners ocultos iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT # Protecao contra ping da morte iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # Protecao contra IP spoofing iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j DROP iptables -A INPUT -s 127.0.0.0/8 -i eth0 -j DROP iptables -A INPUT -s 172.16.0.0/16 -i eth0 -j DROP iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP # Bloquear Multicast iptables -A INPUT -s 224.0.0.0/8 -d 0/0 -j DROP iptables -A INPUT -s 0/0 -d 224.0.0.0/8 -j DROP # Bloquear Back Orifice iptables -A INPUT -p tcp -i eth0 --dport 31337 -j LDROP iptables -A INPUT -p udp -i eth0 --dport 31337 -j LDROP # Bloquar NetBus iptables -A INPUT -p tcp -i eth0 --dport 12345:123456 -j LDROP iptables -A INPUT -p udp -i eth0 --dport 12345:123456 -j LDROP # Bloquear Trin00 iptables -A INPUT -p tcp -i eth0 --dport 1524 -j LDROP iptables -A INPUT -p tcp -i eth0 --dport 27665 -j LDROP iptables -A INPUT -p udp -i eth0 --dport 27444 -j LDROP iptables -A INPUT -p udp -i eth0 --dport 31335 -j LDROP # Rejeitando nao aceitos - ident requeridos iptables -A INPUT -p tcp -i eth0 --dport 113 -j TREJECT iptables -A INPUT -p udp -i eth0 --dport 113 -j TREJECT # Bloqueando acesso para o X Server iptables -A INPUT -p tcp -i eth0 --dport 5999:6003 -j LDROP iptables -A INPUT -p udp -i eth0 --dport 5999:6003 -j LDROP iptables -A INPUT -p tcp -i eth0 --dport 7100 -j LDROP # Setando telnet,www,smtp,pop3 e ftp para pouco delay iptables -t mangle -A OUTPUT -p tcp --dport 22 -j TOS --set-tos Minimize-Delay iptables -t mangle -A OUTPUT -p tcp --dport 23 -j TOS --set-tos Minimize-Delay iptables -t mangle -A OUTPUT -p tcp --dport 110 -j TOS --set-tos Minimize-Delay # Portas abertas para estabelecer conexoes iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -m state --state RELATED -j ACCEPT iptables -A INPUT -p tcp -i eth0 --dport 1023:65535 -j ACCEPT iptables -A INPUT -p udp -i eth0 --dport 1023:65535 -j ACCEPT iptables -A INPUT -p icmp icmp -i eth0 -j LDROP iptables -A INPUT -p icmp --icmp-type echo-reply -s 0/0 -i eth0 -j ACCEPT iptables -A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 -i eth0 -j ACCEPT iptables -A INPUT -p icmp --icmp-type time-exceeded -s 0/0 -i eth0 -j ACCEPT iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT # Bloqueando tracertroute iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j DROP # Proteção contra pacotes danificados ou suspeitos. iptables -A FORWARD -m unclean -j DROP # Cria a 'chain' block para bloquear acessos de estranhos iptables -N block iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT iptables -A block -j DROP # Direciona (jump) as 'chains' INPUT e FORWARD para sua chain block. iptables -A INPUT -j block iptables -A FORWARD -j block Assinantes em 11/02/2003: 2242 ******************************************************************** De: Rodrigo Santin Para: Lista Linux Assunto: (linux-br) firewall Data: 11 Feb 2003 20:25:34 -0300 Estou configurando um firewall, encontrei algumas regras na internet e estou montando meu script, mas preciso que algumas maquinas externas com ip´s fixos acessem meu servidor para rodar aplicativos. Alguem sabe como faço??? e.. se eu colocar estas regras abaixo estarei com meu servidor protegido??? Agradeço: #Proteção contra Syn-floods iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT #Port scanners ocultos iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT #Ping da morte iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT #Proteção Contra IP Spoofing iptables -A INPUT -s 10.0.0.0/8 -i Interface da NET -j DROP iptables -A INPUT -s 172.16.0.0/16 -i Interface da NET -j DROP iptables -A INPUT -s 192.168.0.0/24 -i Interface da NET -j DROP #Porta FTP iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "Serviço: FTP" #Porta Wincrash iptables -A INPUT -p tcp --dport 5042 -j LOG --log-prefix "Serviço: Wincrash" #Portas BackOrifice iptables -A INPUT -p tcp --dport 12345 -j LOG --log-prefix "Serviço: BackOrifice" iptables -A INPUT -p tcp --dport 123456 -j LOG --log-prefix "Serviço: BackOrifice" #Redirecionamneto de Portas #Redirecionar Porta SMTP iptables -t nat -A PREROUTING -s 200.201.0.1 -i eth1 -j DNAT --to 192.168.1.2 iptables -t nat -A POSTROUTING -s 200.201.0.1 -o eth1 -p tcp --dport 25 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth1 -j SNAT --to 200.201.0.1 iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth1 --p tcp --dport 25 -j ACCEPT iptables -A FORWARD -m unclean -j DROP iptables -N block iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT iptables -A block -j DROP iptables -A INPUT -j block iptables -A FORWARD -j block -- ------------------------------------ ******************************************************************** De: Raymundo Martins Para: 'Uso Linux' Cc: linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) nat com iptables Data: 08 Mar 2003 17:04:20 -0300 Bem, fico todo me tremendo quando vejo este negócio de liberar portas para todo mundo indiscriminadamente através de softwares proprietários, mas la vai.... Tente, O comando abaixo, irá redirecionar todo o tráfego com destino ao IP externo na porta 11xx para o endereco interno/porta 192.168.0.x:11xx. iptables -t nat -A PREROUTING -t nat -p tcp -d --dport 11xx -j DNAT --to 192.168.0.x:11xx O comando abaixo, irá logar todo este redirecionamento iptables -t nat -A PREROUTING -t nat -p tcp -d --dport 11xx -j LOG Então como funcionaria, para os usuários externos o servico da porta 11xx estará sendo oferecido pela máquina com o , quando a requisicao chegar será redirecionada para a máquina interna. Acho que é isso que vc esta precisando. Espero ter ajudado. T+ Raymundo Martins Martins Consultoria & Sistemas Fortaleza - Ceará 85 8818.0048 -----Mensagem original----- De: linux-br@bazar.conectiva.com.br [mailto:linux-br@bazar.conectiva.com.br] Em nome de Uso Linux Enviada em: sexta-feira, 7 de março de 2003 16:13 Para: linux-br Assunto: (linux-br) nat com iptables Prioridade: Alta Olá Lista, boa tarde! Alguém poderia me dar uma ajuda? Estou com o seguinte problema: Tenho um software proprietario rodando em um equipamento interno Windows (192.168.0.x) que fornece visualizaçao de imagem por uma camera de video. A porta utilizada por esse software é 11xx. Tem um linux como servidor de internet com ip fixo. Estou precisando de uma regra de iptables para liberar a porta 11xx do ip 192.168.0.x no servidor linux, isso é, todas as conexoes (0.0.0.0) que vierem para a porta 11xx vao para o ip 192.168.0.x porta 11xx. Obrigado a todos. Cristhiano Leite ******************************************************************** De: Rodrigo Ferreira Santos Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) Fwd: Re: (linux-br) Iptables Data: 13 Mar 2003 08:57:49 +0300 ---------- Mensagem repassada ---------- Subject: Re: (linux-br) Iptables Date: Thu, 13 Mar 2003 08:30:43 +0300 From: Rodrigo Ferreira Santos To: linux-br@bazar.conectiva.com.br Na verdade eu preciso fechar portas abertas tipo oque esta abaixo: Port State Service Owner 21/tcp open ftp 80/tcp open http 111/tcp open sunrpc 139/tcp open netbios-ssn 443/tcp open https 631/tcp open cups 3306/tcp open mysql 6000/tcp open X11 10000/tcp open snet-sensor-mgmt Este é meu micro, parece uma janela panoramica , não acha ? bom como a minha todo a nossa rede esta assim, é claro que nem todos usam mysql, apache mas as outras maquinas ficam com o X11 aberto cups e outros, bom eu dei uma olha nos modelos e estou usando o seguinte: # Generated by iptables-save v1.2.4 on Wed Mar 12 15:46:35 2003 *filter :INPUT DROP [378:55176] :FORWARD DROP [0:0] :OUTPUT ACCEPT [78:11790] :block - [0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 21 -j DROP -A INPUT -i eth0 -p udp -m udp --dport 21 -j DROP -A INPUT -i eth0 -p tcp -m tcp --dport 80 -j DROP -A INPUT -i eth0 -p udp -m udp --dport 80 -j DROP -A INPUT -i eth0 -p tcp -m tcp --dport 111 -j DROP -A INPUT -i eth0 -p udp -m udp --dport 111 -j DROP -A INPUT -i eth0 -p tcp -m tcp --dport 139 -j DROP -A INPUT -i eth0 -p udp -m udp --dport 139 -j DROP -A INPUT -i eth0 -p tcp -m tcp --dport 443 -j DROP -A INPUT -i eth0 -p udp -m udp --dport 443 -j DROP -A INPUT -i eth0 -p tcp -m tcp --dport 631 -j DROP -A INPUT -i eth0 -p udp -m udp --dport 631 -j DROP -A INPUT -i eth0 -p tcp -m tcp --dport 3306 -j DROP -A INPUT -i eth0 -p udp -m udp --dport 3306 -j DROP -A INPUT -i eth0 -p tcp -m tcp --dport 6000 -j DROP -A INPUT -i eth0 -p udp -m udp --dport 6000 -j DROP -A INPUT -i eth0 -p tcp -m tcp --dport 10000 -j DROP -A INPUT -i eth0 -p udp -m udp --dport 10000 -j DROP -A INPUT -j block -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT -A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT -A FORWARD -m unclean -j DROP -A FORWARD -j block -A block -m state --state RELATED,ESTABLISHED -j ACCEPT -A block -i ! eth0 -m state --state NEW -j ACCEPT -A block -j DROP COMMIT # Completed on Wed Mar 12 15:46:35 2003 Será que esta bom você tem alguma sugestão, lembo que este esquema e para proteger em uma intranet com 1700 maquinas com varias subredes, mas a rede que faço parte tem aproximadamente 500 maquinas , sendo que umas 80 estão em laboratorios para uso de alunos isto é o que me preocupa.. Cordialmente Rodrigo Em Quinta 13 Março 2003 02:03, resposta de e-mail: > Oi Rodrigo, > > Primeiramente, deve-se saber o que você deseja proteger. Por acaso você > quer algo mastigado? Algo para executar e já estar protegido? Se sim, > existem diversos site que fazem script em bash para gerar um script do > iptables. > > Ricardo Guedes > ******************************************************************** De: Leandro Mendes Para: Anderson Mattos , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) ACESSO EXTERNO A REDE INTERNA Data: 18 Mar 2003 17:12:56 -0300 > Olá amigos, Olá! > Aki na empresa possuo um firewall (iptables) instalado e estou precisando > liberar o acesso de um cliente externo a minha rede interna numa máquina > onde estará rodando um servidor web na porta 8080. Segui várias dicas de > redirecionamento, NAT , mas não consigui, se alguém já tiver feito isso se > puder me ajudar, desde já agradeço. iptables -t nat -A PREROUTING -p tcp -d ip_do_firewall --dport 8080 -j DNAT --to ip_host:8080 Teste de fora da sua rede. Flow. ******************************************************************** De: PunkSC Para: Wellington Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) IPTABLES REDIRECIONAMENTO DE PACOTES Data: 20 Mar 2003 17:22:37 -0300 Tenho um servidor aqui que funciona exatamente da mesma maneira que voce e faço isso sem problemas usando a seguinte sintaxe: iptables -A FORWARD -p tcp --dport 55999 -j ACCEPT (Garante que o pacote encaminhado seja aceito pelas regras do firewall) iptables -t nat -A PREROUTING -p tcp --dport 55999 -i ppp0 -j DNAT --to 192.168.1.124 (Encaminha tudo que chega a porta 55999 para o ip da rede interna 192.168.1.124 Qualquer duvida, estou a diposicao ******************************************************************** De: Renato Q. Todorov - Webmaster Jet Sites Para: Wellington Cc: Lista Linux BR Assunto: Re: (linux-br) IPTABLES REDIRECIONAMENTO DE PACOTES Data: 20 Mar 2003 16:47:12 +0000 O certo é você usar a regra assim: iptables -t nat -A PREROUTING -i eth0 -p tcp --sport 55999 -j DNAT --to-destination 192.168.1.124 O redirect é pra redirecionar uma porta para outra NA MESMA máquina entendeu? Quando você quer jogar pra outra, deve-se usar o DNET (ou destiny nat) Mais detalhes no man do iptables. Falow Renato Quinhoneiro Todorov renato@jetsites.com.br "When you know Slackware, you know Linux... when you know Red Hat, all you know is Red hat" On Thu, 2003-03-20 at 13:50, Wellington wrote: > Aqui na minha rede tem uma máquina que acessa Internet direto pelo servidor > Gateway. O problema é que essa máquina irá se conectar remotamente com outra > máquina via Internet. Não consigo fazer as duas máquinas conversaremos, > porque na máquina remota, eu insiro o IP externo da minha rede (do speedy). > Até aí tudo bem, o pedido chega até o servidor, e não é repassado para a > máquina correta... > > Preciso criar uma regra no iptables para redirecionar estes pacotes para a > máquina correta... > > criei essa regra no iptables e não deu resultado... > iptables -t nat -A PREROUTING -i eth0 -p tcp --sport 55999 -j REDIRECT --to 192.168.1.124 > > interpretei a regra como: > Redirecionar todos os pacotes redebidos na eth0 no protoclo tcp/ip e na > porta 55999 para a máquina 192.168.1.124, na mesma porta. > > pessoal, por favor, aonde estou errando? ******************************************************************** De: Julio Biason Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Velox e NAT Data: 22 Mar 2003 18:33:52 -0300 On Sat, Mar 22, 2003 at 06:58:07AM -0300, daniel gomes wrote: > O meu problema é que não estou conseguindo fazer o > mascaramento da subrede usando o iptables. tente: /usr/sbin/iptables --table nat --append POSTROUTING --out-interface -j MASQUERADE /usr/sbin/iptables --append FORWARD --in-interface -j ACCEPT -- ******************************************************************** De: Nery Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Acesso Remoto Data: 11 Apr 2003 11:58:08 -0300 Galera....talvez sirva para mais pessoas..... eu coloquei esse script dentro do /etc.rc.d/ como nome de rc.rules dentro do rc.local coloque iptables-restore > /etc.rc.d/rc.rules ou acrescente antes do -A ..... das linhas iptables -t nat falow ---------------------------------------------------------------------------- ----------- *filter :INPUT ACCEPT [247567:129173696] :FORWARD ACCEPT [230207:124413300] :OUTPUT ACCEPT [247072:12999776] -A INPUT -d ip_internet -p udp -m udp --sport 53 -j ACCEPT -A INPUT -d ip_internet -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A INPUT -s ip_que_tem_acesso -d ip_internet -p tcp -m tcp --dport 23 --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A INPUT -s ip_que_tem_acesso -d ip_internet -p tcp -m tcp --dport 21 --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A INPUT -d ip_internet -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A INPUT -d ip_internet -p tcp -m tcp --dport 113 --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A INPUT -d ip_internet -j LOG -A INPUT -d ip_internet -j DROP -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu COMMIT *nat :PREROUTING ACCEPT [1219:142071] :POSTROUTING ACCEPT [201:14736] :OUTPUT ACCEPT [210:15204] -A POSTROUTING -s 192.168.0.0/255.255.255.0 -j MASQUERADE -A PREROUTING -d ip_internet -m tcp -p tcp --dport 5900 -j DNAT --to 192.168.0.192 #essa linha é para quem usa vnc nas estacoes...basta substirui o 192.168.0.192 pelo ip da maquina que tem o vnc instalado. COMMIT ---------------------------------------------------------------------------- ------------------- ----- Original Message ----- From: "Red October" To: Sent: Thursday, April 10, 2003 3:45 PM Subject: (linux-br) Acesso Remoto > Como bloquear todo tipo de acesso remoto e liberar SSH somente para um IP??? > > Valeu > > > ******************************************************************** De: Christiano Liberato Para: Anderson Mattos , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) ICQ, DC++, MSN Messenger Data: 29 May 2003 14:43:55 -0300 Bloquear Napster com IPChains: ipchains -A input -b -s 64.124.41.0/24 -j DENY Bloquear Napster com IPTables: iptables -A FORWARD -d 64.124.41.0/24 -j REJECT Bloquear IMesh com IPChains: ipchains -A input -b -s 216.35.208.0/24 -j DENY Bloquear IMesh com IPTables: iptables -A FORWARD -d 216.35.208.0/24 -j REJECT Bloquear Bearshare com IPChains: ipchains -A input -b -p TCP --sport 6346 -j DENY Bloquear Bearshare com IPTables: iptables -A FORWARD -p TCP --dport 6346 -j REJECT Bloquear ToadNode com IPChains: ipchains -A input -b -p TCP --sport 6346 -j DENY Bloquear ToadNode com IPTables: iptables -A FORWARD -p TCP --dport 6346 -j REJECT Bloquear WinMX com IPChains: ipchains -A input -b -s 209.61.186.0/24 -j DENY ipchains -A input -b -s 64.49.201.0/24 -j DENY Bloquear WinMX com IPTables: iptables -A FORWARD -d 209.61.186.0/24 -j REJECT iptables -A FORWARD -d 64.49.201.0/24 -j REJECT Bloquear Napigator com IPChains: ipchains -A input -b -s 209.25.178.0/24 -j DENY Bloquear Napigator com IPTables: iptables -A FORWARD -d 209.25.178.0/24 -j REJECT Bloquear Morpheus com IPChains: ipchains -A input -b -s 206.142.53.0/24 -j DENY Bloquear Morpheus com IPTables: iptables -A FORWARD -d 206.142.53.0/24 -j REJECT iptables -A FORWARD -p TCP --dport 1214 -j REJECT Bloquear KaZaA com IPChains: ipchains -A input -b -s 213.248.112.0/24 -j DENY Bloquear KaZaA com IPTables: iptables -A FORWARD -d 213.248.112.0/24 -j REJECT iptables -A FORWARD -p TCP --dport 1214 -j REJECT Bloquear Limewire com IPChains: ipchains -A input -b -p TCP --sport 6346 -j DENY Bloquear Limewire com IPTables: iptables -A FORWARD -p TCP --dport 6346 -j REJECT Bloquear Audiogalaxy com IPChains: ipchains -A input -b -d 64.245.58.0/23 -j DENY Bloquear Audiogalaxy com IPTables: iptables -A FORWARD -d 64.245.58.0/23 -j REJECT Messaging Bloquear AIM com IPChains: ipchains -A input -b --sport 5190 -j DENY ipchains -A input -b -s login.oscar.aol.com -j DENY Bloquear AIM com IPTables: iptables -A FORWARD --dport 5190 -j REJECT iptables -A FORWARD -d login.oscar.aol.com -j REJECT Bloquear ICQ com IPChains: ipchains -A input -b-p TCP --dport 5190 -j DENY ipchains -A input -b -s login.icq.com -j DENY Bloquear ICQ com IPTables: iptables -A FORWARD -p TCP --dport 5190 -j REJECT iptables -A FORWARD -d login.icq.com -j REJECT Bloquear MSN Messenger com IPChains: ipchains -A input -p TCP -b --sport 1863 -j DENY ipchains -A input -b -d 64.4.13.0/24 -j DENY Bloquear MSN Messenger com IPTables: iptables -A FORWARD -p TCP --dport 1863 -j REJECT iptables -A FORWARD -d 64.4.13.0/24 -j REJECT Bloquear Yahoo Messenger com IPChains: ipchains -A input -b -d cs.yahoo.com -j DENY ipchains -A input -b -d scsa.yahoo.com -j DENY Bloquear Yahoo Messenger com IPTables: iptables -A FORWARD -d cs.yahoo.com -j REJECT iptables -A FORWARD -b scsa.yahoo.com -j REJECT ----- Original Message ----- From: "Anderson Mattos" To: Sent: Thursday, May 29, 2003 9:55 AM Subject: (linux-br) ICQ, DC++, MSN Messenger > Olá amigos, > > Aki no meu firewall já conseguir bloquear o kazaa,mas o ICQ, DC++ e o MSN > está difícil. Se alguém puder me ajudar, desde já agradeço. ******************************************************************** De:  Willian Ricardo Para:  linux-br@bazar.conectiva.com.br Assunto:  (linux-br)iptables - ajuda Data:  Mon, 4 Aug 2003 14:12:53 -0300  Boa tarde galera,  Tenho um firewall com 3 placas de redes :  eth0 - rede interna  eth1 - link embratel  eth2 - servidor de e-mail e página (DMZ)  Havia feito as regras :  $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT  $IPTABLES -P FORWARD ACCEPT  e redirecionei a porta 25 e 110 para o servidor que esta na DMZ, tudo  funcionou a mil maravilhas, ai resolvi colocar as seguintes regras :  $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -A FORWARD -i eth1 -o eth0 -j ACCEPT $IPTABLES -A FORWARD -i eth0 -o eth1 -j ACCEPT $IPTABLES -A FORWARD -i eth2 -o eth0 -j ACCEPT $IPTABLES -A FORWARD -i eth0 -o eth2 -j ACCEPT $IPTABLES -A FORWARD -i eth2 -o eth1 -j ACCEPT $IPTABLES -A FORWARD -i eth1 -o eth2 -j ACCEPT $IPTABLES -A OUTPUT -d 0/0 -j ACCEPT $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -p icmp -m limit --limit 2/s -j ACCEPT Dai percebi que para receber e-mail de uma estação localmente ficou mais lento, na hora que clico em enviar e receber ele aparece : Conectado e demora um pouquinho e dai sim ele vai bem rapido depois, o que pode ser isso ? devo mesmo utilizar OUTPUT E FORWARD EM DROP ?  Obrigado Willian ******************************************************************** De:  sedrez@tecgraf.puc-rio.br Para:  Denisson Terravista Cc:  linux-br@bazar.conectiva.com.br Assunto:  RE: (linux-br)Direcionar porta 80 via IPTables Data:  Fri, 26 Sep 2003 20:52:58 -0300 (BRT) On 25-Sep-2003 Denisson Terravista wrote: > Apache, já tentei fazer de tudo para fazer o direcinamento da porta 80 do > Linux para o Win2000 e nada. > ... > > eth1 é a placa onde esta ligado o Cable Modem e tem o IP externo > eth0 é a placa que compartilho com a rede para os outros micros acessarem > a internet Rio de Janeiro, 26-Sep-2003 Speedy não é ADSL? Então você não deve usar eth1 como interface externa, mas ppp0: iptables -t nat -i ppp0 -d --dport 80 -j DNAT --to :80 Lembre-se, em ADSL você usa PPPoE (PPP over Ethernet), portanto a eth* só é usada como meio de transporte. ----- Paulo F. Sedrez ******************************************************************** De:  zgrp unknow Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Bloquear Portas Data:  Thu, 9 Oct 2003 11:54:27 -0300 (ART) Olá, Na pratica isso depende muito de qual firewall vc esta usando (iptables, ipchains, real ONE, Checkpoint 1, etc). Mas a ideia basica do que vc quer é POLITICA PADRÃO PRA INPUT DENY e LIBERAR APENAS AS PORTAS NECESSARIAS. Um exemplo bem simples disso em iptables eh assim: # Limpando.... iptables -t nat -F PREROUTING iptables -t nat -F POSTROUTING iptables -F INPUT iptables -F FORWARD # Politica de ENTRADA como NEGAR... iptables -P INPUT DROP # Aceite conexoes estabelecidas iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT # Liberar por exemplo SSH pra rede 10.1.1.0/24 e pro #ip 200.15.26.48 para qlq lugar... iptables -A INPUT -p TCP -s 10.1.1.0/24 -d 0/0 --dport 22 -m state --state NEW -j ACCEPT iptables -A INPUT -p TCP -s 200.15.26.48 -d 0/0 --dport 22 -m state --state NEW -j ACCEPT Qlq outra tentativa será negada, ai vc pode ir criando as "excessoes" como eu fiz para o ssh... vc pode mudar as portas, protocolos e assim vai... falow ******************************************************************** De:  Frederico Vaz Para:  'Marcelo Marra Assis' , 'linux-br' Assunto:  RES: (linux-br)Iptables com SQUID Data:  Tue, 28 Oct 2003 00:57:04 -0300 > Marcelo Marra Assis escreveu em: > segunda-feira, 27 de outubro de 2003 13:15 > REGRAS DO IPTABLES > # Ativa o Mascaramento dos Pacotes das Redes > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE > iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE > > # Libera as Maquinas do CPD > iptables -A FORWARD -s 192.168.0.3 -d 0/0 -j ACCEPT > iptables -A FORWARD -s 192.168.0.5 -d 0/0 -j ACCEPT > > # Redireciona o Resto para o SQUID Tem este artifício tecnico, não tive oportunidade de testar. iptables -t nat -A PREROUTING -s 192.168.0.2/32 -p tcp --dport 80 -j REDIRECT --to-port 80 iptables -t nat -A PREROUTING -s 192.168.0.3/32 -p tcp --dport 80 -j REDIRECT --to-port 80 > iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 > iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br ******************************************************************** De:  Void Frame Para:  Fábio Ribeiro Cc:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)nat somente p/ 3 maq. Data:  Thu, 30 Oct 2003 14:38:06 -0300 (ART) Flávio, se suas máquinas forem 10.0.0.5/24, 10.0.0.6/24, 10.0.0.7/24 e no gateway a placa de acesso internet for eth0, faça: iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.5/24 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.6/24 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.7/24 -j MASQUERADE Isto deve sanar seu problema! VoidFrame ________________________________ keep your void frame Segundo a lenda, na sala dos passos perdidos, Fábio Ribeiro escreveu: > Pessoal, > tem como eu fazer nat somente para duas maquinas da > rede e não para rede inteira? ******************************************************************** De:  Frederico Vaz Para:  'Void Frame' , 'Fábio Ribeiro' Cc:  linux-br@bazar.conectiva.com.br Assunto:  RES: (linux-br)nat somente p/ 3 maq. Data:  Sat, 1 Nov 2003 14:34:35 -0300 > Void Frame escreveu em: > quinta-feira, 30 de outubro de 2003 14:38 > se suas máquinas forem 10.0.0.5/24, 10.0.0.6/24, > 10.0.0.7/24 e no gateway a placa de acesso internet > for eth0, faça: > > iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.5/24 -j MASQUERADE > > iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.6/24 -j MASQUERADE > > iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.7/24 -j MASQUERADE Pequena correção: iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.5/32 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.6/32 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.7/32 -j MASQUERADE Se vc está querendo NAT para o host a mascara é /32. Com a mascara /24 toda a rede 10.0.0. terá condição de NAT no servidor.   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br ******************************************************************** De:  Marcio Silveira Costa Responder-a:  marciocosta@onda.com.br Para:  Fabio A. Jacometto Cc:  Lista Segurança - Conectiva Assunto:  Re: [seguranca] Duivdas com com ftp e iptables Data:  07 Nov 2003 19:11:45 -0200 Prezado Fabio, Eu faria algo assim (dependendo das características da rede, servidor, etc): # Apaga todas as regras existentes iptables -F iptables -t nat -F # Seta policiamento "negar" por padrão iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP # Habilita conexão somente a portas liberadas iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Carrega módulos modprobe iptable_nat modprobe ip_conntrack_ftp modprobe ip_nat_ftp # Aceita FTP iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A FORWARD -p tcp --dport 20 -j ACCEPT iptables -A FORWARD -p tcp --dport 21 -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT Sds. Marcio / Paranaguá-PR Em Sex, 2003-11-07 às 11:23, Fabio A. Jacometto escreveu: > Bom a todos, > > Estou apanhado para abrir o servidor ftp em uma maquina quando as portas > altas estao bloqueadas. > > Se as portas acima de 1024 estiverem liberadas oas linhas seguir liberam > normalmente: > iptables -A INPUT -s 0/0 -p tcp --dport 20 -j ACCEPT > iptables -A INPUT -s 0/0 -p tcp --dport 21 -j ACCEPT > > Porem quando fecho as altas, não consigo fazer funcionar, estou usando a > seguinte sintaxe: > iptables -A INPUT  -s 0/0 -p tcp --dport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A INPUT  -s 0/0 -p tcp --dport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT > > iptables -A OUTPUT -p tcp --dport 21 -m state --state ESTABLISHED -j ACCEPT > iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT > > Alguem poderia dar uma força? > > Muito obrigado > > Fabio > ******************************************************************** De:  Elivan Holanda Para:  bragalinux@yahoo.com.br Cc:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br)Re: script firewall Data:  12 Nov 2003 08:09:03 -0400 Ola!!      Bom, se seu DNS e o Correio estiver rotando legal o erro pode ser o firewall, a princípio uso a regra abaixo e funciona blz.      $ipt -A INPUT -p tcp -s 0/0 --source-port 25 -j ACCEPT      $ipt -A INPUT -p tcp -s 0/0 --source-port 110 -j ACCEPT      $ipt -A INPUT -p tcp -s 0/0 --source-port 53 -j ACCEPT      $ipt -A INPUT -p udp -s 0/0 --source-port 53 -j ACCEPT      Você pode também esta verificando o funcinamento do dns com o comando nslookup+IP. Isso claro se voce ainda não tiver feito OK.      Espero ter ajudado. ******************************************************************** De:  Kilson Arruda Responder-a:  Kilson Arruda Para:  Tecnodata Com. Rep. e Serviços , Lista Conectiva Assunto:  Re: (linux-br)Ajuda com IPTABLES... Data:  Fri, 19 Dec 2003 19:43:20 -0300 > Caros amigos da lista, estou com um problema a título de urgência estou > estudando o IPTABLES pelo guia foca linux, mas preciso direcionar tudo > que chegar para a porta 3389 (terminal server) e 1433 (sql) para uma > máquina rodando o 2000 server, na rede tenho um linux que se conecta a > internet através da brasiltelecom via pppoe e compartilha através para > todas as outras estaões o que já está funcionando. Se alguém puder me > ajudar agradeço. iptables -A PREROUTING -t nat -i ppp0 -m multiport --dport 3389,1433 -j DNAT --to ip_win2k Isso vai desviar todo o tráfego que entra pela interface ppp0 com destino às portas 3389,1433 para o host com o ip ip_win2k. -- Kilson Arruda linux User # 228238 ******************************************************************** De:  Miguel Figueiredo Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Ajuda com IPTABLES... Data:  19 Dec 2003 21:19:07 -0300 Em Qui, 2003-12-18 às 14:14, Tecnodata Com. Rep. e Serviços escreveu: > Caros amigos da lista, estou com um problema a título de urgência estou > estudando o IPTABLES pelo guia foca linux, mas preciso direcionar tudo > que chegar para a porta 3389 (terminal server) e 1433 (sql) para uma > máquina rodando o 2000 server, na rede tenho um linux que se conecta a > internet através da brasiltelecom via pppoe e compartilha através para > todas as outras estações o que já está funcionando. Se alguém puder me > ajudar agradeço. > > PS. uso CNC9 > > Alexandre Luis de Andrade > A titulo de apagar incêndio: # iptables -t nat -A PREROUTING -p tcp --dport 3389 -d -j DNAT --to # iptables -t nat -A PREROUTING -p tcp --dport 1433 -d -j DNAT --to # iptables -t nat -A POSTROUTING -p tcp --sport 3389 -s -j DNAT --to # iptables -t nat -A POSTROUTING -p tcp --sport 1433 -s -j DNAT --to Para maiores informações, acesse www.netfilter.org djá! [],s -- Miguel Figueiredo De:  Miguel Figueiredo Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Ajuda com IPTABLES... Data:  20 Dec 2003 12:20:14 -0300 Em Sex, 2003-12-19 às 21:19, Miguel Figueiredo escreveu: > # iptables -t nat -A PREROUTING -p tcp --dport 3389 -d -j DNAT --to > > # iptables -t nat -A PREROUTING -p tcp --dport 1433 -d -j DNAT --to Ops, foi o sono! :) Nas duas linhas de baixo, troca o DNAT por SNAT. > > # iptables -t nat -A POSTROUTING -p tcp --sport 3389 -s -j DNAT --to > > # iptables -t nat -A POSTROUTING -p tcp --sport 1433 -s -j DNAT --to > [],s -- Miguel Figueiredo ******************************************************************** E-MAIL De:  Marco Aurélio Para:  Lista-Linux-BR Lista Assunto:  (linux-br)Ataque de a servidor de e-mail (scanners) Data:  Wed, 14 Jan 2004 12:12:26 -1200 Olá pessoal, eu já não aguento mais ver centenas de tentativas de descobrir endereços de e-mails validos em meu servidor. Como vcs podem ver nos logs abaixo esse e o tipo de ataque q recebo, quando vejo isso já pego logo o endereço IP e bloqueio usando iptables. iptables -A INPUT -s 200.163.119.113 -p tcp --dpor 25 -j REJEC (conforme o IP do log abaixo) mas estou atras de alguma coisa mas automatizada, alguem de vcs conhece algum sistema que por exemplo se alguem tentar mandar um e-mail mais de 5 vezes seguidas e der "User unknown" ele rejeitar esse infeliz ? Valew pessoal.             Marco Aurélio Jan 13 11:59:48 terra postfix/smtpd[26348]: reject: RCPT from 200-163-119-113.pmjce202.dial.brasiltelecom.net.br[200.163.119.1 13]: 550 : User unknown; from= to= Jan 13 11:59:48 terra postfix/smtpd[26346]: reject: RCPT from 200-163-119-113.pmjce202.dial.brasiltelecom.net.br[200.163.119.1 13]: 550 : User unknown; from= to= Jan 13 11:59:48 terra postfix/smtpd[26349]: reject: RCPT from 200-163-119-113.pmjce202.dial.brasiltelecom.net.br[200.163.119.1 13]: 550 : User unknown; from= to= Jan 13 11:59:51 terra postfix/smtpd[26354]: reject: RCPT from 200-163-119-113.pmjce202.dial.brasiltelecom.net.br[200.163.119.1 13]: 550 : User unknown; from= to= Jan 13 12:00:08 terra postfix/smtpd[26347]: reject: RCPT from 200-163-119-113.pmjce202.dial.brasiltelecom.net.br[200.163.119.1 13]: 550 : User unknown; from= to= Jan 13 12:00:08 terra postfix/smtpd[26346]: reject: RCPT from 200-163-119-113.pmjce20    2.dial.brasiltelecom.net.br[200.163.119.1 13]: 550 : User unknown; from= to= Jan 13 12:00:08 terra postfix/smtpd[26349]: reject: RCPT from 200-163-119-113.pmjce202.dial.brasiltelecom.net.br[200.163.119.1 13]: 550 : User unknown; from= to= ******************************************************************** De:  Antonio Claudio Para:  robsoncb2@yahoo.com.br , Linux-BR Assunto:  Re: (linux-br) Dúvida em regra iptables ? Data:  Wed, 4 Feb 2004 10:54:21 -0400 Em Qua 04 Fev 2004 08:11, você escreveu: > Então é a eth1 ? Como você falou que o tráfego entra pela interface eth0, ela é a interface que deve ser colocada na sua regra. O que você vai fazer é evitar que pacotes entrem na sua rede com endereço IP falsificados usando endereços reservados. Uma regra boa pra isso pode ser: iptables -A INPUT -s 10.0.0.0/8 -i  eth0 -j DROP iptables -A INPUT -s 172.16.0.0/16 -i eth0 -j DROP iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j DROP Isso vai descartar pacotes vindos das redes especificadas e -s, que estejam entrando na interface eth0. []'s Antonio Claudio ******************************************************************** De:  William da Rocha Lima Responder-a:  William da Rocha Lima Para:  Daniel , Linux-BR Assunto:  Re: (linux-br)Kazaa Lite Data:  Sat, 7 Feb 2004 00:11:24 -0200 Caro Daniel, Você pode fazer é fechar FORWARD e depois habilite o que é necessário. iptables -A FORWARD -s rede -m multiport -p tcp --port 22,25,110,80,443 -j ACCEPT iptables -A FORWARD -s rede -p tcp --syn -j DROP falou, -- William da Rocha Lima wrochal@linuxit.com.br www.linuxit.com.br ******************************************************************** De:  Eduardo Mota Para:  rogerio araujo Cc:  Lista LINUX-BR Assunto:  Re: (linux-br)problema de comunicacao entre redes Data:  Thu, 26 Feb 2004 01:31:11 -0300 Olá Rogerio, Inicialmente, verifique essa máquina que seria o roteador. 192.168.11.135 192.168.0.1 Veja se a passagem entre as redes é feita através de roteamento ou NAT. Para ver a regras de NAT, digite: # iptables -t nat -NL Outra coisa para verificar isso, é reparar se existe alguma rota para a rede: 192.168.0.x nas máquinas da rede: 192.168.11.x, ou se o gateway delas é o 192.168.11.135. Se essa rota não existir, precisa ser criada: - versão Linux # route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.11.135 - versão Windows # route add 192.168.0.0 mask 255.255.255.0 192.168.11.135 Descartando as regras de Firewall, isso precisa funcionar ! rogerio araujo wrote: oi pessoal tenho o seguinte problema > > Temos aqui duas redes interligadas via Radio. A comunicacao da filial > com a matriz está ok, ou seja se eu pingo de alguma maquina da filial em > qualquer maquina da matriz tudo ok. > > Mas aqui na central nao conseguimos pingar na filial. > > Tenho a seguinte estrutura de rede > > 192.168.11.1 -|___ RADIO____ |- 192.168.11.135 >             -|_____________ |- 192.168.0.1 > > Todas as maquinas na filial tem ip 192.168.0.X . Mas nao consigo pingar > nada lá. Já das maquinas 192.168.0.X consigo pingas nas maquinas > 192.168.10.X(central). > > > Na matriz temos um script de firewall em um conectiva linux 9.0. > Acredito que ele está bloqueando a comunicacao. Só nao sei aonde. Caso > alguem possa me ajudar agradeceria. > > > > -- Atenciosamente, Eduardo Mota. ----------------------------------------- http://www.emota.com.br emota@emota.com.br Linux User: 272219 Telefone: (11) 9667-5317 - UIN: 2731255 ******************************************************************** De:  Tiago Cruz Para:  Valdenir Jandosa Cordeiro Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)samba - iptables Data:  Fri, 27 Feb 2004 08:41:20 -0300 Em Qui, 2004-02-26 às 12:18, Valdenir Jandosa Cordeiro escreveu: > O que eu preciso saber é se tem alguma posibilidade de a porta que o samba > usa estar bloqueada com o iptables. Tem sim... use o nmap e veja se a porta 139/tcp está aberta! > Se estiver qual comando eu tenho que usar para desbloquea-la. # iptables -A INPUT -p tcp --destination-port 139 -j ACCEPT lembrando que a regra DEVE vir ANTES do DROP final, pois "a ordem dos tratores ALTERA o viaduto" :-) -- Abraços, Tiago Cruz Org. King de Contab. S/C Ltda. Linux User # 282636 http://www.linuxrapido.linuxdicas.com.br Mandrake Linux i18n Team ******************************************************************** De:  Rafael Nery Para:  Lista linux Assunto:  (linux-br)script de iptables fazendo o outlook funcionar Data:  Fri, 27 Feb 2004 17:31:52 -0300 Olá! A todos que me ajudaram estou enviando um script que eu fiz com base nas ajudas e tb em tutoriais... Está funcioando blz. só queria saber oq falta nele para torna minha rede mais segura contra acessos externos. Obrigado, Rafael. Segue abaixo o script: #!/bin/sh # # # Rafael Nery # fev/2004 ############################################################################## ################################################################################# #Carga dos Módulos necessários # #/sbin/depmod -a #/sbin/modprobe ip_tables #/sbin/modporbe ip_conntrack #/sbin/modprobe iptable_filter #/sbin/modprobe iptable_mangle #/sbin/modprobe iptable_nat #/sbin/modprobe ipt_LOG #/sbin/modprobe ipt_limit #/sbin/modprobe ipt_state #/sbin/modprobe ipt_owner #/sbin/modprobe ipt_REJECT #/sbin/modprobe ipt_MASQUERADE #/sbin/modprobe ipt_conntrack_ftp #/sbin/modprobe ipt_conntrack_irc # ########################################################################################## # Flush /usr/sbin/iptables -F /usr/sbin/iptables -Z /usr/sbin/iptables -X /usr/sbin/iptables -t nat -F # Regras /usr/sbin/iptables -P INPUT DROP /usr/sbin/iptables -P FORWARD DROP /usr/sbin/iptables -P OUTPUT ACCEPT # # Habilitando roteamento... # echo "1" > /proc/sys/net/ipv4/ip_forward # echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # # Agora uma regra que toda a conexão estabilizada ou relacionada com meu # firewall deve ser mantinda e não analizada pelas proximas regras /usr/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # Libera as portas dos DNS para meu Firewall /usr/sbin/iptables -A INPUT -p udp -s 200.204.0.10 --sport 53 -j ACCEPT /usr/sbin/iptables -A INPUT -p udp -s 200.204.0.138 --sport 53 -j ACCEPT # Acesso ao Squid /usr/sbin/iptables -A INPUT -p TCP -i eth1 -s 192.168.1.0/24 --dport 3128 -j ACCEPT # Libera resposta de servidores www para meu squid /usr/sbin/iptables -A INPUT -p TCP -i eth1 --sport 80 -j ACCEPT /usr/sbin/iptables -A INPUT -p TCP -i eth1 --sport 443 -j ACCEPT /usr/sbin/iptables -A INPUT -p TCP -i eth1 --sport 20 -j ACCEPT /usr/sbin/iptables -A INPUT -p UDP -i eth1 --sport 21 -j ACCEPT # FORWARD #/usr/sbin/iptables -A FORWARD -m state --state INVALID -j DROP /usr/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT # OUTLOOK /usr/sbin/iptables -A FORWARD -p udp -s 192.168.1.0/24 -d 200.204.0.10 --dport 53 -j ACCEPT /usr/sbin/iptables -A FORWARD -p udp -s 192.168.1.0/24 -d 200.204.0.138 --dport 53 -j ACCEPT /usr/sbin/iptables -A FORWARD -p udp -s 200.204.0.10 --sport 53 -d 192.168.1.0/24 -j ACCEPT /usr/sbin/iptables -A FORWARD -p udp -s 200.204.0.138 --sport 53 -d 192.168.1.0/24 -j ACCEPT # Liberar portas para minha rede interna acessar servidores externos /usr/sbin/iptables -A FORWARD -p TCP -s 192.168.1.0/24 --dport 25 -j ACCEPT /usr/sbin/iptables -A FORWARD -p TCP -s 192.168.1.0/24 --dport 110 -j ACCEPT /usr/sbin/iptables -A FORWARD -p tcp --sport 25 -j ACCEPT /usr/sbin/iptables -A FORWARD -p tcp --sport 110 -j ACCEPT #Dropar #/usr/sbin/iptables -A FORWARD -j LOG --log-prefix "pacotes forward descartados" #/usr/sbin/iptables -A FORWARD -j DROP # masquerade /usr/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE -o ppp0 #/usr/sbin/iptables -A FORWARD -i ppp0 -j ACCEPT ## # ############################################################################################ ******************************************************************** REDIRECIONAR POR PORTAS. De:  William da Rocha Lima Para:  Rodrigo Oliveira , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Redirecionar Portas atraves do IPTABLES Data:  Tue, 2 Mar 2004 22:49:25 -0300 Caro Rodrigo, Use esta regra: ip_wan=ip da wan/internet ip_http=ip da lan iptables -A PREROUTING -t nat -p tcp -d $ip_wan --dport 80 -j DNAT --to $ip_http:80 Qualquer outra dúvida acesse : http://iptables.linuxit.com.br ******************************************************************** PERGUNTA SOBRE REDIRECIONAMENTO De:  etletti Para:  linux-br Assunto:  (linux-br)Redirecionamento de portas Data:  Tue, 23 Mar 2004 15:40:40 -0300 Boa tarde pessoal, estou com o seguinte problema que descreverei abaixo. Tenho uma máquina(1) com conectiva 9 rodando com duas placas de rede, uma eth0 com IP externo e outra eth1 com IP interno da rede local, existe uma outra máquina (2) com conectiva 9 como servidor de aplicação dentro da rede local. preciso liberar um serviço(porta, ex:1234) do servidor de aplicação para fora da rede interna, via IP externo da máquina(1). Preciso criar uma regra no iptables, para que quando chegar uma requisição no IP externo, máquina(1) na porta 1234, ele faça um redirecionamento para a porta 1234 do servidor de aplicação interno máquina(2). Gostaria de saber se isto é possível, e qual a sintaxe do comando a ser utilizado? RESPOSTAS De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Redirecionamento de portas Data:  Tue, 23 Mar 2004 22:55:09 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Rodrigo Klein Santos wrote: >> Gostaria de saber se isto é possível, e qual a sintaxe >> do comando a ser utilizado? > >iptables -A PREROUTING -p tcp --dport 5633 -i eth0 -j DNAT --to 10.1.3.1:5631 >iptables -A PREROUTING -p udp --dport 5634 -i eth0 -j DNAT --to 10.1.3.1:5632 Lembrando que o pacote deve ter um ACCEPT que o libere através da cadeia FORWARD. Se a sua política padrão não é ACCEPT, certifique-se de ter incluído pelo menos uma regra que permita esses pacotes. Por exemplo: iptables -A FORWARD -p tcp -d 10.1.3.1 --dport 5631 -i eth0 -j ACCEPT - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info ******************************************************************** REDIRECIONAMENTO De:  Claudio R. Prateat Responder-a:  Claudio R. Prateat Para:  Linux-br Assunto:  Re: (linux-br)rdesktop x firewall linux Data:  Mon, 29 Mar 2004 13:31:24 -0300 Faltou liberar o FORWARD para a porta... $IPTABLES -A FORWARD -m state --state NEW -p tcp --dport 3389 -j ACCEPT ----- Original Message ----- From: "Otavio Augusto" To: Sent: Monday, March 29, 2004 10:31 AM Subject: (linux-br)rdesktop x firewall linux > Galera estou tentado acessar um servidor windows 2000 server que esta atras de > um firewall linux usando NAT atraves do servico de terminal do windows ja > tentei com o rdesktop do linux e com clientes do windows e fica dando time > out fiz o redirecionamento de porta com as regras abaixo. : > Alguem pode me ajudar ? > > -A PREROUTING -d 200.202.230.134 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.1.8.15 > -A PREROUTING -d 200.202.230.134 -p udp -m udp --dport 3389 -j DNAT --to-destination 10.1.8.15 > -A POSTROUTING -s 10.1.8.0/255.255.255.0 -j MASQUERADE > -A POSTROUTING -s 10.1.8.15 -p tcp -m tcp --sport 3389 -j SNAT --to-source 200.202.230.134 > -A POSTROUTING -s 10.1.8.15 -p udp -m udp --sport 3389 -j SNAT --to-source 200.202.230.134 > ******************************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Cc:  Alexandro Corrêa Assunto:  Re: (linux-br)Permitindo FTP no IPTABLES Data:  Fri, 23 Apr 2004 22:44:02 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Alexandro Corrêa wrote: >Olá pessoal! > >   Utilizo um sevidor proxy que fornece acesso a >internet para as estações da rede. Estão setadas as >seguintes regas de firewall: >   * Politica padrão do FOWARD = DROP [corta] >Minha dúvida é quanto ao FTP, quais portas eu deveria >liberar para que as estações pudessem acessar >servidores FTP? Apenas a 21 ou a porta 20 também? UDP >ou TCP? Você deve liberar a porta 21 do TCP e as portas 20 e 1024 a 65535 do TCP. FTP não usa UDP, mas ele usa uma porta alta aleatória. A seguinte regra faz o efeito desejado, em conjunto com a sua outra regra existente de estados (-mstate --state ESTABLISHED,RELATED etc.) iptables -A FORWARD -i $IFACE_INTERNA j ACCEPT Essa regra vai permitir que qualquer estação da rede interna abra uma conexão, em qualquer porta externa, sem com isso abrir a mesma porta para uma conexão vindo de fora. >Para mim quanto menos portas abertas melhor (para >todos  eu imagino!) Alguma dica referente ao FOWARD?? Suas regras existentes estão abrindo portas demais. A minha regra acima em conjunto com a regra de estados deve ser o suficiente. Elimine as outras. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: ******************************************************************** De:  Cleyton Luiz Scherer Para:  Thiago Macieira Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)barrando httptunnel Data:  Sat, 24 Apr 2004 13:22:32 -0300 (BRT) Como eu resolvi: 1) No iptables: ############################## # Bloqueando socks tunneling # ############################## iptables -t filter -A FORWARD -s http-tunnel.com -j DROP iptables -t filter -A FORWARD -d http-tunnel.com -j DROP iptables -t filter -A FORWARD -s 64.83.28.77     -j DROP iptables -t filter -A FORWARD -d 64.83.28.77     -j DROP iptables -t filter -A FORWARD -d 200.221.7.2     -j DROP iptables -t filter -A FORWARD -d 63.219.179.196  -j DROP 2) No Squid: Colocando a palavra "tunnel" na blacklist. Ninguém acessa www a menos que seja pelo squid. Cleyton On Fri, 23 Apr 2004, Thiago Macieira wrote: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Accenture_Luiz_Estivalet@Dell.com wrote: > >Ola, > >Como faco para barrar httptunnel e outros programas do genero com o > > iptables ou squid? ******************************************************************** De:  rafael.nery Para:  Linux Assunto:  (linux-br)iptables nat Data:  Thu, 29 Apr 2004 08:04:30 -0300 Ola! é o seguinte: tenho um server firewall com 3 placas de rede: eth0= internt -->> 200.116.31.118 eth1=rede interna 1 -->> 192.168.0.1 eth2=rede interna 2 -->> 192.168.1.1 Como eu faço uma rede de nat para que tenham acesso semente as portas que eu quero, no caso 21, 22, 25, 110.. enfim quero fazer nat só para as portas que a rede precisa usar.. assim que bloqueio outros acessos... Se alguém puder me ajudar, fico grato, não manjo de iptables!! Rafael. De:  Alexandro Corrÿffffeaa Para:  Linux-BR (Lista) Assunto:  RE: (linux-br) iptables nat Data:  Thu, 29 Apr 2004 13:14:16 -0300 (ART) Olá Rafael!   Você pode fazer isso da seguinte forma com o IPtables... --------------------------------------------------------------- # define a política padrão de FOWARD como NEGAR. iptables -P FORWARD DROP # ativa o nat iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # Permite Porta 21 iptables -A FORWARD -p tcp -i eth1 -d 0/0 -j ACCEPT iptables -A FORWARD -p tcp -i eth1 --dport 21 -d 0/0 -j ACCEPT # Permite Porta 25 iptables -A FORWARD -p tcp -i eth1 --sport 25 -d 0/0 -j ACCEPT iptables -A FORWARD -p tcp -i eth1 --dport 25 -d 0/0 -j ACCEPT # Permite Porta 110 iptables -A FORWARD -p tcp -i eth1 --sport 110 -d 0/0 -j ACCEPT iptables -A FORWARD -p tcp -i eth1 --dport 110 -d 0/0 -j ACCEPT echo "1" > /proc/sys/net/ipv4/ip_forward ** "Ligar" o foward (clientes) --------------------------------------------------------------- E usando este padrão você vai liberando as portas que deseja permitir que os clientes acessem. Recomendo que você leia alguns tutoriais de IPtables na WEB. Att, Alexandro Corrêa ===== Alexandro Corrêa - Porto Alegre - RS WebSite: www.alexsuperweb.rg3.net MSN: alexandro_correa@yahoo.com.br ICQ: 41588504 Linux user: #339537 ******************************************************************** MEDIR TRAFEGO DE ADSL De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)monitorar consumo do speedy Data:  Sun, 2 May 2004 16:27:56 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ratmmmam@cnbf.org.br wrote: >tem como monitorar (alguma ferramenta ou com recursos do próprio > linux) com a maior exatidão possível o consumo do meu speedy, pois > suspeito veementemente que aquele contador do speedy.zone é meio > exagerado... uma vez que fiz alguns testes de tranferência de dados > via ftp e verifiquei uma discrepância na ordem de 20% entre o que > monitorei e o que apareceu no tal speedy.zone... No seu roteador Linux, faça o seguinte: iptables -N acct_in iptables -N acct_out iptables -I acct_in -j RETURN iptables -i acct_out -j RETURN iptables -I INPUT -i $IFACE_EXT -j acct_in iptables -I OUTPUT -o $IFACE_EXT -j acct_out iptables -I FORWARD -i $IFACE_EXT -j acct_in iptables -I FORWARD -o $IFACE_EXT -j acct_out Com isso, você deverá poder verificar o consumo de tráfego usando o comando: iptables -vnL acct_in iptables -vnL acct_out Você verá algo como: Chain acct_in (2 references)  pkts bytes target     prot opt in     out     source destination   579  703K RETURN     all  --  *      *       0.0.0.0/0 0.0.0.0/0 Note que o tráfego em bytes foi de 703 kB. Note também que a discrepância que você está relatando é perfeitamente normal. Lembre-se que, além dos dados que você recebe num download que são gravados no arquivo, há muito mais dados trafegando para manter a conexão. 20% é um pouco alto, mas é aceitável. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: ******************************************************************** De:  Marcus Lima Responder-a:  marcuslima@marcuslima.eti.br Para:  Leonardo Pinto , marcuslima@marcuslima.eti.br, esan@fox.lol.com.br, linux-br@bazar2.conectiva.com.br Assunto:  Re: RES: (linux-br)Barrar definitivamente o MSN com IPTables Data:  Thu, 20 May 2004 08:18:08 -0300 Ok Leonardo, Vamos sair do impasse então. Use o módulo de strings do seu iptables. Neste caso, você terá que monitorar os pacotes que saem com destino aos servidores da MSN e observar com quais informações estes pacotes saem. Feito isso, você pode bloquear da seguinte forma: iptables -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -m state --state INVALID -j DROP iptables -m string --string "string encontrada em pacotes do MSN" -j DROP Estas regras DEVEM ser melhor trabalhadas, mas explicando o que pretendemos fazer com elas: A primeira deixará pacotes já mapeados pelo Firewall passar diretamente, evitando que todo pacote seja filtrado. Um pacote mapeado é aquele que pertence a uma conexão que já foi iniciada e no seu início ele já foi filtrado pelas regras. Em tempo, usei a palavra mapeada porque serve tanto para TCP como para UDP (este ultimo não tem conexão, mas também é tratado). Na segunda a gente trata os pacotes que tentarem fazer uma conexão de forma errada, ou inválida. Este deve ser jogado fora. E então só sobram os pacotes que estão iniciando conexão, quer dizer, aqueles que ainda não foram mapeados e suas conexões estão se iniciando de forma prudente e válida. Nestes pacotes, você irá além dos endereços e portas, estados de conexão ou afins. Você irá bustar um texto (string) dentro do pacote, e se este pacote tiver o texto, ele será bloqueado, evitando assim a conexão com o MSN, ICQ ou Kazaa (é o mais utilizado). CUIDADO para não utilizar strings muito genéricas, isso poderia bloquear pacotes que não têm nada a ver com o que você queria. Ps.: Existe uma forma de bloquear o MSN (mas aí só vale para o MSN), você cria regras de filtragem da seguinte forma, todos os pacotes vindos das estações e saindo para a Internet são bloqueados a não ser para as portas realmente utilizadas, por exemplo 110 (pop3), 25 (smtp), 143 (imap4), etc. Mas não coloque 80 (http) ou 443 (https). Instale um Squid e force a estação a utilizar proxy (ou então faça como Proxy transparente). Neste Squid, crie ACLs onde você irá apenas permitir acesso a determinados sites. Desta forma, o usuário não vai se conectar na porta 1863 diretamente por causa do filtro do Firewall e não vai conectar pela 80 por causa das restrições do Squid. Isso não é válido para o ICQ por exemplo, pois ele pode utilizar as portas abertas no Firewall para se conectar em algum server (por exemplo a porta 25). Fechar o M$ não é legal pois você vai perder o Windows Update e outros downloads que podem ser interessantes para a estação. A não ser que você tenha o SUS ou SMS rodando na sua rede interna e a partir deste servidor você distribua as atualizações. Att, Marcus Lima Consultor de Segurança > Então lista, será que estamos num jogo de impasse, ou tem alguma solução > mais > amigável?!!! > > Estou pensando em última hipótese fechar a faixa de IPs da Micro$oft, o que > vcs acham??? ******************************************************************** ABRIR PORTA 6881 USADA PELO BITTORRENT De:  Leonardo Pinto Para:  'Guerreiro' Cc:  Lista Conectiva (E-mail) Assunto:  (linux-br)RES: porta 6881 abrir Data:  Tue, 6 Jul 2004 19:40:22 -0300 O INPUT, lógico. Vale salientar que "$DEV_PUB" é uma variável portanto vc deve substituir por seu dispositivo exposto na internet (ppp0, eth0, etc...) SDS, Leonardo Pinto. > >Olá Cláudio, > > > iptables -A INPUT -i $DEV_PUB -p tcp --dport 6881 -j ACCEPT > ou > >iptables -A FORWARD -i $DEV_PUB -p tcp --dport 6881 -j ACCEPT > > > No meu caso eu rodo p2p no servidor de internet aonde esta o firewall. > Qual seria ? ******************************************************************** De:  Leonardo Pinto Para:  'Marcio' Cc:  Lista Conectiva (E-mail) Assunto:  RES: (linux-br) Dúvidas IPTables Data:  Wed, 28 Jul 2004 15:43:34 -0300 Coloque o caractere de negação "!" no parâmetro -s (ip source). tipo: iptables -A FORWARD -s ! 192.168.1.20 -d 64.4.13.0/24 -j REJECT Obs.: Tente uma "," depois do primeiro IP. Sds, Leonardo Pinto. > Tenho um roteador rodando em coyote linux, tenho algumas > regras de iptables, > mas estou com dúvidas.... > Eu tenho bloqueio de kazaa, icq, imesh e yahoo messenger.... > gostaria de > saber como faço para algumas máquinas terem acesso total, > tipo: as máquinas > de 192.168.0.2 até 192.168.0.15 vão ter acesso total, alguém > pode me dar > essa dica? > Se não for pedir muito, como faço para barrar o MSN? que > porta ele usa? ******************************************************************** De:  William da Rocha Lima Responder-a:  wrochal@linuxit.com.br Para:  Cpd da Aesc , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Fechar porta ssh e abrir somente para um IP com Iptables Data:  Thu, 08 Jul 2004 10:22:18 -0300 Caro, Use a regra iptables -A INPUT -p tcp --syn --dport 22 -j DROP iptables -A INPUT -p tcp --syn -s IP --dport 22 -j ACCEPT Falou, William da Rocha wrochal@linuxit.com.br www.linuxit.com.br ******************************************************************** De:  Coolins Paker Responder-a:  Coolins Paker Para:  Vagner Schoaba Cc:  Lista Linux Conectiva Assunto:  Re: (linux-br)Iptables fazendo regras em arquivos Data:  Thu, 8 Apr 2004 11:45:07 -0300 Eu de novo Vagner,    Escrevi o nome da variável como $REDE, ficou errado no script de exemplo.    Abaixo a correção. Lembrando que a minha intenção eh te mostrar a forma de como usar este laço a seu favor colocando todos os IPs (redes) em uma unica linha(variavel),  a regra que coloquei eh somente um exemplo, pode haver outras. Agora eh com vc. --------------corta aqui ---------------------- #!/bin/bash output_interface="eth2" IPS="200.100.100.0/24  200.100.101.0./24"    for rede in $IPS; do  # vai executar a linha abaixo para cada IP           iptables -A INPUT -i $output_interface -s $IPS -j SPOOF    done --------------corta aqui ---------------------- Agora esta certo. At. Leandro R. Coelho "A vida e agora, viva !" ******************************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)firewall. Que portas liberar para permitir as comunicações usuais: msn, icq, realaudio, irc etc. Data:  Thu, 9 Sep 2004 12:08:12 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 otavio wrote: >Pessoal, > >Escrevi um script de firewall e determinei a politica de entrada como >drop > >iptables -P INPUT DROP > >Não quero bloquear as comunicações dos usuários. Que portas tenho que >liberar para que eles possam usar msn, icq, realaudio etc? Alem das 80, >443, 21, 25, 110 etc Vamos antes entender o seu sistema. Você está usando um roteador e seus usuários estão usando outros computadores? Ou você está falando de uma máquina só e todos os usuários rodam seus processos nela? Se for o primeiro caso, a regra acima não tem efeito algum, sequer. Se for o segundo caso, você bloqueou absolutamente tudo. Para não bloquear as comunicações dos usuários, supondo a primeira situação, execute:         iptables -P FORWARD DROP         iptables -A FORWARD -i $IFACE_INT -j ACCEPT         iptables -A FORWARD -o $IFACE_INT -mstate --state ESTABLISHED,RELATED -j ACCEPT onde IFACE_INT é a interface que está conectada à sua rede interna. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: ******************************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  M. V. Cc:  linux-br Assunto:  Re: (linux-br)SkyPe Data:  Fri, 15 Oct 2004 17:37:26 -0300 Olá, Falando em seriedade, você deveria implementar uma politica restritiva no seu firewall  e só liberar o estritamente necessário. Digamos: eth0 = sua interface externa iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (ou SNAT) iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o eth0 -p tcp --dport 25 -j ACCEPT # smtp iptables -A FORWARD -o eth0 -p tcp --dport 80 -j ACCEPT # http iptables -A FORWARD -o eth0 -p tcp --dport 110 -j ACCEPT # pop3 iptables -A FORWARD -o eth0 -p tcp --dport 443 -j ACCEPT # https iptables -A FORWARD -o eth0 -j REJECT Dessa forma só vai sair pra internet SMTP,HTTP,POP3,HTTPS. O resto vai ser rejeitado. Abraço! Alejandro Flores > Boa tarde galera ... > Vou fazer uma proposta aqui ... > Que tal a galera que leva segurança a sério e é responsável por redes assim > como eu, pensar em uma maneira de bloquear o SkyPe? > Esse programa aqui na empresa já virou moda, e os funcionários estão dando > um trabalho danado. > Quem tiver soluções do tipo "manda embora", "manda advertência", esquece, > pois isso aqui nunca funcionou !! > Obrigado mais uma vez !! ******************************************************************** De: Antonio da Silva Martins Junior Para: Dante Cc: linux-br@bazar2.conectiva.com.br Assunto: (linux-br)Re: Firewall a cada meia hora Data: Tue, 3 May 2005 07:30:43 -0300 (BRST) On 3 xxx -1, Dante wrote: > >mascarar os pacotes que saem pela ppp? > E conseguiria deixar o meu proxy transparente? Bem, digamos que a tua rede tá assim: eth0 - modem ADSL (IP 10.0.0.0/8) eth1 - rede interna (IP 192.168.0.0/24) ppp+ - ADSL (IP dinâmico) regras simples, vai funcionar mas não garanto a segurança, to fazendo de cabeça: echo "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/ip_dynaddr echo "1" > /proc/sys/net/ipv4/conf/default/rp_filter iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth0 -j ACCEPT iptables -A INPUT -i eth1 -j ACCEPT iptables -A INPUT -p icmp -m icmp --icmp-type 255 -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable iptables -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT \ --to-ports 3128 iptables -A POSTROUTING -o ppp+ -j MASQUERADE Tai, proxy transparente (o PREROUTING), mascara na saida ppp+ (o POSTROUTING, e é ppp+ mesmo), os três "echos" você pode acertar no /etc/sysctl.conf (depende da distro). Antonio. +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Antonio S. Martins Jr. - Support Analist | "Only The Shadow Knows | | Universidade Estadual de Maringa - Brasil| what evil lurks in the | | NPD - Núcleo de Processamento de Dados | Heart of Men!" | | E-Mail: asmartins@uem.br / shadow@uem.br | !!! Linux User: 52392 !!! | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ******************************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: Carlos Vinagre Cc: Conectiva Linux Assunto: Re: (linux-br)Problemas com o IPtables Data: Wed, 22 Jun 2005 12:50:04 -0300 Olá, > Pessoal!!!!! > Alguém alguma receita de bolo como configurar o > iptables em um compartilhamento da imternet com o > linux. Simples e rápido: #!/bin/bash IF_INTERNET="eth0" IF_LOCAL="eth1" iptables -F iptables -t nat -F echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o $IF_INTERNET -j MASQUERADE iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i $IF_LOCAL -j ACCEPT iptables -A INPUT -j REJECT # FIM Se preferir e conhecer um pouco de TCP/IP: http://www.triforsec.com.br/projetos/iptsimples -- Abraço! Alejandro Flores http://www.triforsec.com.br/ ********************************************************************