Responder 
 
Avaliação do Tópico:
  • 0 Votos - 0 Média
  • 1
  • 2
  • 3
  • 4
  • 5
Chains DROP
25/08/2009, 08:17
Resposta: #16
Re: Chains DROP
Vamos lá,

Como definiu como padrão a chain? Com a opção -P?
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
25/08/2009, 08:17
Resposta: #17
Re: Chains DROP
Vamos lá,

Como definiu como padrão a chain? Com a opção -P?
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
25/08/2009, 13:39
Resposta: #18
Re: Chains DROP
da seguinte maneira:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
25/08/2009, 13:39
Resposta: #19
Re: Chains DROP
da seguinte maneira:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
26/08/2009, 08:38
Resposta: #20
Re: Chains DROP
Deveria estar como DROP mesmo, poste seu script para analisarmos...
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
26/08/2009, 08:38
Resposta: #21
Re: Chains DROP
Deveria estar como DROP mesmo, poste seu script para analisarmos...
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
26/08/2009, 10:01
Resposta: #22
Re: Chains DROP
#!bin/bash
firewall_start(){

#-------------------------------------------------------------------------------------------------##

#proxy transparente
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#-------------------------------------------------------------------------------------------------##
#Bloquear/liberar protocolos
#web
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -o eth0 -p tcp --dport 80 -j ACCEPT

# Bloquear o input na porta 3128 para todos exceto a rede interna.
iptables -A INPUT -p tcp -s ! 192.168.0.0/24 --dport 3128 -j REJECT

#WebService
iptables -A INPUT -p tcp --dport 8080 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -i eth0 -j ACCEPT
iptables -A FORWARD -p tcp -j ACCEPT -d 192.168.0.10 --dport 3306
iptables -A FORWARD -p tcp -j ACCEPT -d 192.168.0.10 --dport 8080

#DNS
iptables -A FORWARD -o eth0 -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -o eth0 -p udp --sport 53 -j ACCEPT

#HTTPS
iptables -A FORWARD -o eth0 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -o eth0 -p udp --sport 443 -j ACCEPT

#SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#ftp-para liberar comente as 4 primeiras linhas e descomente as outras
iptables -A FORWARD -o eth0 -p tcp --dport 20 -j DROP
iptables -A FORWARD -o eth0 -p tcp --sport 20 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 21 -j DROP
iptables -A FORWARD -o eth0 -p tcp --sport 21 -j DROP

#-------------------------------------------------------------------------------------------------##
#Programas organizacionais

##-------------------------------------------------------------------------------------------------##
#Layer7
#carrega o modulo layer7
modprobe ipt_layer7

#Liberar protocolos com Layer7
#iptables -A FORWARD -s 192.168.0.xxx -m layer7 --l7proto bittorrent -j ACCEPT
#iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto bittorrent -j DROP

#Bloqueio protocolos com layer7
iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP
iptables -A FORWARD -m layer7 --l7proto gnutella -j DROP
iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP
iptables -A FORWARD -m layer7 --l7proto yahoo -j DROP
iptables -A FORWARD -m layer7 --l7proto fasttrack -j DROP
iptables -A FORWARD -m layer7 --l7proto ares -j DROP
iptables -A FORWARD -m layer7 --l7proto openft -j DROP

#logs
iptables -A FORWARD -m layer7 --l7proto bittorrent -j LOG --log-prefix "torrent"
iptables -A FORWARD -m layer7 --l7proto gnutella -j LOG --log-prefix "emule-k-lite-gnutella"
iptables -A FORWARD -m layer7 --l7proto edonkey -j LOG --log-prefix "emule-edonkey"
iptables -A FORWARD -m layer7 --l7proto ares -j LOG --log-prefix "k-lite-ares"
iptables -A FORWARD -m layer7 --l7proto openft -j LOG --log-prefix "k-lite-openft"

##------------------------------------------------------------------------------------------------##
#Bloqueio de programas

#emule
iptables -A INPUT -p tcp --dport 4661 -j DROP
iptables -A INPUT -p tcp --dport 4711 -j DROP
iptables -A FORWARD -p tcp --dport 4661 -j DROP
iptables -A FORWARD -p tcp --dport 4711 -j DROP
iptables -A FORWARD -p tcp --dport 28931 -j DROP
iptables -A INPUT -p tcp --dport 28931 -j DROP
iptables -A INPUT -p tcp --dport 4672 -j DROP
iptables -A INPUT -p udp --dport 4672 -j DROP
iptables -A FORWARD -p tcp --dport 4672 -j DROP
iptables -A FORWARD -p udp --dport 4672 -j DROP
iptables -A FORWARD -p udp --dport 5557 -j DROP
iptables -A INPUT -p udp --dport 5557 -j DROP
iptables -A INPUT -p tcp --dport 4662 -j DROP
iptables -A INPUT -p udp --dport 4662 -j DROP
iptables -A FORWARD -p tcp --dport 4662 -j DROP
iptables -A FORWARD -p udp --dport 4662 -j DROP

#limewire
iptables -A FORWARD -p tcp --dport 6346 -j REJECT

#Kazaa
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
iptables -A FORWARD -p tcp --dport 1214 -j REJECT
iptables -A FORWARD -p udp --dport 1214 -j REJECT
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
iptables -A FORWARD -d 206.142.53.0/24 -j REJECT

#AIM
#iptables -A FORWARD -d login.oscar.aol.com -j REJECT

#ICQ
iptables -A FORWARD -p tcp --dport 5190 -j REJECT
#iptables -A FORWARD -d login.icq.com -j REJECT

#MSN
iptables -A FORWARD -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -d 64.4.13.0/24 -j REJECT

#yahoo Messenger:
#iptables -A FORWARD -d cs.yahoo.com -j REJECT
#iptables -A FORWARD -d scsa.yahoo.com -j REJECT

#Bittorrent:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6881:6889 -j DNAT --to-dest 192.168.0.1
iptables -A FORWARD -p tcp -i eth0 --dport 6881:6889 -d 192.168.0.1 -j REJECT

#iMesh:
iptables -A FORWARD -d 216.35.208.0/24 -j REJECT

#BearShare:
iptables -A FORWARD -p tcp --dport 6346 -j REJECT

#ToadNode:
iptables -A FORWARD -p tcp --dport 6346 -j REJECT

#WinMX:
iptables -A FORWARD -d 209.61.186.0/24 -j REJECT
iptables -A FORWARD -d 64.49.201.0/24 -j REJECT

#Napigator:
iptables -A FORWARD -d 209.25.178.0/24 -j REJECT

#Morpheus:
iptables -A FORWARD -d 206.142.53.0/24 -j REJECT
iptables -A FORWARD -p tcp --dport 1214 -j REJECT

#Audiogalaxy:
iptables -A FORWARD -d 64.245.58.0/23 -j REJECT

##-------------------------------------------------------------------------------------------------##
#Regras de seguranca

#igora pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

#protecao contra IP spoofing
echo "1" > /proc/sys/net/ipv4/conf/default/rp_filter

#protecao contra synflood
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

#protecao contra ICMP broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#bloqueia traceroute
#iptables -A INPUT -p udp --dport 33435:33525 -j DROP

#protecao diversas contra portscanners, ping of death, ataque DOS e etc
iptables -A INPUT -m state --state INVALID -j DROP

#interface loopback
iptables -A INPUT -i lo -j ACCEPT
#iptables -A INPUT -p tcp --syn -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#permite que as maquinas da rede se conectem a este servidor
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT

#Ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Proteç contra worms
iptables -A FORWARD -p tcp --dport 135 -i eth1 -j REJECT

#Protecao contra trojans
iptables -N TROJAN
iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trojan: "
iptables -A TROJAN -j DROP
iptables -A INPUT -p TCP -i eth0 --dport 666 -j TROJAN
iptables -A INPUT -p TCP -i eth0 --dport 666 -j TROJAN
iptables -A INPUT -p TCP -i eth0 --dport 4000 -j TROJAN
iptables -A INPUT -p TCP -i eth0 --dport 6000 -j TROJAN
iptables -A INPUT -p TCP -i eth0 --dport 6006 -j TROJAN
iptables -A INPUT -p TCP -i eth0 --dport 16660 -j TROJAN

# Protecao contra trinoo
iptables -N TRINOO
iptables -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trinoo: "
iptables -A TRINOO -j DROP
iptables -A INPUT -p TCP -i eth0 --dport 27444 -j TRINOO
iptables -A INPUT -p TCP -i eth0 --dport 27665 -j TRINOO
iptables -A INPUT -p TCP -i eth0 --dport 31335 -j TRINOO
iptables -A INPUT -p TCP -i eth0 --dport 34555 -j TRINOO
iptables -A INPUT -p TCP -i eth0 --dport 35555 -j TRINOO

#Contra Port Scanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#Bloquear Back Orifice
iptables -A INPUT -p tcp --dport 31337 -j DROP
iptables -A INPUT -p udp --dport 31337 -j DROP

#Bloquear NetBus
iptables -A INPUT -p tcp --dport 12345:12346 -j DROP
iptables -A INPUT -p udp --dport 12345:12346 -j DROP

#Protecao contra worms
iptables -A FORWARD -p tcp --dport 135 -i eth0 -j REJECT

#Protecao contra syn-flood
iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT

##-------------------------------------------------------------------------------------------------##
#Habillitar logs
iptables -t filter -A INPUT -j LOG --log-prefix "INPUT->"
iptables -t filter -A FORWARD -j LOG --log-prefix "FORWARD->"
iptables -t nat -A PREROUTING -j LOG --log-prefix "PREROUTING->"
iptables -t nat -A POSTROUTING -j LOG --log-prefix "POSTROUTING->"
iptables -t mangle -A PREROUTING -j LOG --log-prefix "mangle_PREROUTING->"

##-------------------------------------------------------------------------------------------------##
#sessoes estabelecidas
iptables -A INPUT -i ! eth0 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

##-------------------------------------------------------------------------------------------------##
#regras padrao

echo "firewall iniciando..."
sleep 1
echo "ok"
sleep 1
}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
}

case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "desativando firewall..."
sleep 2
echo "firewall desativado"
;;
"restart")
echo "firewall reiniciando..."
sleep 1
echo "firewall reiniciado"
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
26/08/2009, 10:01
Resposta: #23
Re: Chains DROP
#!bin/bash
firewall_start(){

#-------------------------------------------------------------------------------------------------##

#proxy transparente
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#-------------------------------------------------------------------------------------------------##
#Bloquear/liberar protocolos
#web
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -o eth0 -p tcp --dport 80 -j ACCEPT

# Bloquear o input na porta 3128 para todos exceto a rede interna.
iptables -A INPUT -p tcp -s ! 192.168.0.0/24 --dport 3128 -j REJECT

#WebService
iptables -A INPUT -p tcp --dport 8080 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -i eth0 -j ACCEPT
iptables -A FORWARD -p tcp -j ACCEPT -d 192.168.0.10 --dport 3306
iptables -A FORWARD -p tcp -j ACCEPT -d 192.168.0.10 --dport 8080

#DNS
iptables -A FORWARD -o eth0 -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -o eth0 -p udp --sport 53 -j ACCEPT

#HTTPS
iptables -A FORWARD -o eth0 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -o eth0 -p udp --sport 443 -j ACCEPT

#SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#ftp-para liberar comente as 4 primeiras linhas e descomente as outras
iptables -A FORWARD -o eth0 -p tcp --dport 20 -j DROP
iptables -A FORWARD -o eth0 -p tcp --sport 20 -j DROP
iptables -A FORWARD -o eth0 -p tcp --dport 21 -j DROP
iptables -A FORWARD -o eth0 -p tcp --sport 21 -j DROP

#-------------------------------------------------------------------------------------------------##
#Programas organizacionais

##-------------------------------------------------------------------------------------------------##
#Layer7
#carrega o modulo layer7
modprobe ipt_layer7

#Liberar protocolos com Layer7
#iptables -A FORWARD -s 192.168.0.xxx -m layer7 --l7proto bittorrent -j ACCEPT
#iptables -A FORWARD -s 192.168.0.0/24 -m layer7 --l7proto bittorrent -j DROP

#Bloqueio protocolos com layer7
iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP
iptables -A FORWARD -m layer7 --l7proto gnutella -j DROP
iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP
iptables -A FORWARD -m layer7 --l7proto yahoo -j DROP
iptables -A FORWARD -m layer7 --l7proto fasttrack -j DROP
iptables -A FORWARD -m layer7 --l7proto ares -j DROP
iptables -A FORWARD -m layer7 --l7proto openft -j DROP

#logs
iptables -A FORWARD -m layer7 --l7proto bittorrent -j LOG --log-prefix "torrent"
iptables -A FORWARD -m layer7 --l7proto gnutella -j LOG --log-prefix "emule-k-lite-gnutella"
iptables -A FORWARD -m layer7 --l7proto edonkey -j LOG --log-prefix "emule-edonkey"
iptables -A FORWARD -m layer7 --l7proto ares -j LOG --log-prefix "k-lite-ares"
iptables -A FORWARD -m layer7 --l7proto openft -j LOG --log-prefix "k-lite-openft"

##------------------------------------------------------------------------------------------------##
#Bloqueio de programas

#emule
iptables -A INPUT -p tcp --dport 4661 -j DROP
iptables -A INPUT -p tcp --dport 4711 -j DROP
iptables -A FORWARD -p tcp --dport 4661 -j DROP
iptables -A FORWARD -p tcp --dport 4711 -j DROP
iptables -A FORWARD -p tcp --dport 28931 -j DROP
iptables -A INPUT -p tcp --dport 28931 -j DROP
iptables -A INPUT -p tcp --dport 4672 -j DROP
iptables -A INPUT -p udp --dport 4672 -j DROP
iptables -A FORWARD -p tcp --dport 4672 -j DROP
iptables -A FORWARD -p udp --dport 4672 -j DROP
iptables -A FORWARD -p udp --dport 5557 -j DROP
iptables -A INPUT -p udp --dport 5557 -j DROP
iptables -A INPUT -p tcp --dport 4662 -j DROP
iptables -A INPUT -p udp --dport 4662 -j DROP
iptables -A FORWARD -p tcp --dport 4662 -j DROP
iptables -A FORWARD -p udp --dport 4662 -j DROP

#limewire
iptables -A FORWARD -p tcp --dport 6346 -j REJECT

#Kazaa
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
iptables -A FORWARD -p tcp --dport 1214 -j REJECT
iptables -A FORWARD -p udp --dport 1214 -j REJECT
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
iptables -A FORWARD -d 206.142.53.0/24 -j REJECT

#AIM
#iptables -A FORWARD -d login.oscar.aol.com -j REJECT

#ICQ
iptables -A FORWARD -p tcp --dport 5190 -j REJECT
#iptables -A FORWARD -d login.icq.com -j REJECT

#MSN
iptables -A FORWARD -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -d 64.4.13.0/24 -j REJECT

#yahoo Messenger:
#iptables -A FORWARD -d cs.yahoo.com -j REJECT
#iptables -A FORWARD -d scsa.yahoo.com -j REJECT

#Bittorrent:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6881:6889 -j DNAT --to-dest 192.168.0.1
iptables -A FORWARD -p tcp -i eth0 --dport 6881:6889 -d 192.168.0.1 -j REJECT

#iMesh:
iptables -A FORWARD -d 216.35.208.0/24 -j REJECT

#BearShare:
iptables -A FORWARD -p tcp --dport 6346 -j REJECT

#ToadNode:
iptables -A FORWARD -p tcp --dport 6346 -j REJECT

#WinMX:
iptables -A FORWARD -d 209.61.186.0/24 -j REJECT
iptables -A FORWARD -d 64.49.201.0/24 -j REJECT

#Napigator:
iptables -A FORWARD -d 209.25.178.0/24 -j REJECT

#Morpheus:
iptables -A FORWARD -d 206.142.53.0/24 -j REJECT
iptables -A FORWARD -p tcp --dport 1214 -j REJECT

#Audiogalaxy:
iptables -A FORWARD -d 64.245.58.0/23 -j REJECT

##-------------------------------------------------------------------------------------------------##
#Regras de seguranca

#igora pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

#protecao contra IP spoofing
echo "1" > /proc/sys/net/ipv4/conf/default/rp_filter

#protecao contra synflood
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

#protecao contra ICMP broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#bloqueia traceroute
#iptables -A INPUT -p udp --dport 33435:33525 -j DROP

#protecao diversas contra portscanners, ping of death, ataque DOS e etc
iptables -A INPUT -m state --state INVALID -j DROP

#interface loopback
iptables -A INPUT -i lo -j ACCEPT
#iptables -A INPUT -p tcp --syn -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#permite que as maquinas da rede se conectem a este servidor
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT

#Ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Proteç contra worms
iptables -A FORWARD -p tcp --dport 135 -i eth1 -j REJECT

#Protecao contra trojans
iptables -N TROJAN
iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trojan: "
iptables -A TROJAN -j DROP
iptables -A INPUT -p TCP -i eth0 --dport 666 -j TROJAN
iptables -A INPUT -p TCP -i eth0 --dport 666 -j TROJAN
iptables -A INPUT -p TCP -i eth0 --dport 4000 -j TROJAN
iptables -A INPUT -p TCP -i eth0 --dport 6000 -j TROJAN
iptables -A INPUT -p TCP -i eth0 --dport 6006 -j TROJAN
iptables -A INPUT -p TCP -i eth0 --dport 16660 -j TROJAN

# Protecao contra trinoo
iptables -N TRINOO
iptables -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trinoo: "
iptables -A TRINOO -j DROP
iptables -A INPUT -p TCP -i eth0 --dport 27444 -j TRINOO
iptables -A INPUT -p TCP -i eth0 --dport 27665 -j TRINOO
iptables -A INPUT -p TCP -i eth0 --dport 31335 -j TRINOO
iptables -A INPUT -p TCP -i eth0 --dport 34555 -j TRINOO
iptables -A INPUT -p TCP -i eth0 --dport 35555 -j TRINOO

#Contra Port Scanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#Bloquear Back Orifice
iptables -A INPUT -p tcp --dport 31337 -j DROP
iptables -A INPUT -p udp --dport 31337 -j DROP

#Bloquear NetBus
iptables -A INPUT -p tcp --dport 12345:12346 -j DROP
iptables -A INPUT -p udp --dport 12345:12346 -j DROP

#Protecao contra worms
iptables -A FORWARD -p tcp --dport 135 -i eth0 -j REJECT

#Protecao contra syn-flood
iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT

##-------------------------------------------------------------------------------------------------##
#Habillitar logs
iptables -t filter -A INPUT -j LOG --log-prefix "INPUT->"
iptables -t filter -A FORWARD -j LOG --log-prefix "FORWARD->"
iptables -t nat -A PREROUTING -j LOG --log-prefix "PREROUTING->"
iptables -t nat -A POSTROUTING -j LOG --log-prefix "POSTROUTING->"
iptables -t mangle -A PREROUTING -j LOG --log-prefix "mangle_PREROUTING->"

##-------------------------------------------------------------------------------------------------##
#sessoes estabelecidas
iptables -A INPUT -i ! eth0 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

##-------------------------------------------------------------------------------------------------##
#regras padrao

echo "firewall iniciando..."
sleep 1
echo "ok"
sleep 1
}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
}

case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "desativando firewall..."
sleep 2
echo "firewall desativado"
;;
"restart")
echo "firewall reiniciando..."
sleep 1
echo "firewall reiniciado"
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
26/08/2009, 14:30
Resposta: #24
Re: Chains DROP
o mais interesante é que todas as demais regras funcionam qdo reinicio, o compartilhamento da net, o squid, o bloqueio msn ftp e muito mais, somente a politica das chains que no boot, nao ficam como eu seto no script, nao tenho a minima ideia do qeu esta causando isso

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
26/08/2009, 14:30
Resposta: #25
Re: Chains DROP
o mais interesante é que todas as demais regras funcionam qdo reinicio, o compartilhamento da net, o squid, o bloqueio msn ftp e muito mais, somente a politica das chains que no boot, nao ficam como eu seto no script, nao tenho a minima ideia do qeu esta causando isso

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
27/08/2009, 08:21
Resposta: #26
Re: Chains DROP
Não tenho certeza, mas este problema pode estar sendo causado pela linha:

#!bin/bash

Já tive problemas para executar scripts com o cron, faça o seguinte, após esta linha, coloque o diretório de execução, por exemplo:

cd /etc/init.d

Se não der certo, adicione a linha chamando o script em /etc/init.d/bootmisc.sh
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
27/08/2009, 08:21
Resposta: #27
Re: Chains DROP
Não tenho certeza, mas este problema pode estar sendo causado pela linha:

#!bin/bash

Já tive problemas para executar scripts com o cron, faça o seguinte, após esta linha, coloque o diretório de execução, por exemplo:

cd /etc/init.d

Se não der certo, adicione a linha chamando o script em /etc/init.d/bootmisc.sh
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
27/08/2009, 09:20
Resposta: #28
Re: Chains DROP
tabm nao deu certo.
primeiro tentei com o cd /etc/init.d e nao deu em nada;
depois tentei inserir no bootmisc.sh a seguinte entrada /etc/init.d/firewall start
e tbm nao certo.

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
27/08/2009, 09:20
Resposta: #29
Re: Chains DROP
tabm nao deu certo.
primeiro tentei com o cd /etc/init.d e nao deu em nada;
depois tentei inserir no bootmisc.sh a seguinte entrada /etc/init.d/firewall start
e tbm nao certo.

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
27/08/2009, 09:26
Resposta: #30
Re: Chains DROP
o esquisito é so ao inves de bootmis.sh eu trocar /etc/init.d/firewall start, por /etc/init.d/firewall restart, as chains passam a ser como estao no meu script.

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
Responder 


Ir ao Fórum:


Usuários visualizando este tópico: 1 Visitantes

Entre em Contato | Fórum Debian | Voltar ao Topo | Voltar ao Conteúdo | Modo Leve (Arquivo) | Feeds RSS