RES: [FUG-BR][OT] Regras para configurar IPTABLES

[Ricardo Nascimento Ferreira]

Esta não é lista de linux. Procure respostas em listas afins.
Caso queira falar sobre Bsds em geral e seus firewalls ( pf, ipfw e ipf )
, está no lugar certo. 


Ricardo Nascimento Ferreira
Empresa de Correios e Telégrafos
DPROD - CCD 
Analista Unix Sênior Politec

-----Mensagem original-----
De: Freebsd-bounces em fug.com.br [mailto:Freebsd-bounces em fug.com.br] Em nome de Sergio Alencar / ICA
Enviada em: Thursday, January 27, 2005 3:14 PM
Para: freebsd em fug.com.br
Assunto: [FUG-BR][OT] Regras para configurar IPTABLES

Olah pessoal!
Sei que isso eh OFF-TOPIC, mas sou novato em IPTABLES e td do mundo do sw 
livre. Gostaria de obter ajuda no seguinte problema:
O Script que rodo para o IPTABLES, que jah peguei pronto na net, o torna um 
"FW ABERTO", onde INPUT tah ACCEPT, e baseado neste modelo estou tentando 
criar outro onde a politica default para INPUT eh DROP,  soh liberando o que 
axu necessário, mas tem algo errado... a parte do FWD tah funcionando, mas 
por exemplo, consigo mandar emails mas naum recebo... .Naum sei se precisa 
liberer outras portas para que os serviços funcionem... Se rodo o script 
antigo, td funciona.  Soh tenho uma maquina SERVER com os seguintes serviços 
que são necessários: QMail , Apache, IMAP, MySQL e VSFTP. Adicionalmente 
tenho que manter os seguintes serviços funcionando: SpamAssassin, IMAP. E a 
maquina compartilha a internet para a rede interna. Vou colar abaixo o 
script e gostaria que alguem pudesse indicar o que tah errado, plz!!!

Agradeço desde jah a quem puder ajudar e peço desculpas pelo off-topic.

PS: Sei que o script deve estar tosco para caramba...
----------------------------------------------------------------------------------------------------------
$IPTABLES -F INPUT
$IPTABLES -P INPUT DROP
$IPTABLES -F OUTPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F FORWARD
$IPTABLES -P FORWARD DROP
$IPTABLES -t nat -F

# Regras para a Chain INPUT
#-----------------------------

#Libera acesso ao servidor para a rede interna
$IPTABLES -A INPUT -s 192.168.1.0/24 -p tcp -j ACCEPT
$IPTABLES -A INPUT -s 192.168.1.0/24 -p udp -j ACCEPT

#Libera o loopback
$IPTABLES -A INPUT -p tcp -s 127.0.0.1/255.0.0.0 -j ACCEPT

#Libera acesso apenas para as portas nececessarias para redes externas
#FTP
$IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 21 -j ACCEPT
#SSH
$IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 22 -j ACCEPT
#SMTP
$IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 25 -j ACCEPT
#DNS
$IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 53 -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -p udp --destination-port 53 -j ACCEPT
#HTTP
$IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 80 -j ACCEPT
#CourierPasswd
$IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 106 -j ACCEPT
#POP3
$IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 110 -j ACCEPT
#RPC BIND
$IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 111 -j ACCEPT
#IMAP
$IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 143 -j ACCEPT
#SpamAssassin
$IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 783 -j ACCEPT
#MySQL
$IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 3306 -j ACCEPT
#???
$IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 3310 -j ACCEPT
#X11
$IPTABLES -A INPUT -i $EXTIF -p tcp --destination-port 6000 -j ACCEPT

# Regras para a Chain FORWARD
#---------------------------------
#Protecoes diversas contra portscanners, ping of death, ataques DoS, etc.
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 
1/s -j ACCEPT
$IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

#Esta regra permite a entrada de conexoes estabelecidas e relacionadas
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state 
ESTABLISHED,RELATED -j ACCEPT

#Mais protecoes
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG
$IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 
1/s -j ACCEPT
$IPTABLES -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
$IPTABLES -A FORWARD -m unclean -j DROP

#Permite a saida de todas as conexoes
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -j LOG

#Habilita o mascaramento (NAT)
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE



_______________________________________________________________
Para enviar um novo email para a lista: freebsd em fug.com.br
Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/