Novo site

www.networkadmins.com.br

terça-feira, 13 de março de 2012

Instalação e Configuração Shorewall - Firewall

#Instalação do shorewall para administrar o iptables de uma forma
#mais simples, no debian.
#Atualize seu S.O.

apt-get update

#Instalação do shorewall

apt-get install shorewall

#Apos instalar vamos configurar o shorewall para utilizar duas
#interfaces eth0 para internet e eth1 para rede interna.
#Vamos copiar os arquivos de configuração de exemplo.

cd /usr/share/doc/shorewall-common/examples/two-interfaces/
cp rules interface policy zones masq routestopped /etc/shorewall

===================================================================
#No arquivo interfaces iremos adicionar qual interface sera para
#internet e para rede interna
#Modifique apenas as linhas
# net   eth0   detect
# loc   eth1   detect
# Nao remova a ultima linha.
# Exemplo abaixo #
#####################################################################
#ZONE INTERFACE BROADCAST OPTIONS
net     eth0            detect          
loc     eth1            detect          
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE




===================================================================

#No arquivo masq iremos adicionar qual interface sera para internet

#e para rede interna

#Modifique apenas a penultima linha

# neste caso podemos colocar

# eth0         eth1

#ou a faixa da rede interna.

# eth0          192.168.1.0/24

# 

# Exemplo abaixo # 


 
#####################################################################

#INTERFACE  SUBNET  ADDRESS  PROTO PORT(S) IPSEC
eth0                    eth1
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE


=================================================================== 

#No arquivo policy iremos adicionar as regras gerais, de bloqueio e

#liberação

#adicione antes da ultima linha as regras



#Descrição:

# loc = rede local    net = internet    

# $FW = firewall (este servidor)  

#REJECT = bloqueia o acesso  ACCEPT = libera o acesso 

#DROP = rejeita sem informar ao usuario.

#info = grava o log em /var/log/messages



#Bloqueia tudo que for sair da rede interna para internet,

#so passa o que for liberado no arquivo rules.


loc  net  REJECT  info
#Libera todas as portas de entrada do firewall para rede interna. 
loc  $FW  ACCEPT
#Rejeita tudo, menos o que estiver no arquivo rules. 
loc  all  REJECT  info 
 
#firewall para internet tudo liberado 
$FW  net  ACCEPT
#firewall para rede interna tudo liberado 

$FW  loc  ACCEPT
#firewall para tudo que nao seja as conf acima tudo bloqueado, 
#grava log 
$FW  all  REJECT  info

net  $FW  DROP  info
net  loc  DROP  info
net  all  DROP  info


all  all  REJECT  info

#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE


=================================================================== 

#No arquivo zones iremos informar tipo de protocolo utilizado.

#adicione antes da ultima linha as regras




#####################################################################

#ZONE TYPE OPTIONS   IN   OUT
#     OPTIONS   OPTIONS
fw firewall
net ipv4
loc ipv4

#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE


=================================================================== 



#No arquivo rules iremos adicionar as liberações e

#redirecionamentos, este arquivo é o mais importante

#mantenha esse arquivo organizado.

#Remova todo conteudo do arquivo e adicione o conteudo abaixo.



# Exemplo #


####### Regras da Net para o Firewall
ACCEPT  net  fw  tcp 22 #SSH
ACCEPT  net  fw  udp 53 #DNS
ACCEPT  net  fw  tcp 80 #HTTP
ACCEPT  net  fw  tcp 25 #SMTP
ACCEPT  net  fw  tcp 110 #POP
Ping/ACCEPT net  fw  



 
####### Regras de Rede Local para o Firewall
ACCEPT  loc  fw  tcp 22 #SSH
ACCEPT  loc  fw  tcp 25 #SMTP
ACCEPT  loc  fw  tcp 110 #POP
ACCEPT  loc  fw  icmp 
ACCEPT  loc  fw  tcp 80 #HTTP
ACCEPT  loc  fw    udp 53 #DNS
 
####### Regras da Rede Local para a Net
ACCEPT      loc             net  icmp
ACCEPT      loc             net  udp 53 #DNS
ACCEPT      loc             net  udp 123 #NTP
ACCEPT      loc             net  tcp 22 #SSH
ACCEPT      loc             net  tcp 21 #FTP
ACCEPT      loc             net  tcp 80 #HTTP
ACCEPT      loc             net  tcp 443 #HTTPS
ACCEPT      loc             net  tcp 1863 #MSN
ACCEPT      loc             net  tcp 3389 #TS


# Libera o acesso ao email por outlook do ip 192.168.0.100

#para a internet.


ACCEPT      loc:192.168.0.100     net tcp 25 #SMTP
ACCEPT      loc:192.168.0.100     net tcp 143 #IMAP
ACCEPT      loc:192.168.0.100     net tcp  110 #POP 
 
#Libera todas as portas do ip 192.168.0.110 de 
#saida da rede interna para intenet  
ACCEPT  loc:192.168.0.110 net tcp -
 
###################### Redirecionamentos ############################

# Redireciona da porta 5911 externa para a 
#porta 5900 do ip 192.168.0.120
#da rede interna
DNAT  net  loc:192.168.0.120:5900  tcp 5911
 
 
#Redirecionamentos para responder internamente pelo ip externo
DNAT            loc     loc:192.168.0.254       tcp  -  -       189.7.145.1
DNAT            $FW     loc:192.168.0.254       tcp  -  -       189.7.145.1
 
#Proxy Transparente - Redireciona tudo que vier da porta 80 para 
#a porta 3128 do squid, os ips que estiverem apos o sinal de
# ! nao irão passar pelo proxy squid.
REDIRECT        loc    3128     tcp   www      -   !192.168.2.254,201.22.213.9,200.201.173.0/24



#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
 
===================================================================
Credito: Maicon Alves 









Postado por





às




































Nenhum comentário:















Postar um comentário
























        

      









Assinar:
Postar comentários (Atom)