Public Pastes
daily pastebin goal
26%
SHARE
TWEET

Untitled

a guest Oct 20th, 2012 31 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. *mangle
  2. :PREROUTING ACCEPT [671:59948]
  3. :INPUT ACCEPT [535:50017]
  4. :FORWARD ACCEPT [136:9931]
  5. :OUTPUT ACCEPT [61:6801]
  6. :POSTROUTING ACCEPT [77:9535]
  7. COMMIT
  8. # Completed on Sun Oct 21 01:34:28 2012
  9. # Generated by iptables-save v1.4.12 on Sun Oct 21 01:34:28 2012
  10.  
  11. obs: Um pacote irá pecerrer as regras até encontrar um ACCEPT para liberar seu acesso, um DROP para descartar ou um REJECT.
  12.      
  13. *filter
  14. :INPUT DROP [453:35968]
  15. :FORWARD DROP [120:7197]
  16. :OUTPUT ACCEPT [1:60]
  17.  
  18. # Usando aqui para conferir estado NEW, RELATED ou STABLISHED.
  19. # Isso está sendo um desperdicio de processamento.
  20. # Já que irá conferir lá em baixo todos os pacotes por RELATED ou STABLISHED.
  21. # sitação lá de baixo ( -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT )
  22. # eu usaria assim:
  23. # -A INPUT -s 10.1.1.0/24 -i eth1 -p udp -m udp --dport 53 --j ACCEPT
  24.  
  25. -A INPUT -s 10.1.1.0/24 -i eth1 -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
  26.  
  27. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p udp -j ACCEPT
  28. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -j ACCEPT
  29.  
  30. # aqui libera o próprio servidor para acessaro o squid.
  31. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 3128 -j ACCEPT
  32.  
  33. # Mas este outros, realmente tem estes serviços rodando no próprio servidor ?
  34. # E lá em cima você liberou accesso do próprio servidor para o mesmo, para qualquer portar.
  35. # então Estas regras tornam-se desnecessárias.
  36.  
  37. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 110 -j ACCEPT
  38. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 80 -j ACCEPT
  39. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 53 -j ACCEPT
  40. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 22 -j ACCEPT
  41.  
  42. # outra verificação desnecessária.
  43. # Pode remover
  44. -A INPUT -s 127.0.0.1/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
  45.  
  46.  
  47. -A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
  48. -A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
  49. -A INPUT -i eth1 -p tcp -m tcp --dport 443 -j ACCEPT
  50. -A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
  51.  
  52.  
  53. # Para conectar no IRC, não irar precisar liberar a porta 8001 entrando pela eth0.
  54. # Pois quando o trafego voltar, ela irar voltar da porta 8001 e não ir para porta 8001.
  55. # então -A INPUT -i eth0 -p udp -m udp --sport 8001 -j ACCEPT
  56.  
  57. -A INPUT -i eth0 -p udp -m udp --dport 8001 -j ACCEPT
  58. -A INPUT -i eth1 -p udp -m udp --dport 8001 -j ACCEPT
  59.  
  60. -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
  61. -A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
  62.  
  63. -A INPUT -i eth0 -p icmp -j ACCEPT
  64. -A INPUT -i eth1 -p icmp -j ACCEPT
  65.  
  66. -A INPUT -p tcp -m tcp --dport 6667:6669 -j ACCEPT
  67.  
  68. -A INPUT -p tcp -m tcp --dport 8001 -j ACCEPT
  69.  
  70. -A INPUT -i eth1 -p tcp -m tcp --dport 6588 -j ACCEPT
  71. -A INPUT -i eth1 -p tcp -m tcp --dport 3130 -j ACCEPT
  72.  
  73. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 25 -j ACCEPT
  74. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 443 -j ACCEPT
  75. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 8001 -j ACCEPT
  76.  
  77. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  78.  
  79. -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
  80. -A FORWARD -s 10.1.1.0/24 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
  81. -A FORWARD -s 10.1.1.0/24 -i eth1 -p icmp -j ACCEPT
  82. -A FORWARD -s 10.1.1.0/24 -i eth1 -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
  83. -A FORWARD -d 10.1.1.249/32 -i eth0 -j ACCEPT
  84.  
  85. -A OUTPUT -s 127.0.0.1/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
  86. -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  87. COMMIT
  88.  
  89. # Completed on Sun Oct 21 01:34:28 2012
  90. # Generated by iptables-save v1.4.12 on Sun Oct 21 01:34:28 2012
  91.  
  92. *nat
  93. :PREROUTING ACCEPT [578:43520]
  94. :INPUT ACCEPT [14:840]
  95. :OUTPUT ACCEPT [1:60]
  96. :POSTROUTING ACCEPT [1:60]
  97.  
  98. # Seu nat está DEFAULT ACCEPT, então não temos necessidade da regra abaixo.
  99. -A PREROUTING -d 10.1.1.0/24 -i eth1 -p tcp -j ACCEPT
  100. -A PREROUTING -s 10.1.1.0/24 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
  101. -A PREROUTING -d 192.168.25.254/32 -p tcp -m tcp --dport 221 -j DNAT --to-destination 10.1.1.249:21
  102. -A POSTROUTING -s 10.1.1.0/24 -o eth0 -j MASQUERADE
  103. COMMIT
RAW Paste Data
Pastebin PRO WINTER Special!
Get 40% OFF Pastebin PRO accounts!
Top