Public Pastes
daily pastebin goal
26%
SHARE
TWEET

Untitled

a guest Oct 20th, 2012 28 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. *mangle
  2. :PREROUTING ACCEPT [671:59948]
  3. :INPUT ACCEPT [535:50017]
  4. :FORWARD ACCEPT [136:9931]
  5. :OUTPUT ACCEPT [61:6801]
  6. :POSTROUTING ACCEPT [77:9535]
  7. COMMIT
  8. # Completed on Sun Oct 21 01:34:28 2012
  9. # Generated by iptables-save v1.4.12 on Sun Oct 21 01:34:28 2012
  10.  
  11. obs: Um pacote irá pecerrer as regras até encontrar um ACCEPT para liberar seu acesso, um DROP para descartar ou um REJECT.
  12.      
  13. *filter
  14. :INPUT DROP [453:35968]
  15. :FORWARD DROP [120:7197]
  16. :OUTPUT ACCEPT [1:60]
  17.  
  18. # Usando aqui para conferir estado NEW, RELATED ou STABLISHED.
  19. # Isso está sendo um desperdicio de processamento.
  20. # Já que irá conferir lá em baixo todos os pacotes por RELATED ou STABLISHED.
  21. # sitação lá de baixo ( -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT )
  22. # eu usaria assim:
  23. # -A INPUT -s 10.1.1.0/24 -i eth1 -p udp -m udp --dport 53 --j ACCEPT
  24.  
  25. -A INPUT -s 10.1.1.0/24 -i eth1 -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
  26.  
  27. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p udp -j ACCEPT
  28. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -j ACCEPT
  29.  
  30. # aqui libera o próprio servidor para acessaro o squid.
  31. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 3128 -j ACCEPT
  32.  
  33. # Mas este outros, realmente tem estes serviços rodando no próprio servidor ?
  34. # E lá em cima você liberou accesso do próprio servidor para o mesmo, para qualquer portar.
  35. # então Estas regras tornam-se desnecessárias.
  36.  
  37. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 110 -j ACCEPT
  38. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 80 -j ACCEPT
  39. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 53 -j ACCEPT
  40. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 22 -j ACCEPT
  41.  
  42. # outra verificação desnecessária.
  43. # Pode remover
  44. -A INPUT -s 127.0.0.1/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
  45.  
  46.  
  47. -A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
  48. -A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
  49. -A INPUT -i eth1 -p tcp -m tcp --dport 443 -j ACCEPT
  50. -A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
  51.  
  52.  
  53. # Para conectar no IRC, não irar precisar liberar a porta 8001 entrando pela eth0.
  54. # Pois quando o trafego voltar, ela irar voltar da porta 8001 e não ir para porta 8001.
  55. # então -A INPUT -i eth0 -p udp -m udp --sport 8001 -j ACCEPT
  56. # nem precisa liberar qualquer trafego de retorno.
  57. # Pois a regra -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  58. # já libera qualquer trafego já estabelecido.
  59.  
  60. # Tendo em vista o que foi falado, podemos remover essa regra.
  61. -A INPUT -i eth0 -p udp -m udp --dport 8001 -j ACCEPT
  62.  
  63. -A INPUT -i eth1 -p udp -m udp --dport 8001 -j ACCEPT
  64.  
  65. -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
  66. -A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
  67.  
  68. -A INPUT -i eth0 -p icmp -j ACCEPT
  69. -A INPUT -i eth1 -p icmp -j ACCEPT
  70.  
  71. -A INPUT -p tcp -m tcp --dport 6667:6669 -j ACCEPT
  72.  
  73. # Está regra torna desnecessário a regra lá de cima.
  74. # Onde libera a porta 8001 que entra peloa porta eth1.
  75. # Pois esta, libera qualquer trafego para a porta 8001.
  76. -A INPUT -p tcp -m tcp --dport 8001 -j ACCEPT
  77.  
  78. -A INPUT -i eth1 -p tcp -m tcp --dport 6588 -j ACCEPT
  79. -A INPUT -i eth1 -p tcp -m tcp --dport 3130 -j ACCEPT
  80.  
  81. # REGRAS DESNECESSÁRIA. Já está liberados todas as portas de origem do servidor para o servidor.
  82. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 25 -j ACCEPT
  83. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 443 -j ACCEPT
  84. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -p tcp -m tcp --dport 8001 -j ACCEPT
  85.  
  86. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  87.  
  88.  
  89. -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
  90. -A FORWARD -s 10.1.1.0/24 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
  91. -A FORWARD -s 10.1.1.0/24 -i eth1 -p icmp -j ACCEPT
  92. -A FORWARD -s 10.1.1.0/24 -i eth1 -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
  93. -A FORWARD -d 10.1.1.249/32 -i eth0 -j ACCEPT
  94.  
  95. # Faltando uma regra para liberar o trafego que vem da rede interna.
  96. # -A FORWARD -s 10.1.1.249/32 -i eth1 -j ACCEPT
  97.  
  98. -A OUTPUT -s 127.0.0.1/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
  99. # Esta regra abaixo, torna a de acima descecessária. já que faz a mesma coisa com qualquer pacote.
  100. -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  101.  
  102. COMMIT
  103.  
  104. # Completed on Sun Oct 21 01:34:28 2012
  105. # Generated by iptables-save v1.4.12 on Sun Oct 21 01:34:28 2012
  106.  
  107. *nat
  108. :PREROUTING ACCEPT [578:43520]
  109. :INPUT ACCEPT [14:840]
  110. :OUTPUT ACCEPT [1:60]
  111. :POSTROUTING ACCEPT [1:60]
  112.  
  113. # Seu nat está DEFAULT ACCEPT, então não temos necessidade da regra abaixo.
  114. -A PREROUTING -d 10.1.1.0/24 -i eth1 -p tcp -j ACCEPT
  115. -A PREROUTING -s 10.1.1.0/24 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
  116. -A PREROUTING -d 192.168.25.254/32 -p tcp -m tcp --dport 221 -j DNAT --to-destination 10.1.1.249:21
  117. -A POSTROUTING -s 10.1.1.0/24 -o eth0 -j MASQUERADE
  118. COMMIT
RAW Paste Data
Pastebin PRO WINTER Special!
Get 40% OFF Pastebin PRO accounts!
Top