vpn_ipsec_firewall

Pessoal,

estou configurando uma vpn ipsec, e tambem estou adicionando umas regras firewall, e gostaria de saber a visao de todos.

desde ja agradeço.

# zerar tabelas
iptables -F

# compartilhar a conexão
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# VPN IPSEC
# configura parametros do kernel
echo 0 > /proc/sys/net/ipv4/ip_dynaddr
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 1 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# aceitar pacotes ESP
iptables -I INPUT 1 -j ACCEPT -p 50 iptables -I OUTPUT 1 -j ACCEPT -p 50
iptables -I FORWARD 1 -j ACCEPT -p 50

# aceitar pacotes IKE
iptables -I INPUT 1 -j ACCEPT -p udp --dport 500
iptables -I OUTPUT 1 -j ACCEPT -p udp --dport 500
iptables -I FORWARD 1 -j ACCEPT -p udp --dport 500

# aceitar pacotes ICMP
iptable -I INPUT 1 -j ACCEPT -p icmp
iptable -I OUTPUT 1 -j ACCEPT -p icmp
iptable -I FORWARD 1 -j ACCEPT -p icmp

# libera a rede local e lan
iptables -A INPUT -s xxx.xxx.xxx.xxx -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 10.1.33.0/255.255.255.128 -j ACCEPT

#bloquear qualquer entrada na eth0
#iptables -p INPUT DROP
#iptables -A INPUT -i eth0 -p udp -s 0.0.0.0 --sport bootpc --dport bootps -m state --state NEW -j ACCEPT

#protecao contra worms
iptables -A FORWARD -p tcp --dport 135 -i eth1 -j REJECT

#protecao contra ipspoofing
echo "1"> /proc/sys/net/ipv4/conf/all/rp_filter

#contra pacotes danificados(ataque dos)
iptables -A FORWARD -m unclean -j DROP

#contra ataques
iptables -A FORWARD -m state --state INVALID -j DROP

#protecao contra synfloods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

#rotear para ip especifico
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1521 -j DNAT --to-dest 10.1.33.101
iptables -A FORWARD -p tcp -i eth0 --dport 1521 -d 10.1.33.101 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8443 -j DNAT --to-dest 10.1.33.104
iptables -A FORWARD -p tcp -i eth0 --dport 8443 -d 10.1.33.104 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2000 -j DNAT --to-dest 10.1.33.104
iptables -A FORWARD -p tcp -i eth0 --dport 2000 -d 10.1.33.104 -j ACCEPT

#Liberar ip especifico         
iptables -t nat -A PREROUTING -s xxx.xxx.xxx.xxx -m tcp -p tcp -i eth0 --dport 100 -j DNAT --to-dest 10.1.33.104
iptables -A FORWARD -p tcp -s xxx.xxx.xxx.xxx --dport 100 -d 10.1.33.104 -j ACCEPT

#abre algumas portas
iptables -A INPUT -p tcp --destination-port 8887 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 8443 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 2000 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 1521 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 500 -j ACCEPT

#fecha o resto
iptables -A INPUT -p tcp --syn -j DROP

#nao responder a pings
echo "1"> /proc/sys/net/ipv4/icmp_echo_ignore_all

#salvar regras
iptables-save

---

MSN Busca: fácil, rápido, direto ao ponto.  Encontre o que você quiser. Clique aqui.




1) Regras Básicas da Netiqueta para a Lista LinuxDicas http://www.linuxdicas.com.br/netiqueta.php

2) Como Fazer Perguntas Inteligentes
http://www.linuxdicas.com.br/perguntas.html

3) Para postar uma mensagem para todos da lista, envie um email para 
linuxdicas@@yahoogrupos.com.br

Yahoo! Grupos, um serviço oferecido por:

PUBLICIDADE

---

Links do Yahoo! Grupos

• Para visitar o site do seu grupo na web, acesse:
  http://br.groups.yahoo.com/group/linuxdicas/
   
• Para sair deste grupo, envie um e-mail para:
  linuxdicas-unsubscribe-EYaqaC9dFX8MqA7zqLjoiV/I71DsQ//L@xxxxxxxxxxxxxxxx
   
• O uso que você faz do Yahoo! Grupos está sujeito aos Termos do Serviço do Yahoo!.