IP Masquerading com o UFW

Link: https://help.ubuntu.com/10.04/serverguide/C/firewall.html

Substituir as antigas regras iptables para fazer o IP Masquerading e compartilhar a internet com a rede local, através do UFW.

Primeiro habilite o forward no arquivo:
sudo gedit /etc/default/ufw

Altere a linha abaixo para:
IPV6=yes
DEFAULT_FORWARD_POLICY="ACCEPT"

Depois Altere:
sudo gedit /etc/ufw/sysctl.conf

net/ipv4/ip_forward=1
net/ipv6/conf/default/forwarding=1

Inclua regras no COMEÇO do arquivo:
sudo gedit /etc/ufw/before.rules

# nat Table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Forward traffic from br0 through eth0.
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
# don't delete the 'COMMIT' line or these nat table rules won't be processed
COMMIT

Depois execute estas alterações com o comando:
sudo ufw disable && sudo ufw enable

Habilite o log com o comando:
sudo ufw logging on

Para saber a situação atual do firewall utilize o comando:
sudo ufw status verbose

Para listar os aplicativos com configurações simplificadas disponíveis utilize o comando:
sudo ufw app list

Aplicativos disponíveis:
  Apache
  Apache Full
  Apache Secure
  Bind9
  CUPS
  Dovecot IMAP
  Dovecot POP3
  Dovecot Secure IMAP
  Dovecot Secure POP3
  OpenSSH
  Postfix
  Postfix Submission
  Samba

Habilitar IMAPs e POP3s:
sudo ufw allow "Dovecot Secure IMAP"
sudo ufw allow "Dovecot Secure POP3"

Habilitar HTTP e HTTPs:
sudo ufw allow "Apache Full"

Habilitar SMTP:
sudo ufw allow "Postfix"

Habilitar SSH:
sudo ufw allow "OpenSSH"

Habilitar Trafego de informações na rede interna:
sudo ufw allow from 192.168.0.0/24

Para permitir o acesso via PocketPC utilize:
sudo ufw allow from 192.168.131.129
Link: http://www.synce.org/moin/SynceWithUbuntu

Habilitar Samba na rede interna:
sudo ufw allow from 192.168.0.0/24 to any app "Samba"

Habilitar Cups na rede interna:
sudo ufw allow from 192.168.0.0/24 to any app "CUPS"

Habilitar Bind (DNS) na rede interna:
sudo ufw allow from 192.168.0.0/24 to any app "Bind9"

Habilitar SMTP Submission na rede interna:
sudo ufw allow from 192.168.0.0/24 to any app "Postfix Submission"

Habilitar IMAP e POP3 na rede Interna:
sudo ufw allow from 192.168.0.0/24 to any app "Dovecot IMAP"
sudo ufw allow from 192.168.0.0/24 to any app "Dovecot POP3"

No arquivo /etc/services tem os nomes que podem ser utilizados ao invés do numero de porta.
Veja estes exemplos abaixo

Habilitar tftp (para boot de rede) na rede interna:
sudo ufw allow from 192.168.0.0/24 to any port tftp

Habilitando ftp na rede interna:
sudo ufw allow from 192.168.0.0/24 to any port ftp
sudo ufw allow from 192.168.0.0/24 to any port ftp-data
sudo ufw allow from 192.168.0.0/24 to any port sftp
sudo ufw allow from 192.168.0.0/24 to any port ftps-data
sudo ufw allow from 192.168.0.0/24 to any port ftps

Habilitando ntp na rede interna:
sudo ufw allow from 192.168.0.0/24 to any port ntp

Habilitando xdmcp na rede interna:
sudo ufw allow from 192.168.0.0/24 to any port xdmcp

Habilitando nfs na rede interna:
sudo ufw allow from 192.168.0.0/24 to any port nfs
sudo ufw allow from 192.168.0.0/24 to any port sunrpc

Habilitando mysql na rede interna:
sudo ufw allow from 192.168.0.0/24 to any port mysql

Habilitando outros serviços na rede interna:
sudo ufw allow from 192.168.0.0/24 to any port swat
sudo ufw allow from 192.168.0.0/24 to any port sane-port
sudo ufw allow from 192.168.0.0/24 to any port webmin
sudo ufw allow from 192.168.0.0/24 to any port x11

Portas utilizadas pelo NFS com o comando:
rpcinfo -p

Checagem de endereços de rede:
netstat -rn

Para mostrar os dados raw digite (This displays the filter,nat, mangle and raw tables):
sudo ufw show raw

link: http://manpages.ubuntu.com/manpages/lucid/man8/ufw.8.html


Comments