LinkBack URL
About LinkBacks- 19-11-2008 #1
- Data de Ingresso
- Oct 2007
- Localização
- Portugal
- Posts
- 83
- Reputação
- 40
duvida com regrabom dia, pessoal eu estou com um firewall e estou com uma duvida em uma regra, gostaria de uma ajuda, pois nao estou entendendo ela:
iptables -t nat -A POSTROUTING -s $IP_FIREWALL -d 0/0 -j MASQUERADE
O problema, e que, se eu tiro essa regra o firewall para de funcionar, nao deixando a navegacao e envio de email.
O firewall que esta rodando na maquina e esse:
#!/bin/sh
# variaveis
# Carrega os modulos necessarios
## Limpar Regras ##
iptables -F
iptables -Z
iptables -X
iptables -t nat -F
iptables -t filter -F
## Definindo politica default como drop ##
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
## Conexão estabelecida e relatada deve ser mantida ##
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
## Regras INPUT ##
# LIBERANDO O TRAFEGO DO INPUT NA LOOPBACK E REDE INTERNA #
iptables -A INPUT -i lo -j ACCEPT
iptables -t nat -A POSTROUTING -s $IP_FIREWALL -d 0/0 -j MASQUERADE
# postgrey
iptables -I INPUT -p tcp -m state --state NEW -s 127.0.0.1 --dport 60000 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -s $LOCALNET --dport 20:21 -j ACCEPT #FTP
iptables -A INPUT -p tcp -m state --state NEW -s $LOCALNET --dport 22 -j ACCEPT #SSH
iptables -A INPUT -p tcp -m state --state NEW -s $LOCALNET --dport 4022 -j ACCEPT #SSH
iptables -A INPUT -p tcp -m state --state NEW -s $LOCALNET --dport 23 -j ACCEPT #TELNET
iptables -A INPUT -p udp -m state --state NEW -s $LOCALNET --dport 23 -j ACCEPT #TELNET
iptables -A INPUT -p udp -m state --state NEW -s $LOCALNET --dport 53 -j ACCEPT #DNS
iptables -A INPUT -p tcp -m state --state NEW -s $LOCALNET --dport 53 -j ACCEPT #DNS
iptables -A INPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -s $LOCALNET --dport 110 -j ACCEPT #POP
iptables -A INPUT -p tcp -m state --state NEW -s $LOCALNET --dport 143 -j ACCEPT #IMAP
iptables -A INPUT -p tcp -m state --state NEW -s $LOCALNET --dport 5501 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -s $LOCALNET --dport 5502 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -s $LOCALNET --dport 5503 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -s $LOCALNET --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -s $LOCALNET --dport 5222 -j ACCEPT
# Liberando portas do firewall
iptables -A INPUT -p tcp -m state --state NEW -i $INET --dport 20:21 -j ACCEPT #FTP
iptables -A INPUT -p tcp -m state --state NEW -i $INET --dport 22 -j ACCEPT #SSH
iptables -A INPUT -p tcp -m state --state NEW -i $INET --dport 4022 -j ACCEPT #SSH
iptables -A INPUT -p tcp -m state --state NEW -i $INET --dport 80 -j ACCEPT #HTTP
iptables -A INPUT -p tcp -m state --state NEW -i $INET --dport 143 -j ACCEPT #IMAP
iptables -A INPUT -p tcp -m state --state NEW -i $INET --dport 5501 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -i $INET --dport 5502 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -i $INET --dport 5503 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -i $INET --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -i $INET --dport 5222 -j ACCEPT
## Regras FORWARD ##
# libera msn
iptables -A FORWARD -s 192.168.0.4 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.4 -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.11 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.11 -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.19 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.19 -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.3 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.3 -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.22 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.22 -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.43 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.43 -d loginnet.passport.com -j ACCEPT
#iptables -A FORWARD -s 192.168.0.44 -p tcp --dport 1863 -j ACCEPT
#iptables -A FORWARD -s 192.168.0.44 -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.14 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.14 -d loginnet.passport.com -j ACCEPT
# bloqueia MSN
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -p tcp -m state --state NEW -s $LOCALNET --dport 20:21 -j ACCEPT #FTP
iptables -A FORWARD -p tcp -m state --state NEW -s $LOCALNET --dport 22 -j ACCEPT #SSH
iptables -A FORWARD -p tcp -m state --state NEW -s $LOCALNET --dport 4022 -j ACCEPT #SSH
# regras para email
iptables -A FORWARD -p tcp --dport 25 -j DROP
IP_OF_MTA_HOST=200.175.55.18
iptables -A FORWARD -p tcp -s $IP_OF_MTA_HOST --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j LOG
iptables -A FORWARD -p tcp --dport 25 -j DROP
iptables -A FORWARD -p tcp -m state --state NEW -s $LOCALNET --dport 80 -j ACCEPT #HTTP
iptables -A FORWARD -p tcp -m state --state NEW -s $LOCALNET --dport 110 -j ACCEPT #POP
iptables -A FORWARD -p tcp -m state --state NEW -s $LOCALNET --dport 143 -j ACCEPT #IMAP
# Regra pra Outlook transformar Nome que ele possui no servoidor smtp e pop em um Ip: #
iptables -A FORWARD -p udp -s $LOCALNET -d $DNSP --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s $LOCALNET -d $DNSS --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s $DNSP --sport 53 -d $LOCALNET -j ACCEPT
iptables -A FORWARD -p udp -s $DNSS --sport 53 -d $LOCALNET -j ACCEPT
iptables -A FORWARD -j DROP
## Maquinas que nao passam pelo squid ##
iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.229 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.62 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.52 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.4 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.39 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.3 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.5 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.29 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.22 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.146 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.48 -p tcp --dport 80 -j ACCEPT
# Serviços que a máquina precisará redirecionar (Transparent proxy)
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp --syn --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --syn --dport 3128 -j DROP
iptables -t nat -A PREROUTING -i eth1 -d ! 200.201.174.0/24 \-p tcp --dport 80 -j REDIRECT --to-ports 3128
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -s 127.0.0.1 -p tcp --syn -j ACCEPT
- 19-11-2008 #2
- Data de Ingresso
- Aug 2006
- Localização
- Andaraí - Bahia
- Posts
- 2.313
- Posts de Blog
- 1
- Reputação
- 415
Veja com esta:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
■ Interface de saídaMikroTIK 1001 configurações
Consultoria remota e presencial.
Contato: mikrotikbahia@hotmail.com
75 8153-8417
Não respondo a dúvidas por MP, e-mail, MSN etc. O fórum existe para isso.
- 19-11-2008 #3
- Data de Ingresso
- Aug 2006
- Localização
- Andaraí - Bahia
- Posts
- 2.313
- Posts de Blog
- 1
- Reputação
- 415
Explicando sua regra:
iptables -t nat -A POSTROUTING -s $IP_FIREWALL -d 0/0 -j MASQUERADE
Seguinte: Esta regra faz com que apenas os ips que respondem pelo $IP_FIREWALL para qualquer destino seje masquerado, ou seja, tenha acesso a redes externas e o restante seje dropado. Esta regras é quem compartilha a internet.
Se não era isto que não estava entendendo, ignore este poste.
Falou amigo.
MikroTIK 1001 configurações
Consultoria remota e presencial.
Contato: mikrotikbahia@hotmail.com
75 8153-8417
Não respondo a dúvidas por MP, e-mail, MSN etc. O fórum existe para isso.
- 20-11-2008 #4
- Data de Ingresso
- Oct 2007
- Localização
- Portugal
- Posts
- 83
- Reputação
- 40
Era isso mesmo que eu queria saber.
Postado originalmente por Mr. RG 
Voce sabe me dizer por que se eu coloco o OUTPUT como DROP o DNS para de funcionar?
- Postado originalmente por beowulf
Se me permite explicar... vc estaria dropando todo o trafego de saída da rede..
Output = saída
Drop = Bloquear
Geralmente não se bloqueia a saída e sim a entrada.. o padrão é OUTPUT ACCEPT ou seja tudo liberado!
Abraços.Cristiano Landsmann - BLOG
Mudar tamanho cluster Vista
Balanceamento e Redundancia
Squid Níveis de Bloqueio
Agradecer não custa nada!
Tópicos Similares
duvida regra de firewall
Por lebadukk no fórum Proxy/NAT/FirewallRespostas: 4Último Post: 15-02-2006, 17:20Duvida em uma Regra de IPTABLES
Por wallacef no fórum SegurançaRespostas: 9Último Post: 10-01-2006, 17:41duvida sobre regra para syn flood
Por kelvin no fórum Proxy/NAT/FirewallRespostas: 3Último Post: 14-06-2005, 00:04Duvida com regra do iptables
Por aspenbr no fórum Proxy/NAT/FirewallRespostas: 5Último Post: 06-05-2005, 01:50Dúvida regra de iptables
Por oyama no fórum Proxy/NAT/FirewallRespostas: 2Último Post: 18-03-2005, 01:28
Visitantes encontraram esta pagina procurando por:
Nobody landed on this page from a search engine, yet!
Permissões de Postagem
- Você não pode iniciar novos tópicos
- Você pode enviar respostas
- Você não pode enviar anexos
- Você não pode editar suas mensagens
Marcadores