Navegação no IPTables

**ghenri** · 14-03-2003

Olá pessoal,
configurei o iptables e nenhuma máquina na minha rede consegue navegar na porta 80. Neguei todas as entradas e depois liberei a porta 80. Segue o meu script...

#Iptables-1.2.5-3
#!/bin/bash
#

echo "Iniciando o IPTables..."
echo

##Limpa todas as regras
echo "Limpando as regras..."
/sbin/iptables -F
/sbin/iptables -t nat -F
echo

##Carrega os módulos
echo "Carregando novas regras..."
echo
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP

/sbin/iptables -A FORWARD -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

O que está errado?
Desde já agradeço a colaboração de todos.
[]´s,
Gustavo

wrochal · 14-03-2003

ola é facil,

adicione:

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe iptable_nat

/sbin/iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 53 -j ACCEPT

falow..

William da Rocha

wrochal@linuxit.com.br

www.linuxit.om.br

ICQ: 111752037

Linux User: 289392

[ Esta mensagem foi editada por: wrochal2002 em 14-03-2003 00:23 ]

Potiguar · 14-03-2003

Saudações pessoal estou de volta...

Como vc bloqueou tudo (INPUT, OUTPUT, FORWARD) deve liberar ao poucos as jains o que vai te dar um trabalho considerável. Acredito que vc esteja apenas querrendo compartilhar seu acesso a internet e pode criar uma solução mais prática e sem oferecer riscos a sua rede.

# Firewall
# Ativar roteamento
echo "1" > /proc/sys/net/ipv4/ip_forward

# Limpando as jains
/sbin/iptables -F
/sbin/iptables -t nat -F

#Carregando módulos p/ ftp "muito importante, o restante ele carrega automático.
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

# Bloqueio de Política só INPUT
/sbin/iptables -P INPUT DROP

# Bloqueio p/ ping
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP

# Bloqueio p/ ping of death
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Bloqueio p/ syn-flood
/sbin/iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

# Bloqueio p/ pacotes danificados
/sbin/iptables -A FORWARD -m unclean -j DROP

# Bloqueio de serviços padrões na LAN
/sbin/iptables -A FORWARD -p tcp -d 192.168.1.0/24 --dport 1:1024 -j DROP

# Liberando acesso p/ LAN
/sbin/iptables -A INPUT -s 192.168.1.0/24 -d "ip local do server" -i "interface da lan" -j ACCEPT

# Stateful Inspection
/sbin/iptables -A INPUT -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Mascaramento p/ NET
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

Vc ainda pode implementar várias opções para melhorar seu firewall.

Espero ter ajudado e boa sorte.

**ghenri** · 14-03-2003

Valeu pela ajuda pessoal.
Mas o meu problema é q os usuários estão usando o kazaa para baixar vídeos. Já configurei meu firewall para bloquear o kazaa, através de um tutorial q foi disponibilizado aqui no Underlinux. Mas não funciona porque eu não "dropei" o FORWARD... Sendo assim qdo "dropo" o FORWARD, ninguém mais navega... E preciso fazer isso porque o acesso à internet fica muito lento. Os usuários estão "detonando" meu link (tá muito lento).
[]´s,
Gustavo

Danilo_Montagna · 14-03-2003

dica..

deixe o seu FORWARD em DROP

e libere a navegacao por porta..

**ghenri** · 14-03-2003

Valeu, vou tentar isto...

**ghenri** · 14-03-2003

Pessoal,
continuo com problemas. Minhas estações não conseguem navegar ainda. Fiz este seguinte script.
#Firewall Matias
#Iptables-1.2.5-3
#!/bin/bash
#

echo "Iniciando o IPTables..."
echo

##Limpa todas as regras
echo "Limpando as regras..."
/sbin/iptables -F
/sbin/iptables -t nat -F
echo

##Carrega os módulos
echo "Carregando novas regras..."
echo
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

/sbin/iptables -P FORWARD DROP

/sbin/iptables -A FORWARD -s 192.168.1.0/24 -o eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.1.0/24 -o eth0 -p udp --dport 80 -j ACCEPT

/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

O que tem de errado nele?

Danilo_Montagna · 14-03-2003

cara.. vc nao ta habilitando o roteamento... e nao esta usando o modulo do iptables..

# Ativar roteamento
echo "1" > /proc/sys/net/ipv4/ip_forward

# Modulos de mascaramento
/sbin/modprobe iptable_nat

o NAT depende disso ae para repassar os pacotes entre as interfaces..

e mais.. a porta 80 nao usa o protoclo udp para tráfego outbound.. nao precisa dele

[ Esta mensagem foi editada por: Danilo_Montagna em 14-03-2003 15:20 ]

**mistymst** · 14-03-2003

Olha nao vou considerar modulos nem nada. so as linhas basicas.

# Regras bem simples a principio.

# FLush Rules
iptables -F

# Enforce default policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# NAT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

# Web 80
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 80 -j ACCEPT
# Web SSL 443
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 443 -j ACCEPT

# EOF

isso deve dar para quebrar um galho. sem muitas frescuras <IMG SRC="images/forum/icons/icon_smile.gif"> veja se funcionar.

**ghenri** · 14-03-2003

Pessoal e a novela continua. Nada de navegar...
O último script foi este...

# FLush Rules
iptables -F

/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

# Enforce default policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# NAT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

# Web 80
/sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 80 -j ACCEPT
# Web SSL 443
/sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 443 -j ACCEPT

Tópico: Navegação no IPTables

LinkBack

Ferramentas de Tópicos

Avalie Este Tópico