como liberar acesso a porta 80 do firewall??

Caros nao estou conseguindo navegar, estou no propria maquina firewall...

Minha regra ta a seguinte, ja tentei de quase td...:

Código :

---

#!/bin/bash
#insmod ip_conntrack_ftp
#insmod ip_nat_ftp
 
# Limpa tabela
iptables -F
 
# Fecha tudo
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
# Proteção contra ping suspeito
iptables -A FORWARD -m unclean -j DROP
 
# Contra ping
iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
 
# Contra ping of death
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
 
# Contra syn-floods
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
 
# Contra port scanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 1/s -j ACCEPT
 
# Mascaramento
iptables -t nat -A POSTROUTING -o eth+ -p tcp --dport 80 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
 
# Liberando portas
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p udp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

---

O que esta errado??

A ordem.
Coloque as regras de mascaramento por último no script.


Sds,

Citação:

---

Postado originalmente por karfax

A ordem.
Coloque as regras de mascaramento por último no script.


Sds,

---

Ainda assim nao consigo navegar da maquina firewall, as estações estao OK, é a maquina firewall q nao navega...

Caro me explica uma coisa, no q esta regra de mascaramento implica na ordem??

Grato

Ola....

Deixe a política OUTPUT como:

iptables -P OUTPUT ACCEPT

que são os pacotes partindo do seu pc firewall

t+

Citação:

---

Postado originalmente por bauer

Ola....

Deixe a política OUTPUT como:

iptables -P OUTPUT ACCEPT

que são os pacotes partindo do seu pc firewall

t+

---

caro nao tem outra forma de liberar só a porta?

Citação:

---

Postado originalmente por dB

Citação:

---

Postado originalmente por bauer

Ola....

Deixe a política OUTPUT como:

iptables -P OUTPUT ACCEPT

que são os pacotes partindo do seu pc firewall

t+

---

caro nao tem outra forma de liberar só a porta?

---

Ah, acabei de tentar como vc havia escrito mas não navegou, só funciona INPUT ACCEPT e OUTPUT ACCEPT, mas eu gostaria de liberar somente as portas q eu usarei...

Grato

coloca essa regra aqui no seu firewall


#Liberando HTTP
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT

Ola

Deixe a politica OUTPUT como ACCEPT... e inclua nas suas politicas de INPUT a seguinte linha:

iptables -A INPUT -i lo -j ACCEPT

t+

Citação:

---

Postado originalmente por bouncer

coloca essa regra aqui no seu firewall


#Liberando HTTP
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT

---

Com esta regra vai liberar a porta acesso na porta 80 do seu server....

faça:

iptables -A INPUT -i lo -j ACCEPT

vai liberar o INPUT para o loopback apenas e vai resolver o seu problema... naum comprometendo seu firewall... o OUTPUT o padrão geralmente utilizado é o ACCEPT mesmo...

Caros fiz o seguinte e deu certo...

Código :

---

# Fecha tudo
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
# Aceita os pacotes que realmente devem entrar
iptables -A INPUT -i ! eth0 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

---

Obrigado pelas dicas...

Tenho mais uma dúvida, como faço pra bloquear sites tanto partindo do firewall como passando por ele, por exemplo...

http://www.qualquercoisa.com.br/sei-...isa/index.html
www.site.com.br


Grato

Tem que usar um Proxy, pois o Firewall não "olha" os dados do pacote.

O pessoal usa Bastante o Squid, que nada mais é do que um Firewall de Aplicação.

Funciona Mto Bem.

proxy transparente mais sarg ...

aee sim você consegue ver o que a turma acessa e bloquear

ah, sim sobre o squid eu ja uso, e sei q é mais eficiente, mas eu gostaria de saber se tem como bloquear sites pelo firewall acessados apartir da maquina firewall...


grato...

Assim:

Código :

---

# iptables -A FORWARD -d [url]www.uol.com.br[/url] -j DROP
# iptables -A OUTPUT -d [url]www.uol.com.br[/url] -j DROP

---

Resolve teu problema. A linha de cima bloqueia para os usuários das estações e a linha debaixo para a máquina servidor, mas definitivamente filtrar isso pelo Squid é melhor...


Abraços!

Citação:

---

Postado originalmente por xstefanox

Assim:

Código :

---

# iptables -A FORWARD -d [url]www.uol.com.br[/url] -j DROP
# iptables -A OUTPUT -d [url]www.uol.com.br[/url] -j DROP

---

Resolve teu problema. A linha de cima bloqueia para os usuários das estações e a linha debaixo para a máquina servidor, mas definitivamente filtrar isso pelo Squid é melhor...


Abraços!

---

Quanto ao squid com certeza é melhor... Obrigado....

Ah, mais uma duvida, e subpaginas tais com www.uol.com.br/sexo por exemplo

Pra subpaginas usa proxy. (squid)

Quanto a ordem das regras que voce perguntou, se voce bloqueia tudo, e embaixo poem uma regra pra liberar, a que vai valer é a de cima, e ficara tudo bloqueado, portanto se voce quiser liberar alguma coisa, ponha a regra no topo do script.

Caro colega coloque as regras de acesso, e o nat primeiro, e depois vc fecha o que você não quer, sacou, ou seja verifique a ordem da sua regra.

Citação:

---

Postado originalmente por dB

Caros nao estou conseguindo navegar, estou no propria maquina firewall...

Minha regra ta a seguinte, ja tentei de quase td...:

Código :

---

#!/bin/bash
#insmod ip_conntrack_ftp
#insmod ip_nat_ftp
 
# Limpa tabela
iptables -F
 
# Fecha tudo
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
# Proteção contra ping suspeito
iptables -A FORWARD -m unclean -j DROP
 
# Contra ping
iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
 
# Contra ping of death
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
 
# Contra syn-floods
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
 
# Contra port scanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 1/s -j ACCEPT
 
# Mascaramento
iptables -t nat -A POSTROUTING -o eth+ -p tcp --dport 80 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
 
# Liberando portas
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p udp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

---

O que esta errado??

---