firewall bloqueando saida
olá amigos, preciso de uma ajuda, to a mais de 3 dias tentando descobrir onde esta a regra que bloqueia saida de dados, por exemplo: tento acessar via ssh uma maquina externa não consigo, a mesma coisa com vnc e etc, segue abaixo meu firewall, obrigado a todos.
#!/bin/sh
#**************************************************
# ( IPTABLES ) |
# |
# Data.........: 31/01/2006 - 13:32 |
#**************************************************
#-------------------------------------------------*
# LIMPA TODAS AS REGRAS EXISTENTES |
#-------------------------------------------------*
iptables -F INPUT
iptables -F FORWARD
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
#-------------------------------------------------*
# BLOQUEIA TODOS OS PACOTES |
#-------------------------------------------------*
iptables -P INPUT DROP
iptables -P FORWARD DROP
#-------------------------------------------------*
# LIBERA LOOPBACK |
#-------------------------------------------------*
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
#------------------------------------------------------------*
# Aceita Tudo Para Maquinas Internas da Loja (quando 'eth0') |
#------------------------------------------------------------*
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
#-------------------------------------------------*
# Aceita Conexoes RELACIONADAS ou ESTABELECIDAS |
#-------------------------------------------------*
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#-------------------------------------------------*
# SSH |
#-------------------------------------------------*
# Interno
iptables -A INPUT -p TCP -s 192.168.0.0/24 --dport 22 -m state --state NEW -j ACCEPT
# loja1
iptables -A INPUT -p TCP -s 200.x.x.x --dport 22 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p TCP -s 0/0 --dport 22 -m state --state NEW -j ACCEPT
# loja2
iptables -A INPUT -p TCP -s 200.x.x.x --dport 22 -m state --state NEW -j ACCEPT
# loja3
iptables -A INPUT -p TCP -s 201.x.x.x --dport 22 -m state --state NEW -j ACCEPT
#-------------------------------------------------*
# PING |
#-------------------------------------------------*
# Libera ping para loja1
iptables -A INPUT -p ICMP -s 200.x.x.x -m state --state NEW -j ACCEPT
# Libera ping para loja2
iptables -A INPUT -p ICMP -s 200.x.x.x -m state --state NEW -j ACCEPT
# Libera ping para loja3
iptables -A INPUT -p ICMP -s 201.x.x.x -m state --state NEW -j ACCEPT
# Libera ping para MAQUINAS INTERNAS
iptables -A INPUT -p ICMP -s 192.168.0.0/24 -m state --state NEW -j ACCEPT
#-------------------------------------------------*
# CUPS |
#-------------------------------------------------*
iptables -A INPUT -p TCP -s 0/0 -d 0/0 --dport 631 -m state --state NEW -j ACCEPT
#-------------------------------------------------*
# SAMBA |
#-------------------------------------------------*
iptables -A INPUT -p TCP -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 139 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 139 -m state --state NEW -j ACCEPT
iptables -A INPUT -p UDP -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 137 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p UDP -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 137 -m state --state NEW -j ACCEPT
iptables -A INPUT -p UDP -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 138 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p UDP -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 138 -m state --state NEW -j ACCEPT
#-------------------------------------------------*
# NAT - Mascara Pacotes Para Sairem |
#-------------------------------------------------*
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -j MASQUERADE
# SPOOF
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# LIMITE DE CONEXOES
echo 30000 > /proc/sys/net/ipv4/ip_conntrack_max
#-------------------------------------------------*
# HABILITA COMPARTILHAMENTO DE INTERNET |
#-------------------------------------------------*
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
firewall bloqueando saida
Vc está em uma máquina da rede interna, e quer acessar outra máquina de fora?
Se for isto, vc não está fazendo o nat para sair.
firewall bloqueando saida
exatamente isso, tem como me ajudar ?
firewall bloqueando saida
Posso, claro!
Tudo depende da sua política, mas vamos supor....
Vamos declarar uma variáveis neste script:
#Endereço interno
ipin=192.168.1.5
#Endereço externo (lembre-se que pode ser um domínio, não necessáriamente um ip)
ipext=200.111.111.55
#Agora vamos fazer as regras
#Nat (estou considerando que vc está saindo por um ip variável, caso contrário use SNAT)
iptables -t nat -A POSTROUTING -s $ipin -d $ipext -p tcp --dport 22 -j MASQUERADE
iptables -A FORWARD -s $ipin -d $ipext -p tcp --dport 22 -j ACCEPT
#Agora liberaremos a volta:
iptables -A FORWARD -s $ipext -d $ipin -p tcp --sport 22 -j ACCEPT
Acredito que é o suficiente.
Se desejar valide os tipos de pacotes.
Para mais informações dá uma olhada:
http://focalinux.cipsga.org.br/guia/...w-iptables.htm
firewall bloqueando saida
só umas dúvidas :
#Endereço interno
ipin=192.168.1.5 -> este é o ip da maq que é servidor de internet ou da maquina na rede (terminal) ?
#Agora vamos fazer as regras
#Nat (estou considerando que vc está saindo por um ip variável, caso contrário use SNAT) -> meu ip é fixo então tenho que usar SNAT ? ]
obrigado, novamente !
firewall bloqueando saida
Citação:
Postado originalmente por mbyte
só umas dúvidas :
#Endereço interno
ipin=192.168.1.5 -> este é o ip da maq que é servidor de internet ou da maquina na rede (terminal) ?
#Agora vamos fazer as regras
#Nat (estou considerando que vc está saindo por um ip variável, caso contrário use SNAT) -> meu ip é fixo então tenho que usar SNAT ? ]
obrigado, novamente !
ipin é o ip da máquina que você vai usar para acessar a outra. Coloquei isto pois sou meio paranóico, mas se você quiser pode liberar para a rede interna. É só não definir -s na ida, e -d na volta (ou se preferir, eu faria assim: -d ! ip_servidor na volta, para não permitir conexões ao servidor desta máquina).
Sim, vc terá que usar SNAT, dá uma olhada no link que lhe enviei que é o melhor material sobre iptables que eu conheço.
firewall bloqueando saida
então vai ficar assim :
# Entrada :
iptables -t nat -A POSTROUTING -d $ipext -p tcp --dport 22 -j MASQUERADE
iptables -A FORWARD -d $ipext -p tcp --dport 22 -j ACCEPT
#Agora liberaremos a volta:
iptables -A FORWARD -s $ipext -p tcp --sport 22 -j ACCEPT
ok ?
firewall bloqueando saida
Citação:
Postado originalmente por mbyte
então vai ficar assim :
# Entrada :
iptables -t nat -A POSTROUTING -d $ipext -p tcp --dport 22 -j MASQUERADE
iptables -A FORWARD -d $ipext -p tcp --dport 22 -j ACCEPT
#Agora liberaremos a volta:
iptables -A FORWARD -s $ipext -p tcp --sport 22 -j ACCEPT
ok ?
Sim, mas não sei se MASQUERADE funciona bem com ip_fixo. Dá uma olhada na documenteção.
firewall bloqueando saida
blz, muito obrigado, vou estudar, só posso desligar o servidor a noite, até lá vou estudar o dia inteiro, me desculpe mais só vou poder te contar se deu certo amanhã, ok ? e mais uma vez muito obrigado pela atenção !
Nelson
obs.: se alguem mais tiver alguma idéia, será bem vinda !!!
firewall bloqueando saida
Citação:
Postado originalmente por edmafer
Citação:
Postado originalmente por mbyte
então vai ficar assim :
# Entrada :
iptables -t nat -A POSTROUTING -d $ipext -p tcp --dport 22 -j MASQUERADE
iptables -A FORWARD -d $ipext -p tcp --dport 22 -j ACCEPT
#Agora liberaremos a volta:
iptables -A FORWARD -s $ipext -p tcp --sport 22 -j ACCEPT
ok ?
Sim, mas não sei se MASQUERADE funciona bem com ip_fixo. Dá uma olhada na documenteção.
é não deu certo, deve ser por conta do : MASQUERADE
firewall bloqueando saida
Dá uma olhada em SNAT, deve resolver o seu problema.
firewall bloqueando saida
