Beleza Sérgio, vou tentar o que você sugeriu, se der certo eu aviso.
Se não der um continuo enchendo o saco de vocês, blz ?? :D
Versão Imprimível
Beleza Sérgio, vou tentar o que você sugeriu, se der certo eu aviso.
Se não der um continuo enchendo o saco de vocês, blz ?? :D
Sérgio, blz ?
Seguinte, segui suas intruções de testar regra a regra e achei onde está travando. Abaixo segue o trecho em que as estações param de navegar:
--------------------------- Inicio regras -----------------------------------------
##### Chain FORWARD #####
## Permite redirecionamento de conexoes entre as interfaces locais. ##
## Qualquer trafego vindo/indo para outras interfaces serah bloqueada ##
iptables -A FORWARD -d 192.168.1.0/24 -i eth0 -o eth2 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -i eth2 -o eth0 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
iptables -A FORWARD -j DROP
----------------------------- Fim regras ------------------------------------------
O comando em negrito é que está travando a navegação nas estações.
Ele é necessário ou posso excluir ele das minhas regras ?? Se eu exclui-lo pode dar algum problema futuramente ?? Qual seria ?
O que você sugere que eu faça ?
Para deixar o firewall funcionando eu comentei essa linha...
tenta essa
iptables -A INPUT -i ppp0 -s ip-do-resolv.conf -p udp -j ACCEPT
como aqui eh velox, eu coloquei o -i e o ppp0,
e o -s vc coloca o ip do que ta no arquivo que eh /etc/resolv.conf que o ip do dns de fora
espero ter ajudado!!
Você não precisa da regra iptables -A FORWARD -j DROP já que definiu no começo do firewall a Politica do FORWARD para DROP ( iptables -P FORWARD -j DROP ), seguinte eu não vi declarado as chains syn-chain e ping-chain, eu particularmente não crio novas chains , as que tem já são suficiente, outro coisa suas regras de PREROUTING com ação de SNAT não são necessárias já que vc está com a regra iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE, que por sinal não precisa por -s 192.168.0.0/24 se for pra colocar coloque -s 192.168.0.0/16 por causa das duas redes, outra -i 200.x.x.x não está correto, deveria ser -d 200.x.x.x, tire também das regras de FORWARD os -i e -o, depois que estiver funcionando ai você testa, definir interface de entrada e saida é bom depois que vc logo todo trafego e ve por onde sai e entra e por fim vou dar uma olhada melhor
OBS: tente usar o /etc/sysctl.conf para definir as opções de ip_forward e rp_filter é mais fácil.
Um abraço.
josiel
Valeu ai pra todo mundo que de alguma maneira contribuiu para sanar as minhas dúvidas (Sergio, felco, Brenno, josiel, etc), brigadão galera!!
O firewall está aparentemente funcionando.. agora preciso testar o direcionamento das portas 80 e 53 pro meu server http/dns...
Vamos ver.. hehehehe.. se eu enroscar eu continuo enchendo o saco de vocês blz ?