-
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
Eu coloquei no meu script o padrao do FORWARD em DROP, para tentar bloquear tudo e liberar apenas o nescessario. entao eu coloco regras para ACCEPT na 110 na 25 e na 80, nao funciona de jeito nenhum, fica tudo bloqueado. vou mostrar meu script. OBS: nao adianta colocar aqueles tutoriais de bloquear p2p daki da under nem da linuxit que nenhum deles funcionam.
#!/bin/sh
iptables -F
iptables -t nat -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
#REGRAS PADRAO
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
#iptables -A FORWARD -p tcp --dport 1214 -j DROP
#iptables -A FORWARD -p TCP --dport 1300:3500 -j DROP
#iptables -A FORWARD -s 0/0 -d 0/0 -j DROP
Nao sei pq esta assim me ajudem! <IMG SRC="images/forum/icons/icon27.gif">
-
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
tava logoff eu que postei.
-
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
Assim não adianta vc não faz regras de NAT ? ? ?
Cade suas regras de NAT
-
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
As regras de NAT estavam OK
o prob eh no FOWARD MESMO
iptables -t nat -A POSTROUTING -s 192.168.82.0/26 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -j MASQUERADE
eu fiz uma solução usando redirecionamento de portas com o prerouting e o postrouting, funcionou mais eu quero saber como faz colocando o DROP em padrao no FOWARD e ir abilitando as que eu quero.
-
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
Coloque esta regra no final. É para as requisições feitas da sua rede interna possam voltar...
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Espero ter ajudado.
[]´s,
Gustavo
-
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
essa regra funciona, mas fica tudo aberto ainda hehehe do tipo:
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Eu queria que somente 110, 53 e 80 pudessem passar. mas tudo passa ainda. <IMG SRC="images/forum/icons/icon27.gif">
help me!
-
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
-
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
coloco nessa regra do mstat o DROP?
-
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
ME ajudem plis!!!
Segue anexo todo meu rc.firewall
------------------------
#!/bin/sh
# Limpando as tabelas do iptables
iptables -F
iptables -t nat -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
echo "1" > /proc/sys/net/ipv4/ip_forward
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr
#REGRAS PADRAO
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# Regras TCP liberando portas para loopback
iptables -A INPUT -p tcp -s 127.0.0.1/255.0.0.0 -d 0/0 -j ACCEPT
# Regras TCP/UDP liberando portas para rede local 192.168.
#TCP
iptables -A INPUT -p tcp -s 192.168.82.0/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.82.64/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.82.128/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.82.192/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.79.0/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.79.64/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/30 -d 0/0 -j ACCEPT
#UDP
iptables -A INPUT -p udp -s 192.168.82.0/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.82.64/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.82.128/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.82.192/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.79.0/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.79.64/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.0.0/30 -d 0/0 -j ACCEPT
# Regras TCP/UDP liberando portas para rede 200.199.140.184/29
#TCP
iptables -A INPUT -p tcp -s 200.199.95.0/24 -d 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 200.199.88.0/24 -d 0/0 --dport 22 -j ACCEPT
# Regras TCP/UDP bloqueando portas
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 22 -j DROP
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 515 -j DROP
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 6000 -j DROP
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 3306 -j DROP
#iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 80 -j DROP
#iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 25 -j DROP
#iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 110 -j DROP
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 139 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 22 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 53 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 953 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 5454 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 515 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 6000 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 3306 -j DROP
#iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 80 -j DROP
#iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 25 -j DROP
#iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 110 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 137 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 138 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 161 -j DROP
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 143 -j DROP
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 993 -j DROP
#CONTROLE
#iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
#iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#PROTECAO
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -s 10.0.0.0/8 -i eth2 -j DROP
iptables -A INPUT -s 172.16.0.0/16 -i eth2 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -i eth2 -j DROP
#NAT
iptables -A POSTROUTING -t nat -s 192.168.80.0/24 -o eth2 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.0.0/30 -o eth2 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.82.0/26 -o eth2 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.82.64/26 -o eth2 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.82.128/26 -o eth2 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.82.192/26 -o eth2 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.79.0/26 -o eth2 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.79.64/26 -o eth2 -j MASQUERADE
# SNAT
iptables -t nat -A PREROUTING -p tcp -d 192.168.82.1 --dport 110 -j DNAT --to 200.185.109.50
iptables -t nat -A POSTROUTING -p tcp -s 200.185.109.50 --sport 110 -j SNAT --to 192.168.82.1
iptables -t nat -A PREROUTING -p tcp -d 192.168.82.2 --dport 110 -j DNAT --to 200.221.4.75
iptables -t nat -A POSTROUTING -p tcp -s 200.221.4.75 --sport 110 -j SNAT --to 192.168.82.1
iptables -t nat -A PREROUTING -p tcp -d 192.168.82.2 --dport 25 -j DNAT --to 200.221.4.40
iptables -t nat -A POSTROUTING -p tcp -s 200.221.4.40 --sport 25 -j SNAT --to 192.168.82.1
--to 192.168.82.4
echo "++++++++++++++++++++++++++++++++"
echo "+ FIREWALL CONFIGURADO +"
echo "++++++++++++++++++++++++++++++++"
Colocando o padrao do FOWARD em DROP nada passa, colocando aquela regra:
"iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT"
tudo passa :/ eu queria que só passe pela rede 110 25 e 53. <IMG SRC="images/forum/icons/icon27.gif">
alguem ai ja conseguiu fazer isso???
-
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
Apague a regra que deixa tudo passar e faca assim:
iptables -A FORWARD -p tcp -s sua_rede --dport porta -j ACCEPT
por exemplo:
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 80 -j ACCEPT
-
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
ReiserFS
nao sei se vc percebeu.. mais essa regra aqui de protecao..
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
isso deixa qualquer porta sobre o protocolo tcp seja aceita.. porem a unica coisa que ela ira fazer é limitar as aberturas de conexao em 1 vez por segundo..
tire essa regra que o resto ira funcionar como vc quer..
vc tem que saber como usar essas protecoes.. no seu script essa regra vai atrapalhar.. pois ele nao limita portas.. apenas aberturas de conexoes..
-
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
humm beleza vou tentar mas creio que nao vai pegar pq ja testei tirando essas protecoes ai. e colocando o que o psy falou, tipo antes estava assim com voce falou e tabem nao pegava, mas vou tentar
tipo mudar dakilo que voce falou psy para como esta agora
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
acho q nao muda muito mas vou tentar
vlw ai
-
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
pow nao rolou ainda,eu tentei algo diferente mas tb nao rolou saca isso:
colokei pra logar o foward e ver oq ta acontecendo:
iptables -A FORWARD -j LOG --log-prefix "FORWARD PACKETS:"
depois criei umas regras assim:
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
bom depois vi que eu tinha que liberar portas do src para comunicacao
iptables -A FORWARD -p tcp --sport 1:9999 -j ACCEPT
depois fechei o resto:
iptables -A FORWARD -p tcp --dport 1:24 -j DROP
iptables -A FORWARD -p tcp --dport 26:52 -j DROP
iptables -A FORWARD -p tcp --dport 54:109 -j DROP
iptables -A FORWARD -p tcp --dport 111:9999 -j DROP
o padrao do FORWARD em drop. iptables -P FORWARD DROP
bom ai eu fui testar em um pc cliente
WEB - Usa proxy do server OK
EMAIL - Usa SMTP do SERVER e o POP e um ip do server redirecionado para o pop na net OK
DNS - Nao resolve nome, mas nao tem pro pq o squid resolve.
MSN - KAZAA - Infelizmente essas bostas funcionaram.
colocando o FORWARD com padrao em ACCEPT o DNS funciona. mas nao vem em conta.
bom e no log mostra com ha conexoes nas portas que eu bloquiei! look:
May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth0 OUT=eth2 SRC=192.168.82.18 DST=64.247.112.101 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=8062 DF PROTO=TCP SPT=1439 DPT=1972 WINDOW=17520 RES=0x00 ACK FIN URGP=0
May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth2 OUT=eth0 SRC=64.247.112.101 DST=192.168.82.18 LEN=1500 TOS=0x00 PREC=0x00 TTL=105 ID=11857 DF PROTO=TCP SPT=1972 DPT=1439 WINDOW=17110 RES=0x00 ACK URGP=0
May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth0 OUT=eth2 SRC=192.168.82.18 DST=64.247.112.101 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=8063 DF PROTO=TCP SPT=1439 DPT=1972 WINDOW=17520 RES=0x00 ACK URGP=0
May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth2 OUT=eth0 SRC=64.247.112.101 DST=192.168.82.18 LEN=1500 TOS=0x00 PREC=0x00 TTL=105 ID=11859 DF PROTO=TCP SPT=1972 DPT=1439 WINDOW=17110 RES=0x00 ACK URGP=0
algo assim. nao aguento mais alguem me de uma luz de como bloquear esse kazaa lite filho de uma vaca!!!
-
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
ReiserFS,
Desculpa, mas na sua primeira pergunta vc falou q ñ adinta passar aqueles tutoriais para bloquear p2p. Deixa eu apenas lhe perguntar, vc já tentou essas regras para o Kaazar e o MSN:
Bloquear KaZaA:
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
Bloquear MSN Messenger:
iptables -A FORWARD -p TCP --dport 1863 -j REJECT
iptables -A FORWARD -d 64.4.13.0/24 -j REJECT
Espero ter ajudado!!!! <IMG SRC="images/forum/icons/icon_smile.gif">
-
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
cara.. eu aidna acho que tem alguam coisa de errado em alguma regra que vc ta fazendo..
eu nao aconselho a usar regras de SRC no forward... utilize-se de regras de stado de conexao.. sao bem mais seguras..
outra coisa... nao existe a necessidade de se DROPAR alguma coisa em uma politica padrao que o default já e DROP.. eu acho que ae esta o seu erro..
deve estar havendo inconsistencia de regras...
eu tenho um client que usa um esquema parecido com esse que vc quer manter.. e te garanto que nao passsa nada de P2P.. porem.. meu sistema de firewall usa conceitos diferentes...
-
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
pow manda ae tuas config do teu firewall pro meu e-mail. ou posta ai! [email protected]
plis!
-
IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-05-27 19:29, Speed wrote:
ReiserFS,
Desculpa, mas na sua primeira pergunta vc falou q ñ adinta passar aqueles tutoriais para bloquear p2p. Deixa eu apenas lhe perguntar, vc já tentou essas regras para o Kaazar e o MSN:
Bloquear KaZaA:
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
Bloquear MSN Messenger:
iptables -A FORWARD -p TCP --dport 1863 -j REJECT
iptables -A FORWARD -d 64.4.13.0/24 -j REJECT
Espero ter ajudado!!!! <IMG SRC="images/forum/icons/icon_smile.gif">
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
ja cara mas kazaa lite nao rola com essa regra <IMG SRC="images/forum/icons/icon27.gif">