iptables-onde estou errando nas regras?
Ola pessoal, estou tentando acertas essas regras de iptables mas não estou conseguindo e venho aqui pedir humildemente a ajuda de voces..
em um cliente meu que possui servidor Linux como firewall e compartilhamento de internet eu conecto nos terminais através do VNC, mas surgiu um problema em 1 terminal onde o usuário instalou vários programas que nao devia (Kazaa,ICQ,Mirc,MSN) e o dono da empresa pediu pra mim bloquear isso no servidor..
a minha idéia foi, no iptables eu dou um DROP no FORWARD, aparentemente ele funcionou...
coloquei mais ou menos assim
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Code:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><PRE>
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 110 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 443 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 5906 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp -j DROP
</PRE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
a idéia foi liberar portas de email e SSL, e a porta 5906 que é a porta que esse computador recebe o VNC e no final o DROP no restante.
pra mim poder se conectar do escritorio aqui no cliente tem essas regras que vem antes das regras de cima
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Code:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><PRE>
iptables -t filter -A FORWARD -s $MEU_IP -p tcp -d $IP_DO_SERVIDOR_DELES --dport 5906 -j ACCEPT
iptables -t nat -A PREROUTING -s $MEU_IP -p tcp --dport 5906 -j DNAT --to 192.168.1.12:5906
</PRE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
isso vem antes dos FORWARDS
ae que surge o problema
na ultima linha do FORWARD tem o -j DROP, se eu descomentar essa linha, aqui do escritorio eu conecto no VNC perfeito, caso eu descomento essa linha eu nao consigo conectar no VNC
eu teoricamente liberei a porta certa 5906 e mesmo assim nao conecta
alguem dica?
obrigado
iptables-onde estou errando nas regras?
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-07-17 16:57, Anonymous wrote:
Ola pessoal, estou tentando acertas essas regras de iptables mas não estou conseguindo e venho aqui pedir humildemente a ajuda de voces..
em um cliente meu que possui servidor Linux como firewall e compartilhamento de internet eu conecto nos terminais através do VNC, mas surgiu um problema em 1 terminal onde o usuário instalou vários programas que nao devia (Kazaa,ICQ,Mirc,MSN) e o dono da empresa pediu pra mim bloquear isso no servidor..
a minha idéia foi, no iptables eu dou um DROP no FORWARD, aparentemente ele funcionou...
coloquei mais ou menos assim
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Code:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><PRE>
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 110 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 443 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 5906 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp -j DROP
</PRE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
a idéia foi liberar portas de email e SSL, e a porta 5906 que é a porta que esse computador recebe o VNC e no final o DROP no restante.
pra mim poder se conectar do escritorio aqui no cliente tem essas regras que vem antes das regras de cima
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Code:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><PRE>
iptables -t filter -A FORWARD -s $MEU_IP -p tcp -d $IP_DO_SERVIDOR_DELES --dport 5906 -j ACCEPT
iptables -t nat -A PREROUTING -s $MEU_IP -p tcp --dport 5906 -j DNAT --to 192.168.1.12:5906
</PRE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
isso vem antes dos FORWARDS
ae que surge o problema
na ultima linha do FORWARD tem o -j DROP, se eu descomentar essa linha, aqui do escritorio eu conecto no VNC perfeito, caso eu descomento essa linha eu nao consigo conectar no VNC
eu teoricamente liberei a porta certa 5906 e mesmo assim nao conecta
alguem dica?
obrigado
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
Caro Amigo,
Não sei se as suas regras estão mesmo nesta ordem (iptables -L listara a ordem) mas vc provavelmente tem que habilitar a maquina de estados ( -m state --state ESTABLISHED, RELATED) antes do DROP para que uma vez conectado ao servidor VNC os seus pacotes irao e virao sem problemas.
Bye,
[email protected]
iptables-onde estou errando nas regras?
Bom supondo que a sua intencao eh bloquear tudo no final porque voce nao coloca a default policy como DROP e entao vai liberando.
iptables -P FORWARD DROP
desta maneira voce so ira fazer os accepts <IMG SRC="images/forum/icons/icon_smile.gif">
iptables-onde estou errando nas regras?
valeu pela ajuda
tentei deixar como default DROP mas ainda assim nao funcionou
sobre usar -m eu nao sei usar, procurei aqui no underlinux, no iptables.underlinux e nao achei nada a respeito dele
como eu uso esse -m pra deixar established a conexão depois que eu conectei? (acho que deve ser esse o problema)
obrigado
iptables-onde estou errando nas regras?
nao funcionou pelo seguinte..
vc deu um DROP no FORWARD.. e nao liberou uma regra de passagem de pacotes vidno do seu ip na internet para essa maquina...
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 5906 -j ACCEPT
conforme vc pode ver na regra acima.. vc so liberou o trafego que sai dessa maquina (-s) para fora da rede interna.. e nao é isso que a gente precisa aqui.. pois na verdade,, essa maquina nao precisa acessar pcanywhere de fora da rede.. e sim.. ela que precisa ser acessada..
faça essas regras aqui.. e deixe seu FORWARd em DROP.. que vai funcionar certinho..
IPTABLES -A FORWARD -p tcp -i $EXT_IF -d 192.168.1.12 --dport 5906 -j ACCEPT
IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
EXT_IF = interface externa do firewall
falow
[ Esta mensagem foi editada por: Danilo_Montagna em 18-07-2003 13:54 ]