-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
Pessoal, eu nao entendo, deixo o Policiamento FORWARD com DROP , nao libero nada no FORWARD, mas mesmo assim funciona tudo !
IF_INTERNA="eth0"
IF_EXTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
coloquei isso acima para ter uma idéia...
Está funcionando tudo normal a internet com isso.
Nem adianta eu digitar isso para liberar o navegado~r
iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
Não sei o motivo, mas está liberando tudo mesmo como DROP.
Alguém que manda bem em iptables pode me dar uma força ?
Muito Obrigado
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
Tente por
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
antes de
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
pra ficar assim:
IF_INTERNA="eth0"
IF_EXTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
funciona da mesma maneira :cry:
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
amigo nao boa...
pra que vc. quer esse tipo de regras ?
se na verdade ele só esta compartilhando a rede ?
acho melhor vc. colocar DROP nas regras e refazer o seu firewall
assim vc controla melhor a saida e entrada dos seus pacotes ok ?
um grande abraço e se precisar de alguma ajuda
é só msn-me
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
Luzumba Obrigado por sua dedicação, não posso acessar o msn agora.
Na verdade essa regra eu só gostaria para testar, porque fiquei meio ENVOCADO, seria a palavra certa.
Não entendo porque mesmo eu mandando drop na FORWARD, as maquinas da rede continuam navegando normalmente.
Obrigado.
-
Politicas do firewall
cara eu sempre faço assim e funciona: deixo a politica como DROP no INPUT, FORWARD e tb na cadeia nat POSTROUTING, como no ex:
IPT='/sbin/iptables'
LANRANGE='192.168.0.0/24'
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING DROP
$IPT -t nat -P OUTPUT ACCEPT
depois disso vc faz o forward e o nat apenas nas portas que vc deseja, observe o exemplo dessa operação na porta 80:
$IPT -A FORWARD -$LANRANGE -p tcp --dport 80 -j ACCEPT
$IPT -t nat -A POSTROUTING -s $LANRANGE -p tcp --dport 80 -j MASQUERADE
entendido? qualquer coisa posta ai.. flw
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
também não funcionou.
Se fecho o POSTROUTING não funciona nada nem liberando.
Grato
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
Po será que ninguém sabe porque o script abaixo funciona a internet normalmente ?
Código :
#!/bin/bash
IF_INTERNA="eth0"
IF_EXTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
#iptables -t filter -A INPUT -i lo -j ACCEPT
#iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
-
firewall
acho q ja descobri oq acontece ai... vc ta colocando DROP no policiamento FORWARD, porem mais abaixo esta dizendo pra liberar todos os estados NEW,ESTABLHISHED,RELATED no FORWARD.. assim funciona mesmo, pois qualquer pacote com estado novo vai passar batido...
o ideal seria vc colocar a politica DROP, liberar a porta desejada, e liberar apenas os estados ESTABLISHED,RELATED.. como no ex abaixo:
# variavies #
IPT='/sbin/iptables'
REDE='192.168.0.0/24'
# Policiamento #
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
# abrir portas #
$IPT -A FORWARD -$REDE -p tcp --dport 80 -j ACCEPT
# regras para estado das conexoes #
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
agora deve funcionar cara, mas tem q liberar outras portas, uma das mais importantes é o DNS (porta 53 tcp e udp )... senao deve ser algum bug no seu iptables.... tente atualizar ele tb.. faz o teste ai e diz se funfou...
faloww.
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
realmente eu tirei e não foi mais a internet.
Ficou assim
Código :
#!/bin/bash
IF_INTERNA="eth0"
IF_EXTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
iptables -P FORWARD DROP
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
Só que agora para liberar a porta 80 nao foi...
Já to doido com isso.
seu comando
Código :
$IPT -A FORWARD -$REDE -p tcp --dport 80 -j ACCEPT
não foi.
Obrigado
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
ficou assim o código
Código :
#!/bin/bash
IF_EXTERNA="eth0"
IF_INTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
iptables -P FORWARD DROP
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
mas não navega ainda.
Obrigado
-
firewall
Amigo libere essas portas (tcp e udp)
21,25,53,80,110,443
que tipo de conexao é a sua? adsl, radio, discada?
da maquina linux (o router) vc consegue pingar e navegar normal?
vc tem msn, icq, algo assim... pra gente ir testando em "tempo real"?
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
consigo do linux tudo normal...
-
firewall
poste aki o resultado desses dois comandos:
iptables -L
iptables -t nat -L
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
tentei liberar não da certo... o dns é só o protocolo udp também
Era pra funcionar
o firewall ficou assim
Código :
#!/bin/bash
IF_EXTERNA="eth0"
IF_INTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
iptables -P FORWARD DROP
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
mas não navega, to ficando doido já
-
firewall
baixa esse script e da uma analisada... esse é o script q eu uso em muitos clientes e funciona sem problemas.
http://carrossa.topcities.com/linux/paredao.sh
testa ai e me fala
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
não deu para acessar o site
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
Muda o seu script dessa forma...........
#!/bin/bash
IF_EXTERNA="eth0"
IF_INTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
=> iptables -P FORWARD DROP
=> iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
=> iptables -A INPUT -i lo -j ACCEPT
=> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
### Pense bem se precisa (abra p um grupo de máquinas só e limitando a porta)
# iptables -A INPUT -i $IF_INTERNA -j ACCEPT
=> iptables -A FORWARD -i $IF_EXTERNA -m state --state NEW,INVALID -j DROP
=> iptables -A FORWARD -i $IF_INTERNA -o $IF_EXTERNA -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
=> iptables -A FORWARD -i $IF_INTERNA -m multiport -p tcp --dport 80,443,8080,119,110,25 -j ACCEPT
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
mas o que tem de errado no meu script que nao funciona :toim: ?
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
esse script acima, apresenta o mesmo erro...
não funciona.
Grato
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
Posta a saída para
iptables -nL FORWARD
e
iptables -t nat -nL
Citação:
Postado originalmente por Anonymous
esse script acima, apresenta o mesmo erro...
não funciona.
Grato
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
Ops... já vi o erro no script anterior... muda o state do FORWARD
iptables -A FORWARD -o $IF_INTERNA -m state --state ESTABLISHED,RELATED -j ACCEPT
Isto deve resolver
Citação:
Postado originalmente por Anonymous
esse script acima, apresenta o mesmo erro...
não funciona.
Grato
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
realmente funcionou...
Mas CRASH2k, porque esse script não funcionou:
Código :
#!/bin/bash
IF_EXTERNA="eth0"
IF_INTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_INTERNA -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
-
firewall
mesmo parecendo nao ter nada a ver, tenta mudar os ips de rede da sua maquina Linux pra uma das faixas.. esse sua faixa 172.0.0.0/24 nunca vi uso dela em redes locais pequenas...:
use uma dessas:
10.0.0.0/8
172.16.0.0/16
192.168.0.0/24
use o script abaixo pra ver se funciona
# variavies #
IPT='/sbin/iptables'
REDE='192.168.0.0/24'
# Policiamento #
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
# abrir portas #
$IPT -A INPUT -s $REDE -p tcp --dport 22 -j ACCEPT # exemplo se vc usa ssh
$IPT -A FORWARD -s $REDE -p tcp --dport 80 -j ACCEPT
$IPT -A FORWARD -s $REDE -p udp --dport 53 -j ACCEPT
# regras para estado das conexoes #
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# fazendo nat #
$IPT -t nat -A POSTROUTING -s $REDE -j MASQUERADE
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
Para ficar mais legivel
Assim funcionou
Código :
#!/bin/bash
IF_EXTERNA="eth0"
IF_INTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $IF_INTERNA -j ACCEPT
#iptables -A FORWARD -i $IF_EXTERNA -m state --state NEW,INVALID -j DROP
iptables -A FORWARD -o $IF_INTERNA -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -m multiport -p tcp --dport 80,443,8080,119,110,25 -j ACCEPT
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
Mas assim não funciona
Código :
#!/bin/bash
IF_EXTERNA="eth0"
IF_INTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_INTERNA -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
Alguém sabe o motivo ?
Somente colocando esse -m state ... etc... vai funcionar ?
Obrigado
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
É que o "state" no FORWARD garante o retorno dos pacotes a sua rede local (desde que a conexão já esteja estabelecida ou reincidente). Da forma que estava vc só permitia no sentido "rede local -> internet", mas não tinha nada tratando o retorno.
Citação:
Postado originalmente por Anonymous
realmente funcionou...
Mas CRASH2k, porque esse script não funcionou:
Código :
#!/bin/bash
IF_EXTERNA="eth0"
IF_INTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_INTERNA -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
então não tem como fazer isso, sem usar o -m state ?
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
O negócio é que vc precisa tratar o retorno do pacote, e se vc usar um controle baseado em estados de conexão melhor ainda.
Mas, poderia ter feito o retorno assim:
iptables -A FORWARD -o $IF_INTERNA -m multiport -p tcp --sport 80,443,8080,110,25,119 -j ACCEPT
iptables -A FORWARD -o $IF_INTERNA -p udp --sport 53 -j ACCEPT
O negócio é o retorno. Só q trabalhar com um firewall stateful é mais seguro.
Citação:
Postado originalmente por Anonymous
então não tem como fazer isso, sem usar o -m state ?
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
Entendi, quando eu troquei para sport, o meu primeiro script funcionou
Vou procurar algo bom para ler sobre o iptables, excplicando como funciona o sport, e esse -m.
Mas fica aqui, o meu Muito Obrigado a todos que me ajudaram
:clap: :clap:
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
ah, para complementar a porta 53 nem liberei e funcionou...
Mas fechei a 80 para ver o que iria acontecer, e bloqueou perfeitamente.
valeu
-
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
O Negocio é verificar o estado da conexao mesmo porque com o meu script fiz uns testes e liberou tudo.
Mas com estado está funcionando perfeitamente :clap: