Policiamento FORWARD é drop, mas mesmo assim funciona tudo

Pessoal, eu nao entendo, deixo o Policiamento FORWARD com DROP , nao libero nada no FORWARD, mas mesmo assim funciona tudo !

IF_INTERNA="eth0"
IF_EXTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"

echo "1"> /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle

iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP





coloquei isso acima para ter uma idéia...
Está funcionando tudo normal a internet com isso.

Nem adianta eu digitar isso para liberar o navegado~r
iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT

Não sei o motivo, mas está liberando tudo mesmo como DROP.

Alguém que manda bem em iptables pode me dar uma força ?
Muito Obrigado

Tente por

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

antes de

iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

pra ficar assim:

IF_INTERNA="eth0"
IF_EXTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"

iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

funciona da mesma maneira :cry:

amigo nao boa...

pra que vc. quer esse tipo de regras ?
se na verdade ele só esta compartilhando a rede ?
acho melhor vc. colocar DROP nas regras e refazer o seu firewall
assim vc controla melhor a saida e entrada dos seus pacotes ok ?

um grande abraço e se precisar de alguma ajuda

é só msn-me

Luzumba Obrigado por sua dedicação, não posso acessar o msn agora.
Na verdade essa regra eu só gostaria para testar, porque fiquei meio ENVOCADO, seria a palavra certa.

Não entendo porque mesmo eu mandando drop na FORWARD, as maquinas da rede continuam navegando normalmente.


Obrigado.

cara eu sempre faço assim e funciona: deixo a politica como DROP no INPUT, FORWARD e tb na cadeia nat POSTROUTING, como no ex:
IPT='/sbin/iptables'
LANRANGE='192.168.0.0/24'

$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING DROP
$IPT -t nat -P OUTPUT ACCEPT

depois disso vc faz o forward e o nat apenas nas portas que vc deseja, observe o exemplo dessa operação na porta 80:

$IPT -A FORWARD -$LANRANGE -p tcp --dport 80 -j ACCEPT
$IPT -t nat -A POSTROUTING -s $LANRANGE -p tcp --dport 80 -j MASQUERADE

entendido? qualquer coisa posta ai.. flw

também não funcionou.

Se fecho o POSTROUTING não funciona nada nem liberando.

Grato

Po será que ninguém sabe porque o script abaixo funciona a internet normalmente ?

Código :

---

#!/bin/bash
IF_INTERNA="eth0"
IF_EXTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
 
echo "1"> /proc/sys/net/ipv4/ip_forward
 
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
 
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
 
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
 
#iptables -t filter -A INPUT -i lo -j ACCEPT
#iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT
 
 
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

---

acho q ja descobri oq acontece ai... vc ta colocando DROP no policiamento FORWARD, porem mais abaixo esta dizendo pra liberar todos os estados NEW,ESTABLHISHED,RELATED no FORWARD.. assim funciona mesmo, pois qualquer pacote com estado novo vai passar batido...
o ideal seria vc colocar a politica DROP, liberar a porta desejada, e liberar apenas os estados ESTABLISHED,RELATED.. como no ex abaixo:

# variavies #
IPT='/sbin/iptables'
REDE='192.168.0.0/24'

# Policiamento #
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT

# abrir portas #
$IPT -A FORWARD -$REDE -p tcp --dport 80 -j ACCEPT

# regras para estado das conexoes #
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

agora deve funcionar cara, mas tem q liberar outras portas, uma das mais importantes é o DNS (porta 53 tcp e udp )... senao deve ser algum bug no seu iptables.... tente atualizar ele tb.. faz o teste ai e diz se funfou...
faloww.

realmente eu tirei e não foi mais a internet.
Ficou assim

Código :

---

#!/bin/bash
IF_INTERNA="eth0"
IF_EXTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
 
echo "1"> /proc/sys/net/ipv4/ip_forward
 
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
 
iptables -P FORWARD DROP
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
 
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
 
 
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

---

Só que agora para liberar a porta 80 nao foi...
Já to doido com isso.


seu comando

Código :

---

$IPT -A FORWARD -$REDE -p tcp --dport 80 -j ACCEPT

---

não foi.


Obrigado

ficou assim o código

Código :

---

#!/bin/bash
IF_EXTERNA="eth0"
IF_INTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
 
echo "1"> /proc/sys/net/ipv4/ip_forward
 
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
 
iptables -P FORWARD DROP
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
 
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT
 
iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
 
 
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

---

mas não navega ainda.

Obrigado

Amigo libere essas portas (tcp e udp)
21,25,53,80,110,443

que tipo de conexao é a sua? adsl, radio, discada?
da maquina linux (o router) vc consegue pingar e navegar normal?
vc tem msn, icq, algo assim... pra gente ir testando em "tempo real"?

consigo do linux tudo normal...

poste aki o resultado desses dois comandos:
iptables -L
iptables -t nat -L

tentei liberar não da certo... o dns é só o protocolo udp também

Era pra funcionar

o firewall ficou assim

Código :

---

#!/bin/bash
IF_EXTERNA="eth0"
IF_INTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
 
echo "1"> /proc/sys/net/ipv4/ip_forward
 
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
 
iptables -P FORWARD DROP
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
 
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT
 
iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
 
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

---

mas não navega, to ficando doido já

baixa esse script e da uma analisada... esse é o script q eu uso em muitos clientes e funciona sem problemas.
http://carrossa.topcities.com/linux/paredao.sh
testa ai e me fala

não deu para acessar o site

Muda o seu script dessa forma...........

#!/bin/bash
IF_EXTERNA="eth0"
IF_INTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"

echo "1"> /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat

=> iptables -P FORWARD DROP
=> iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

=> iptables -A INPUT -i lo -j ACCEPT
=> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

### Pense bem se precisa (abra p um grupo de máquinas só e limitando a porta)
# iptables -A INPUT -i $IF_INTERNA -j ACCEPT

=> iptables -A FORWARD -i $IF_EXTERNA -m state --state NEW,INVALID -j DROP
=> iptables -A FORWARD -i $IF_INTERNA -o $IF_EXTERNA -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
=> iptables -A FORWARD -i $IF_INTERNA -m multiport -p tcp --dport 80,443,8080,119,110,25 -j ACCEPT

iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

mas o que tem de errado no meu script que nao funciona :toim: ?

esse script acima, apresenta o mesmo erro...
não funciona.

Grato

Posta a saída para

iptables -nL FORWARD
e
iptables -t nat -nL

Citação:

---

Postado originalmente por Anonymous

esse script acima, apresenta o mesmo erro...
não funciona.

Grato

---

Ops... já vi o erro no script anterior... muda o state do FORWARD

iptables -A FORWARD -o $IF_INTERNA -m state --state ESTABLISHED,RELATED -j ACCEPT

Isto deve resolver

Citação:

---

Postado originalmente por Anonymous

esse script acima, apresenta o mesmo erro...
não funciona.

Grato

---

realmente funcionou...
Mas CRASH2k, porque esse script não funcionou:

Código :

---

#!/bin/bash
IF_EXTERNA="eth0"
IF_INTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
 
echo "1"> /proc/sys/net/ipv4/ip_forward
 
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
 
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
 
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_INTERNA -j ACCEPT
 
iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
 
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

---

mesmo parecendo nao ter nada a ver, tenta mudar os ips de rede da sua maquina Linux pra uma das faixas.. esse sua faixa 172.0.0.0/24 nunca vi uso dela em redes locais pequenas...:
use uma dessas:
10.0.0.0/8
172.16.0.0/16
192.168.0.0/24

use o script abaixo pra ver se funciona
# variavies #
IPT='/sbin/iptables'
REDE='192.168.0.0/24'

# Policiamento #
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT

# abrir portas #
$IPT -A INPUT -s $REDE -p tcp --dport 22 -j ACCEPT # exemplo se vc usa ssh
$IPT -A FORWARD -s $REDE -p tcp --dport 80 -j ACCEPT
$IPT -A FORWARD -s $REDE -p udp --dport 53 -j ACCEPT

# regras para estado das conexoes #
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# fazendo nat #
$IPT -t nat -A POSTROUTING -s $REDE -j MASQUERADE

Para ficar mais legivel

Assim funcionou

Código :

---

#!/bin/bash
IF_EXTERNA="eth0"
IF_INTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
 
echo "1"> /proc/sys/net/ipv4/ip_forward
 
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
 
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
 
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $IF_INTERNA -j ACCEPT
 
#iptables -A FORWARD -i $IF_EXTERNA -m state --state NEW,INVALID -j DROP
iptables -A FORWARD -o $IF_INTERNA -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -m multiport -p tcp --dport 80,443,8080,119,110,25 -j ACCEPT
 
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

---

Mas assim não funciona

Código :

---

#!/bin/bash
IF_EXTERNA="eth0"
IF_INTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
 
echo "1"> /proc/sys/net/ipv4/ip_forward
 
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
 
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
 
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_INTERNA -j ACCEPT
 
iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
 
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

---

Alguém sabe o motivo ?
Somente colocando esse -m state ... etc... vai funcionar ?

Obrigado

É que o "state" no FORWARD garante o retorno dos pacotes a sua rede local (desde que a conexão já esteja estabelecida ou reincidente). Da forma que estava vc só permitia no sentido "rede local -> internet", mas não tinha nada tratando o retorno.

Citação:

---

Postado originalmente por Anonymous

realmente funcionou...
Mas CRASH2k, porque esse script não funcionou:

Código :

---

#!/bin/bash
IF_EXTERNA="eth0"
IF_INTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
 
echo "1"> /proc/sys/net/ipv4/ip_forward
 
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
 
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
 
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_INTERNA -j ACCEPT
 
iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
 
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

---

---

então não tem como fazer isso, sem usar o -m state ?

O negócio é que vc precisa tratar o retorno do pacote, e se vc usar um controle baseado em estados de conexão melhor ainda.

Mas, poderia ter feito o retorno assim:

iptables -A FORWARD -o $IF_INTERNA -m multiport -p tcp --sport 80,443,8080,110,25,119 -j ACCEPT
iptables -A FORWARD -o $IF_INTERNA -p udp --sport 53 -j ACCEPT

O negócio é o retorno. Só q trabalhar com um firewall stateful é mais seguro.

Citação:

---

Postado originalmente por Anonymous

então não tem como fazer isso, sem usar o -m state ?

---

Entendi, quando eu troquei para sport, o meu primeiro script funcionou
Vou procurar algo bom para ler sobre o iptables, excplicando como funciona o sport, e esse -m.

Mas fica aqui, o meu Muito Obrigado a todos que me ajudaram

:clap: :clap:

ah, para complementar a porta 53 nem liberei e funcionou...
Mas fechei a 80 para ver o que iria acontecer, e bloqueou perfeitamente.
valeu

O Negocio é verificar o estado da conexao mesmo porque com o meu script fiz uns testes e liberou tudo.

Mas com estado está funcionando perfeitamente :clap: