Versão Imprimível
Estou compartilhando a internet pelo squid e notei que no access.log ele ta bloqueando ip´s da internet, mas essa era a função do iptables.....qeuria saber se existe algum comando que eu posso digitar para verificar se o firewall ta ativo...e como eu devo proceder para corrigir este problema...seu que existem alguns topicos aqui...mas ele tava funcionando e agora parou tipo libero!!!! que que eu faço galera
ipfw show
iptables -L >> mostra regras da tabela filter
iptables -t nat -L >> mostra regras de nat
cat /proc/sys/net/ipv4/ip_forward (se tiver 1 ta com forward ativo)
Obtive o seguinte resultado sigitando no console ou via ssh
bash: ipfw: command not foundCitação:
ipfw show
1Citação:
cat /proc/sys/net/ipv4/ip_forward (se tiver 1 ta com forward ativo)
Então deve ser alguma regra errada
Vejam os resultados
Chain INPUT (policy ACCEPT)Citação:
iptables -L
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain PREROUTING (policy ACCEPT)Citação:
iptables -t nat -L
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:www redir ports 3128
REDIRECT tcp -- anywhere anywhere tcp dpt:www redir ports 3128
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
MASQUERADE all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Vlw...até aqui pelas dicas e cooperação estou começando em Linux
e ainda não consigo interpretar muito bem mas vamos estudando... alguem poderia me ajudar?
Então pessoal
Fiz um teste Ativei o Firewall via grafico através do script do kurumin 5.0..
pra minha alegria e tristesa...
quando ativei
ele bloqueou...inclusive a rede interna....muito estranho tudu isso preciso de uma ajudinha mesmo!!!
[/quote]
Parece que você rodou alguma coisa que 'limpou' o firewall... :)
(pelo menos, se você falou que tinha regras prá bloquear alguns IPs, e isso não pertence mais ao IPtables que você colou!)
Provavelmente as regras de proxy transparente tenham antes de serem inseridas, 'limpado' o firewall, tenta colocar o firewall prá iniciar depois do proxy transparente; ou então, se foi você mesmo que colocou as regras do proxy transparente, tire as linhas que contenham iptables -F ou iptables -F -t nat. Prá listar as regras e ver quantas vezes elas foram utilizadas, faça iptables -nvL ; iptables -nvL -t nat.
Espero que ajude!..
Bem como eu não entendo muito estou aprendendo ...vou postar o arquivo que que o kurumin firewall
#!/bin/bash
# Script de configuração do iptables gerado pelo configurador do Kurumin
# Este script pode ser usado em outras distribuições Linux que utilizam o Kernel 2.4 em diante
# Por Carlos E. Morimoto
firewall_start(){
# Abre para uma faixa de endereços da rede local
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.0.0/24
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --destination-port 4040 -j ACCEPT
# Ignora pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Proteção contra IP spoofing
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
# Proteção contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP
# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -N VALID_CHECK
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP
# Abre para a interface de loopback.
# Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
# Fecha as portas udp de 1 a 1024, abre para o localhost
iptables -A INPUT -p udp -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -p udp --dport 1:1024 -j DROP
iptables -A INPUT -p udp --dport 59229 -j DROP
iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.0.0/24
# Esta regra é o coração do firewall do Kurumin,
# ela bloqueia qualquer conexão que não tenha sido permitida acima, justamente por isso ela é a última da cadeia.
iptables -A INPUT -p tcp --syn -j DROP
/etc/skel-fix/firewall-msg
}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
}
case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "O kurumin-firewall está sendo desativado"
sleep 2
echo "ok."
;;
"restart")
echo "O kurumin-firewall está sendo desativado"
sleep 1
echo "ok."
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac
ipfw=FREEBSD nao linux
/proc/sys/net/ipv4/ip_forward =1 roteamento dos pacotes via kernel ativo
Resultados vc apenas esta redirecionado as requisiçoes da porta 80 para a do squid 3128 e fazendo o nat !!!
Posta o teu script completo pra podermos ver melhor !!!
Valeu !!!
:oops: desculpa !!Citação:
Postado originalmente por gatoseco
Bom cara, se eu realmente entendi a sua pergunta, o certo seria fazer o relay do Squid ficar somente para a sua rede interna. Para isso, altere a tag http_port:
Código :
Para
Código :
Abraços!
Então o proxy tá até bloqueando acesso pela internet nesse proxy...ele nao navega e mostra a a pagina de bloqueio...somente a rede interna é que consegue navegar...uma coisa que eu quero é que meu firewall bloqueie acesso provindos da internet e nem consigam enxergar o firewallCitação:
Bom cara, se eu realmente entendi a sua pergunta, o certo seria fazer o relay do Squid ficar somente para a sua rede interna. Para isso, altere a tag http_port:
Código:
http_port 3128
Para
Código:
http_port 192.168.1.1:3128
Abraços!
...
por exemplo pra rede interna hj conseguir acessar...tenho que desativar o firewall através do script do kurumin se não niguem acessa...mas se meu firewall ta destivado como é que a regra de proxy transparente ta funcionando?
Então o script é do kurumin 5.0...onde é que eu pego isso?Citação:
ipfw=FREEBSD nao linux
/proc/sys/net/ipv4/ip_forward =1 roteamento dos pacotes via kernel ativo
Resultados vc apenas esta redirecionado as requisiçoes da porta 80 para a do squid 3128 e fazendo o nat !!!
Posta o teu script completo pra podermos ver melhor !!!
Valeu !!!
no arquivo: /etc/init.d/kurumin-firewall
mbyte sem problemas amigo nao se precisa se preocupar todo mundo se engana !!!
Abraçao
#!/bin/bash
# Script de configuração do iptables gerado pelo configurador do Kurumin
# Este script pode ser usado em outras distribuições Linux que utilizam o Kernel 2.4 em diante
# Por Carlos E. Morimoto
firewall_start(){
# Abre para uma faixa de endereços da rede local
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.0.0/24
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --destination-port 4040 -j ACCEPT
# Ignora pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Proteção contra IP spoofing
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
# Proteção contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP
# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -N VALID_CHECK
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP
# Abre para a interface de loopback.
# Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
# Fecha as portas udp de 1 a 1024, abre para o localhost
iptables -A INPUT -p udp -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -p udp --dport 1:1024 -j DROP
iptables -A INPUT -p udp --dport 59229 -j DROP
iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.0.0/24
# Esta regra é o coração do firewall do Kurumin,
# ela bloqueia qualquer conexão que não tenha sido permitida acima, justamente por isso ela é a última da cadeia.
iptables -A INPUT -p tcp --syn -j DROP
/etc/skel-fix/firewall-msg
}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
}
case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "O kurumin-firewall está sendo desativado"
sleep 2
echo "ok."
;;
"restart")
echo "O kurumin-firewall está sendo desativado"
sleep 1
echo "ok."
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac
Pois então devido ao problema que tivemos no servidor...ai do under....perdi a postagem que tava aqui...mas vamos la!
Tava pensando eu desativei o firewall pelo script do kurumin em tese ele deveria estar aberto porém quando executo o comando
cat /proc/sys/net/ipv4/ip_forward
o resultado é 1 então meu firewall ta ativo?
acho que não porque como já disse quando ativo o firewall pelo script do kurumin ele impede a rede local de navegar!