porque vc nao posta sus regras completas para todos poder ver oq pode ta acontecendo as vezes as regras entao no lugar errado
Versão Imprimível
porque vc nao posta sus regras completas para todos poder ver oq pode ta acontecendo as vezes as regras entao no lugar errado
#VariaveisCitação:
Postado originalmente por tianguapontocom
IFACE=eth0
LAN=192.168.10.0/24
#Ativar modulos
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_nat_ftp
#Limpar regras
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
#Alterar policiamento
iptables -P INPUT DROP
iptables -P FORWARD DROP
#Protecao contra syn floods
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
#Compartilhar a conexao
iptables -t nat -A POSTROUTING -o $IFACE -s $LAN -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#-----------------------
# Redirecionamentos #
#-----------------------
#Proxy transparente
iptables -t nat -A PREROUTING -i eth1 -s $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128
#---------------------
# Regras de INPUT #
#---------------------
#Entrar somente o necessario
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#SSH interno
iptables -A INPUT -i eth1 -s $LAN -p tcp --syn --dport 22 -j ACCEPT
#Web
iptables -A INPUT -i eth1 -s $LAN -p tcp --dport 80 -j ACCEPT
#Webmin
iptables -A INPUT -i eth1 -s $LAN -p tcp --dport 10000 -j ACCEPT
#Squid
iptables -A INPUT -i eth1 -s $LAN -p tcp --dport 3128 -j ACCEPT
#PING
iptables -A INPUT -i eth1 -s $LAN -p icmp -j ACCEPT
#-----------------------
# Regras de FORWARD #
#-----------------------
#Passar somente o ncessario
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#DNS
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -o $IFACE -s $LAN -p udp --dport 53 -j ACCEPT
#Web
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 80 -j ACCEPT
#SSH
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --syn --dport 22 -j ACCEPT
#HTTPS
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 443 -j ACCEPT
#FTP
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 21 -j ACCEPT
#Terminal Server
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 3389 -j ACCEPT
#MSN
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 1863 -j ACCEPT
#Tipic
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 5222 -j ACCEPT
#PING
iptables -A FORWARD -o $IFACE -s $LAN -p icmp -j ACCEPT
imagino que voce ainda nao tenha consiguido fazer funcionar... bom bem aqui tem um tutorialzinho explicando firewalling em ipsec:
http://www.freeswan.org/freeswan_tre...-firewall.html
basicamente é o seguinte , precisa liberar o protocolo ESP (50) e a troca de chaves do IKE (porta udp/500). feito isso é estabilizada a conexao e passa a usar interfaces virtuais com o nome de ipsecX (onde x é o numero do tunnel)
dai para frente nao importaram suas regras de input/output/forward/etc nas ethX e sim nas interfaces ipsec0 que estao sem regras criadas no seu script.
De uma lida na documentação, vai lhe ajudar mto, acredito que vc ainda nao resolveu esse problema. Da um feedback
Boa mistymst,Citação:
imagino que voce ainda nao tenha consiguido fazer funcionar... bom bem aqui tem um tutorialzinho explicando firewalling em ipsec:
http://www.freeswan.org/freeswan_tre...-firewall.html
basicamente é o seguinte , precisa liberar o protocolo ESP (50) e a troca de chaves do IKE (porta udp/500). feito isso é estabilizada a conexao e passa a usar interfaces virtuais com o nome de ipsecX (onde x é o numero do tunnel)
dai para frente nao importaram suas regras de input/output/forward/etc nas ethX e sim nas interfaces ipsec0 que estao sem regras criadas no seu script.
De uma lida na documentação, vai lhe ajudar mto, acredito que vc ainda nao resolveu esse problema. Da um feedback
a solução era simples. Com os tuneis estabelecidos bastava criar regras para ipsec0. Muito mole. Nada do que esta abaixo é necessário.
:-DCitação:
iptables -A FORWARD -p 17 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT
iptables -A FORWARD -p 50 -j ACCEPT
iptables -A FORWARD -p 51 -j ACCEPT
iptables -A FORWARD -p tcp --dport 0:65534 -j ACCEPT
iptables -A FORWARD -p udp --dport 0:65534 -j ACCEPT
iptables -A INPUT -p 17 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
iptables -A INPUT -p 50 -j ACCEPT
iptables -A INPUT -p 51 -j ACCEPT
iptables -A INPUT -p tcp --dport 0:65534 -j ACCEPT
iptables -A INPUT -p udp --dport 0:65534 -j ACCEPT