Pessoal, eu nao entendo, deixo o Policiamento FORWARD com DROP , nao libero nada no FORWARD, mas mesmo assim funciona tudo !
IF_INTERNA="eth0"
IF_EXTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
coloquei isso acima para ter uma idéia...
Está funcionando tudo normal a internet com isso.
Nem adianta eu digitar isso para liberar o navegado~r
iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
Não sei o motivo, mas está liberando tudo mesmo como DROP.
Alguém que manda bem em iptables pode me dar uma força ?
Muito Obrigado
-
26-07-2005, 18:45 #1Visitante
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
-
26-07-2005, 19:04 #2Visitante Policiamento FORWARD é drop, mas mesmo assim funciona tudo
Tente por
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
antes de
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
pra ficar assim:
IF_INTERNA="eth0"
IF_EXTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
-
26-07-2005, 19:14 #3Visitante Policiamento FORWARD é drop, mas mesmo assim funciona tudo
funciona da mesma maneira :cry:
-
26-07-2005, 19:29 #4LuzumbaVisitante Policiamento FORWARD é drop, mas mesmo assim funciona tudo
amigo nao boa...
pra que vc. quer esse tipo de regras ?
se na verdade ele só esta compartilhando a rede ?
acho melhor vc. colocar DROP nas regras e refazer o seu firewall
assim vc controla melhor a saida e entrada dos seus pacotes ok ?
um grande abraço e se precisar de alguma ajuda
é só msn-me
-
26-07-2005, 19:36 #5Visitante Policiamento FORWARD é drop, mas mesmo assim funciona tudo
Luzumba Obrigado por sua dedicação, não posso acessar o msn agora.
Na verdade essa regra eu só gostaria para testar, porque fiquei meio ENVOCADO, seria a palavra certa.
Não entendo porque mesmo eu mandando drop na FORWARD, as maquinas da rede continuam navegando normalmente.
Obrigado.
-
26-07-2005, 20:12 #6
- Ingresso
- Mar 2005
- Posts
- 197
Politicas do firewall
cara eu sempre faço assim e funciona: deixo a politica como DROP no INPUT, FORWARD e tb na cadeia nat POSTROUTING, como no ex:
IPT='/sbin/iptables'
LANRANGE='192.168.0.0/24'
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING DROP
$IPT -t nat -P OUTPUT ACCEPT
depois disso vc faz o forward e o nat apenas nas portas que vc deseja, observe o exemplo dessa operação na porta 80:
$IPT -A FORWARD -$LANRANGE -p tcp --dport 80 -j ACCEPT
$IPT -t nat -A POSTROUTING -s $LANRANGE -p tcp --dport 80 -j MASQUERADE
entendido? qualquer coisa posta ai.. flw
-
26-07-2005, 20:46 #7Visitante Policiamento FORWARD é drop, mas mesmo assim funciona tudo
também não funcionou.
Se fecho o POSTROUTING não funciona nada nem liberando.
Grato
-
26-07-2005, 20:48 #8Visitante Policiamento FORWARD é drop, mas mesmo assim funciona tudo
Po será que ninguém sabe porque o script abaixo funciona a internet normalmente ?
Código :#!/bin/bash IF_INTERNA="eth0" IF_EXTERNA="eth1" REDE_INTERNA="172.0.0.0/24" echo "1"> /proc/sys/net/ipv4/ip_forward iptables -F iptables -Z iptables -X iptables -F -t nat iptables -X -t nat iptables -F -t mangle iptables -X -t mangle iptables -P INPUT ACCEPT iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT iptables -A FORWARD -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT #iptables -t filter -A INPUT -i lo -j ACCEPT #iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
-
26-07-2005, 21:04 #9
- Ingresso
- Mar 2005
- Posts
- 197
firewall
acho q ja descobri oq acontece ai... vc ta colocando DROP no policiamento FORWARD, porem mais abaixo esta dizendo pra liberar todos os estados NEW,ESTABLHISHED,RELATED no FORWARD.. assim funciona mesmo, pois qualquer pacote com estado novo vai passar batido...
o ideal seria vc colocar a politica DROP, liberar a porta desejada, e liberar apenas os estados ESTABLISHED,RELATED.. como no ex abaixo:
# variavies #
IPT='/sbin/iptables'
REDE='192.168.0.0/24'
# Policiamento #
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
# abrir portas #
$IPT -A FORWARD -$REDE -p tcp --dport 80 -j ACCEPT
# regras para estado das conexoes #
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
agora deve funcionar cara, mas tem q liberar outras portas, uma das mais importantes é o DNS (porta 53 tcp e udp )... senao deve ser algum bug no seu iptables.... tente atualizar ele tb.. faz o teste ai e diz se funfou...
faloww.
-
26-07-2005, 21:16 #10Visitante Policiamento FORWARD é drop, mas mesmo assim funciona tudo
realmente eu tirei e não foi mais a internet.
Ficou assim
Código :#!/bin/bash IF_INTERNA="eth0" IF_EXTERNA="eth1" REDE_INTERNA="172.0.0.0/24" echo "1"> /proc/sys/net/ipv4/ip_forward iptables -F iptables -Z iptables -X iptables -F -t nat iptables -X -t nat iptables -F -t mangle iptables -X -t mangle iptables -P FORWARD DROP iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -t filter -A INPUT -i lo -j ACCEPT iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
Só que agora para liberar a porta 80 nao foi...
Já to doido com isso.
seu comandoCódigo :$IPT -A FORWARD -$REDE -p tcp --dport 80 -j ACCEPT
não foi.
Obrigado
-
26-07-2005, 21:32 #11Visitante Policiamento FORWARD é drop, mas mesmo assim funciona tudo
ficou assim o código
Código :#!/bin/bash IF_EXTERNA="eth0" IF_INTERNA="eth1" REDE_INTERNA="172.0.0.0/24" echo "1"> /proc/sys/net/ipv4/ip_forward iptables -F iptables -Z iptables -X iptables -F -t nat iptables -X -t nat iptables -F -t mangle iptables -X -t mangle iptables -P FORWARD DROP iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -t filter -A INPUT -i lo -j ACCEPT iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
mas não navega ainda.
Obrigado
-
26-07-2005, 21:37 #12
- Ingresso
- Mar 2005
- Posts
- 197
firewall
Amigo libere essas portas (tcp e udp)
21,25,53,80,110,443
que tipo de conexao é a sua? adsl, radio, discada?
da maquina linux (o router) vc consegue pingar e navegar normal?
vc tem msn, icq, algo assim... pra gente ir testando em "tempo real"?
-
26-07-2005, 21:39 #13Visitante Policiamento FORWARD é drop, mas mesmo assim funciona tudo
consigo do linux tudo normal...
-
26-07-2005, 21:47 #14
- Ingresso
- Mar 2005
- Posts
- 197
firewall
poste aki o resultado desses dois comandos:
iptables -L
iptables -t nat -L
-
26-07-2005, 21:47 #15Visitante Policiamento FORWARD é drop, mas mesmo assim funciona tudo
tentei liberar não da certo... o dns é só o protocolo udp também
Era pra funcionar
o firewall ficou assim
Código :#!/bin/bash IF_EXTERNA="eth0" IF_INTERNA="eth1" REDE_INTERNA="172.0.0.0/24" echo "1"> /proc/sys/net/ipv4/ip_forward iptables -F iptables -Z iptables -X iptables -F -t nat iptables -X -t nat iptables -F -t mangle iptables -X -t mangle iptables -P FORWARD DROP iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -t filter -A INPUT -i lo -j ACCEPT iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
mas não navega, to ficando doido já
-
26-07-2005, 21:57 #16
- Ingresso
- Mar 2005
- Posts
- 197
firewall
baixa esse script e da uma analisada... esse é o script q eu uso em muitos clientes e funciona sem problemas.
http://carrossa.topcities.com/linux/paredao.sh
testa ai e me fala
-
26-07-2005, 22:04 #17Visitante Policiamento FORWARD é drop, mas mesmo assim funciona tudo
não deu para acessar o site
-
26-07-2005, 22:46 #18Visitante Policiamento FORWARD é drop, mas mesmo assim funciona tudo
Muda o seu script dessa forma...........
#!/bin/bash
IF_EXTERNA="eth0"
IF_INTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
=> iptables -P FORWARD DROP
=> iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
=> iptables -A INPUT -i lo -j ACCEPT
=> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
### Pense bem se precisa (abra p um grupo de máquinas só e limitando a porta)
# iptables -A INPUT -i $IF_INTERNA -j ACCEPT
=> iptables -A FORWARD -i $IF_EXTERNA -m state --state NEW,INVALID -j DROP
=> iptables -A FORWARD -i $IF_INTERNA -o $IF_EXTERNA -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
=> iptables -A FORWARD -i $IF_INTERNA -m multiport -p tcp --dport 80,443,8080,119,110,25 -j ACCEPT
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
-
26-07-2005, 22:51 #19Visitante Policiamento FORWARD é drop, mas mesmo assim funciona tudo
mas o que tem de errado no meu script que nao funciona :toim: ?
-
26-07-2005, 22:55 #20Visitante Policiamento FORWARD é drop, mas mesmo assim funciona tudo
esse script acima, apresenta o mesmo erro...
não funciona.
Grato
Citação