- Navegação no IPTables
+ Responder ao Tópico
-
Navegação no IPTables
Olá pessoal,
configurei o iptables e nenhuma máquina na minha rede consegue navegar na porta 80. Neguei todas as entradas e depois liberei a porta 80. Segue o meu script...
#Iptables-1.2.5-3
#!/bin/bash
#
echo "Iniciando o IPTables..."
echo
##Limpa todas as regras
echo "Limpando as regras..."
/sbin/iptables -F
/sbin/iptables -t nat -F
echo
##Carrega os módulos
echo "Carregando novas regras..."
echo
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A FORWARD -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
O que está errado?
Desde já agradeço a colaboração de todos.
[]´s,
Gustavo
-
Navegação no IPTables
ola é facil,
adicione:
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe iptable_nat
/sbin/iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 53 -j ACCEPT
falow..
William da Rocha
[email protected]
www.linuxit.om.br
ICQ: 111752037
Linux User: 289392
[ Esta mensagem foi editada por: wrochal2002 em 14-03-2003 00:23 ]
-
Navegação no IPTables
Saudações pessoal estou de volta...
Como vc bloqueou tudo (INPUT, OUTPUT, FORWARD) deve liberar ao poucos as jains o que vai te dar um trabalho considerável. Acredito que vc esteja apenas querrendo compartilhar seu acesso a internet e pode criar uma solução mais prática e sem oferecer riscos a sua rede.
# Firewall
# Ativar roteamento
echo "1" > /proc/sys/net/ipv4/ip_forward
# Limpando as jains
/sbin/iptables -F
/sbin/iptables -t nat -F
#Carregando módulos p/ ftp "muito importante, o restante ele carrega automático.
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
# Bloqueio de Política só INPUT
/sbin/iptables -P INPUT DROP
# Bloqueio p/ ping
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
# Bloqueio p/ ping of death
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Bloqueio p/ syn-flood
/sbin/iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
# Bloqueio p/ pacotes danificados
/sbin/iptables -A FORWARD -m unclean -j DROP
# Bloqueio de serviços padrões na LAN
/sbin/iptables -A FORWARD -p tcp -d 192.168.1.0/24 --dport 1:1024 -j DROP
# Liberando acesso p/ LAN
/sbin/iptables -A INPUT -s 192.168.1.0/24 -d "ip local do server" -i "interface da lan" -j ACCEPT
# Stateful Inspection
/sbin/iptables -A INPUT -m state --state NEW -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Mascaramento p/ NET
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
Vc ainda pode implementar várias opções para melhorar seu firewall.
Espero ter ajudado e boa sorte.
-
Navegação no IPTables
Valeu pela ajuda pessoal.
Mas o meu problema é q os usuários estão usando o kazaa para baixar vídeos. Já configurei meu firewall para bloquear o kazaa, através de um tutorial q foi disponibilizado aqui no Underlinux. Mas não funciona porque eu não "dropei" o FORWARD... Sendo assim qdo "dropo" o FORWARD, ninguém mais navega... E preciso fazer isso porque o acesso à internet fica muito lento. Os usuários estão "detonando" meu link (tá muito lento).
[]´s,
Gustavo
-
Danilo_Montagna
Visitante
Navegação no IPTables
dica..
deixe o seu FORWARD em DROP
e libere a navegacao por porta..
-
Navegação no IPTables
Valeu, vou tentar isto...
-
Navegação no IPTables
Pessoal,
continuo com problemas. Minhas estações não conseguem navegar ainda. Fiz este seguinte script.
#Firewall Matias
#Iptables-1.2.5-3
#!/bin/bash
#
echo "Iniciando o IPTables..."
echo
##Limpa todas as regras
echo "Limpando as regras..."
/sbin/iptables -F
/sbin/iptables -t nat -F
echo
##Carrega os módulos
echo "Carregando novas regras..."
echo
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -s 192.168.1.0/24 -o eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.1.0/24 -o eth0 -p udp --dport 80 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
O que tem de errado nele?
-
Danilo_Montagna
Visitante
Navegação no IPTables
cara.. vc nao ta habilitando o roteamento... e nao esta usando o modulo do iptables..
# Ativar roteamento
echo "1" > /proc/sys/net/ipv4/ip_forward
# Modulos de mascaramento
/sbin/modprobe iptable_nat
o NAT depende disso ae para repassar os pacotes entre as interfaces..
e mais.. a porta 80 nao usa o protoclo udp para tráfego outbound.. nao precisa dele
[ Esta mensagem foi editada por: Danilo_Montagna em 14-03-2003 15:20 ]
-
Navegação no IPTables
Olha nao vou considerar modulos nem nada. so as linhas basicas.
# Regras bem simples a principio.
# FLush Rules
iptables -F
# Enforce default policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# NAT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
# Web 80
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 80 -j ACCEPT
# Web SSL 443
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 443 -j ACCEPT
# EOF
isso deve dar para quebrar um galho. sem muitas frescuras <IMG SRC="images/forum/icons/icon_smile.gif"> veja se funcionar.
-
Navegação no IPTables
Pessoal e a novela continua. Nada de navegar...
O último script foi este...
# FLush Rules
iptables -F
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
# Enforce default policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# NAT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
# Web 80
/sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 80 -j ACCEPT
# Web SSL 443
/sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 443 -j ACCEPT
-
Danilo_Montagna
Visitante
Navegação no IPTables
cara.. vc ta ativando o roteamento?
# Ativar roteamento
echo "1" > /proc/sys/net/ipv4/ip_forward
vc consegue pingar endereços externos pelo linux?
vc consegue pingar nomes externos pelo linux? liberou saida de DNS???
?????
me posta aqui as configs que vc esat usando nas placas de rede do FW
[ Esta mensagem foi editada por: Danilo_Montagna em 14-03-2003 16:22 ]
-
Navegação no IPTables
Campeão,
o roteamento tá ativo... Mas não liberei a porta 53...
é só fazer
/sbin/iptables -A FORWARD -s 192.168.1.0/24 -t tcp --dport 53 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.1.0/24 -t udp --dport 53 -j ACCEPT
-
Navegação no IPTables
Bom vamos comecar por baixo entao...
quais modulos estao ativos ?
lsmod
e mostra para gente
iptables -L -n
e mostre as regras que estao em atuação , e certifique-se que voce tem iptables habilitado, e suas funcoes no kernel
isso tem toda cara que nao eh problema de regras.
-
Navegação no IPTables
Qdo não "dropo" o forward todas as máquinas navegam na internet. Todos os módulos de mascaramento estão inicializados.
Talvez seje a regra da liberação do DNS q não fiz... Mas no momento não posso fazer estas configurações porque minha rede agora está em produção...
-
Navegação no IPTables
Pessoal,
continuo não nevegando... Eu consigo fazer o firewall "pingar", mas nenhuma máquina da rede interna pinga... O q deve estar acontecendo?
Segue meu script...
# FLush Rules
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
# Enforce default policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# NAT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
#DNS
/sbin/iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 53 -j ACCEPT
# Web 80
/sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 80 -j ACCEPT
# Web SSL 443
/sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 443 -j ACCEPT
-
Danilo_Montagna
Visitante
Navegação no IPTables
cara.. se vc nao liberar o DNS para as estacoes .. elas nao vao resolver nomes externos mesmo.. consequentemente.. nao vao navegar..
sua politica de FORWARD esta em DROP.. e vc nao liberou o trafego de DNS..
/sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 53 -j ACCEPT
/sbin/iptables -A FORWARD -p udp -s 192.168.1.0/24 -d 0/0 --dport 53 -j ACCEPT
faz essas linhas ae que funciona..
outra coisa.. se vc nao tiver um DNS server rodando no LINUX.. vc nao precisa dessas regars de INPUT para DNS..
sacou?
[ Esta mensagem foi editada por: Danilo_Montagna em 17-03-2003 11:09 ]
-
Navegação no IPTables
Campeão,
fiz as duas maneiras, mas não funcionou. O q me chamou a atenção, é que o firewall consegue pingar na rede exeterna, e as estações não...
-
Navegação no IPTables
Qdo habilito a regra iptables -P FORWARD DROP, nenhuma estação navega. Sem essa regra todos navegam... Não sei mais o q fazer. Aparentemente o script está certo...
-
Danilo_Montagna
Visitante
Navegação no IPTables
me diz uma coisa..
por um acaso.. vc esta usando squid? e as estacoes estao passando por esse proxy para conseguiur navegar?
e outra coisa... se vc mesmo dizze que em FORWARD com ACCEPT elas conseguem.. é pq tem algum conflito nas suas regras.. ou de roteamento de interface de entrada e saida.. algo assim..
usa o tcpdump para ver onde o pacote para..
[ Esta mensagem foi editada por: Danilo_Montagna em 17-03-2003 11:59 ]
-
Navegação no IPTables
Minhas estações não passam pelo squid (proxy).
Utilizei o tcpdump e olha o q aconteceu:
14:40:34.553203 192.168.1.80.netbios-ns > 200.17.69.82.domain: 136+ A? www.bol.com.br. (34)
14:40:34.911710 192.168.1.241.netbios-ns > 200.17.69.82.domain: 162+ A? www.bol.com.br. (34)
14:40:35.012154 192.168.1.29.1455 > 200.17.69.82.domain: 3+ A? batepapo4.uol.com.br. (3<IMG SRC="images/forum/icons/icon_cool.gif">
14:40:35.173549 192.168.1.6.1163 > 24.232.28.77.1305: S 3785300:3785300(0) win 8192 <mss 1460,nop,nop,sackOK> (DF)
14:40:36.025955 192.168.1.6.netbios-ns > 200.17.69.82.domain: 164+ A? www.bol.com.br. (41)
14:40:36.052887 192.168.1.80.netbios-ns > 200.17.69.82.domain: 136+ A? www.bol.com.br. (34)
Isto tá virando novela... hehehehehehe...