+ Responder ao Tópico



  1. #1

    Padrão firewall bloqueando saida

    olá amigos, preciso de uma ajuda, to a mais de 3 dias tentando descobrir onde esta a regra que bloqueia saida de dados, por exemplo: tento acessar via ssh uma maquina externa não consigo, a mesma coisa com vnc e etc, segue abaixo meu firewall, obrigado a todos.


    #!/bin/sh

    #**************************************************
    # ( IPTABLES ) |
    # |
    # Data.........: 31/01/2006 - 13:32 |
    #**************************************************

    #-------------------------------------------------*
    # LIMPA TODAS AS REGRAS EXISTENTES |
    #-------------------------------------------------*
    iptables -F INPUT
    iptables -F FORWARD
    iptables -t nat -F PREROUTING
    iptables -t nat -F POSTROUTING

    #-------------------------------------------------*
    # BLOQUEIA TODOS OS PACOTES |
    #-------------------------------------------------*
    iptables -P INPUT DROP
    iptables -P FORWARD DROP

    #-------------------------------------------------*
    # LIBERA LOOPBACK |
    #-------------------------------------------------*
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A FORWARD -i lo -j ACCEPT

    #------------------------------------------------------------*
    # Aceita Tudo Para Maquinas Internas da Loja (quando 'eth0') |
    #------------------------------------------------------------*
    iptables -A INPUT -i eth0 -j ACCEPT
    iptables -A FORWARD -i eth0 -j ACCEPT

    #-------------------------------------------------*
    # Aceita Conexoes RELACIONADAS ou ESTABELECIDAS |
    #-------------------------------------------------*
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


    #-------------------------------------------------*
    # SSH |
    #-------------------------------------------------*
    # Interno
    iptables -A INPUT -p TCP -s 192.168.0.0/24 --dport 22 -m state --state NEW -j ACCEPT

    # loja1
    iptables -A INPUT -p TCP -s 200.x.x.x --dport 22 -m state --state NEW -j ACCEPT
    #iptables -A INPUT -p TCP -s 0/0 --dport 22 -m state --state NEW -j ACCEPT

    # loja2
    iptables -A INPUT -p TCP -s 200.x.x.x --dport 22 -m state --state NEW -j ACCEPT

    # loja3
    iptables -A INPUT -p TCP -s 201.x.x.x --dport 22 -m state --state NEW -j ACCEPT


    #-------------------------------------------------*
    # PING |
    #-------------------------------------------------*

    # Libera ping para loja1
    iptables -A INPUT -p ICMP -s 200.x.x.x -m state --state NEW -j ACCEPT

    # Libera ping para loja2
    iptables -A INPUT -p ICMP -s 200.x.x.x -m state --state NEW -j ACCEPT

    # Libera ping para loja3
    iptables -A INPUT -p ICMP -s 201.x.x.x -m state --state NEW -j ACCEPT


    # Libera ping para MAQUINAS INTERNAS
    iptables -A INPUT -p ICMP -s 192.168.0.0/24 -m state --state NEW -j ACCEPT

    #-------------------------------------------------*
    # CUPS |
    #-------------------------------------------------*
    iptables -A INPUT -p TCP -s 0/0 -d 0/0 --dport 631 -m state --state NEW -j ACCEPT

    #-------------------------------------------------*
    # SAMBA |
    #-------------------------------------------------*
    iptables -A INPUT -p TCP -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 139 -m state --state NEW -j ACCEPT
    iptables -A FORWARD -p TCP -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 139 -m state --state NEW -j ACCEPT

    iptables -A INPUT -p UDP -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 137 -m state --state NEW -j ACCEPT
    iptables -A FORWARD -p UDP -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 137 -m state --state NEW -j ACCEPT

    iptables -A INPUT -p UDP -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 138 -m state --state NEW -j ACCEPT
    iptables -A FORWARD -p UDP -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 138 -m state --state NEW -j ACCEPT


    #-------------------------------------------------*
    # NAT - Mascara Pacotes Para Sairem |
    #-------------------------------------------------*
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -j MASQUERADE


    # SPOOF
    echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

    # LIMITE DE CONEXOES
    echo 30000 > /proc/sys/net/ipv4/ip_conntrack_max

    #-------------------------------------------------*
    # HABILITA COMPARTILHAMENTO DE INTERNET |
    #-------------------------------------------------*
    echo 1 > /proc/sys/net/ipv4/ip_forward
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies

  2. #2

    Padrão firewall bloqueando saida

    Vc está em uma máquina da rede interna, e quer acessar outra máquina de fora?

    Se for isto, vc não está fazendo o nat para sair.

  3. #3

    Padrão firewall bloqueando saida

    exatamente isso, tem como me ajudar ?

  4. #4

    Padrão firewall bloqueando saida

    Posso, claro!

    Tudo depende da sua política, mas vamos supor....

    Vamos declarar uma variáveis neste script:


    #Endereço interno
    ipin=192.168.1.5

    #Endereço externo (lembre-se que pode ser um domínio, não necessáriamente um ip)
    ipext=200.111.111.55

    #Agora vamos fazer as regras
    #Nat (estou considerando que vc está saindo por um ip variável, caso contrário use SNAT)
    iptables -t nat -A POSTROUTING -s $ipin -d $ipext -p tcp --dport 22 -j MASQUERADE
    iptables -A FORWARD -s $ipin -d $ipext -p tcp --dport 22 -j ACCEPT

    #Agora liberaremos a volta:
    iptables -A FORWARD -s $ipext -d $ipin -p tcp --sport 22 -j ACCEPT


    Acredito que é o suficiente.

    Se desejar valide os tipos de pacotes.

    Para mais informações dá uma olhada:
    http://focalinux.cipsga.org.br/guia/...w-iptables.htm

  5. #5

    Padrão firewall bloqueando saida

    só umas dúvidas :

    #Endereço interno
    ipin=192.168.1.5 -> este é o ip da maq que é servidor de internet ou da maquina na rede (terminal) ?

    #Agora vamos fazer as regras
    #Nat (estou considerando que vc está saindo por um ip variável, caso contrário use SNAT) -> meu ip é fixo então tenho que usar SNAT ? ]

    obrigado, novamente !

  6. #6

    Padrão firewall bloqueando saida

    Citação Postado originalmente por mbyte
    só umas dúvidas :

    #Endereço interno
    ipin=192.168.1.5 -> este é o ip da maq que é servidor de internet ou da maquina na rede (terminal) ?

    #Agora vamos fazer as regras
    #Nat (estou considerando que vc está saindo por um ip variável, caso contrário use SNAT) -> meu ip é fixo então tenho que usar SNAT ? ]

    obrigado, novamente !
    ipin é o ip da máquina que você vai usar para acessar a outra. Coloquei isto pois sou meio paranóico, mas se você quiser pode liberar para a rede interna. É só não definir -s na ida, e -d na volta (ou se preferir, eu faria assim: -d ! ip_servidor na volta, para não permitir conexões ao servidor desta máquina).

    Sim, vc terá que usar SNAT, dá uma olhada no link que lhe enviei que é o melhor material sobre iptables que eu conheço.

  7. #7

    Padrão firewall bloqueando saida

    então vai ficar assim :

    # Entrada :

    iptables -t nat -A POSTROUTING -d $ipext -p tcp --dport 22 -j MASQUERADE
    iptables -A FORWARD -d $ipext -p tcp --dport 22 -j ACCEPT

    #Agora liberaremos a volta:
    iptables -A FORWARD -s $ipext -p tcp --sport 22 -j ACCEPT

    ok ?

  8. #8

    Padrão firewall bloqueando saida

    Citação Postado originalmente por mbyte
    então vai ficar assim :

    # Entrada :

    iptables -t nat -A POSTROUTING -d $ipext -p tcp --dport 22 -j MASQUERADE
    iptables -A FORWARD -d $ipext -p tcp --dport 22 -j ACCEPT

    #Agora liberaremos a volta:
    iptables -A FORWARD -s $ipext -p tcp --sport 22 -j ACCEPT

    ok ?
    Sim, mas não sei se MASQUERADE funciona bem com ip_fixo. Dá uma olhada na documenteção.

  9. #9

    Padrão firewall bloqueando saida

    blz, muito obrigado, vou estudar, só posso desligar o servidor a noite, até lá vou estudar o dia inteiro, me desculpe mais só vou poder te contar se deu certo amanhã, ok ? e mais uma vez muito obrigado pela atenção !

    Nelson

    obs.: se alguem mais tiver alguma idéia, será bem vinda !!!

  10. #10

    Padrão firewall bloqueando saida

    Citação Postado originalmente por edmafer
    Citação Postado originalmente por mbyte
    então vai ficar assim :

    # Entrada :

    iptables -t nat -A POSTROUTING -d $ipext -p tcp --dport 22 -j MASQUERADE
    iptables -A FORWARD -d $ipext -p tcp --dport 22 -j ACCEPT

    #Agora liberaremos a volta:
    iptables -A FORWARD -s $ipext -p tcp --sport 22 -j ACCEPT

    ok ?
    Sim, mas não sei se MASQUERADE funciona bem com ip_fixo. Dá uma olhada na documenteção.


    é não deu certo, deve ser por conta do : MASQUERADE

  11. #11

    Padrão firewall bloqueando saida

    Dá uma olhada em SNAT, deve resolver o seu problema.

  12. #12

    Padrão firewall bloqueando saida

    blz, obrigado !

    Nelson