A conexão com a Internet é realizada através de um link dedicado da Oi, passando por um roteador Cyclades e um modem de propriedade dela. É um serviço IPConect fornecido pela prestadora. O modelo do Modem eu não possuo.
O seu linux se conecta a esse modem através de uma interface ethernet? Qual o endereço dela?? Se o modem estivar fazendo nat de nada adianta todas essas regras...
O meu linux (OpenSuSE) se conecta com uma interface Ethernet sim e está configurada com o ip externo que possuimos, na faixa 200.x.x.x, agora vai se saber se o modem faz nat !!!
Penso que não o faça, mas vou ver se consigo alguma informação com o pessoal da Oi.
E a máquina tem uma outra interface com o endereço da rede interna, na faixa 192.168.x.x
De qualquer forma, fico muito satisfeito com a ajuda que tem me prestado. Com certeza absoluta, não conseguiria uma ajuda desse nível em fóruns de sistemas pagos (M.cr.$$$$.ft).
Cara, se seu Linux ta com um IP válido ja deve estar tudo redirecionado pra ele. Se quiser fazer um teste, peça para que alguém acesse via internet (de preferência outra internet não pode ser a mesma provida pelo linux) o IP do Linux e veja se caiu nele.
Agora como você vê isso?? ai é que tá. Você pode liberar o acesso ao seu server via ssh e pedir pra alguém tentar acessar. Se ele acessar sem problemas não é necessário alterar nada no modem.
Se você não tiver feito nenhuma restrição no iptables é bem provável que não precise liberar o ssh. Mas caso seja necessário liberar ssh utilize essa regra:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Importante: Mantenha essas regras somente pra testar o ssh pois alguém pode tentar atacar seu server via ssh...
Caso você não saiba como remover uma regra, é só utilizar o mesmo comando mas ao invez so -A utilize -D :
iptables -D INPUT -p tcp --dport 22 -j ACCEPT
iptables -D INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Ae gente pode ser tambem pq eu fiz esse config no kurumin.
E as linhas que eu passei la ficam separadas.
Esse primeiro conjunto fica na parte chamada de compartilhar-conexao.sh
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
e a segunda fica em kurumin-firewall
iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
E alem do mais acabei falando bestateira sobre a questao se o seu modem esta ou nao redirecionando ou se esta roteado ou nao, pois isso nao tem nada haver nesse caso pelo que eu podi entender.
Mas presta atencao em uma coisa que me veio na mente essas regras estao logo na primeira linha, principalmente o primeiro conjunto e logo apos o segundo conjunto e verificando se o seu firewall nao esta no fim das suas regras bloqueando as mesmas, pois nao adianta permitir e depois bloquea-las novamente.
Espero que com isso consigamos resolver o probleminha do basnesfacil...
...que de facil nao tem nada...
...hehehehehe!...
Abracos!
Amigo, acho que você se confundiu, se houver uma regra permitindo e depois uma bloqueando um certo tráfego, a segunda regra se torna inútil, pois quando o tráfego "se encaixa" na primeira regra, ele permite e nem verifica as próximas regras...
Outra coisa, se o Modem dele tiver fazendo NAT importa sim, pois as tentativas de conexão vão parar nele e será necessário fazer um forwarding para que a conexão chegue no host de destino da rede interna.
Por último, vou dar uma pesquisada nisso mas acho que você se confundiu um pouco com suas regras, pois uma vez que o linux ta roteando a conexão ele não utiliza a chain INPUT e OUTPUT, somente a PREROUTING, FORWARD E POSTROUTING. A INPUT e OUTPUT são utilizadas para dados gerados no Linux, ou endereçados ao Linux... Mas posso estar enganado...
Até mais...
Esse e o meu config por inteiro do meu firewall no linux kurumin, vejam essa config e façam a modificação para sua estrutura e postem c resolver o problema, pois o meu so resolveu assim...
#!/bin/bash
# Script de configuração do iptables gerado pelo configurador do Kurumin
# Este script pode ser usado em outras distribuições Linux que utilizam o Kernel 2.4 em diante
# Por Carlos E. Morimoto
firewall_start(){
# Abre para uma faixa de endereços da rede local
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 4226 -j ACCEPT
# Abrindo conexao ftp em modo passivo e ativo
iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
# Ignora pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Proteção contra IP spoofing
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
# Proteção contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP
# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A INPUT -m state --state INVALID -j DROP
# Abre para a interface de loopback.
# Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
iptables -A INPUT -i lo -j ACCEPT
# Fecha as portas udp de 1 a 1024
iptables -A INPUT -p udp --dport 1:1024 -j DROP
iptables -A INPUT -p udp --dport 59229 -j DROP
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.100
iptables -t nat -A POSTROUTING -d 192.168.0.100 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.101
iptables -t nat -A POSTROUTING -d 192.168.0.101 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.102
iptables -t nat -A POSTROUTING -d 192.168.0.102 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.103
iptables -t nat -A POSTROUTING -d 192.168.0.103 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.104
iptables -t nat -A POSTROUTING -d 192.168.0.104 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.105
iptables -t nat -A POSTROUTING -d 192.168.0.105 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.106
iptables -t nat -A POSTROUTING -d 192.168.0.106 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.107
iptables -t nat -A POSTROUTING -d 192.168.0.107 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.108
iptables -t nat -A POSTROUTING -d 192.168.0.108 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.109
iptables -t nat -A POSTROUTING -d 192.168.0.109 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.110
iptables -t nat -A POSTROUTING -d 192.168.0.110 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.111
iptables -t nat -A POSTROUTING -d 192.168.0.111 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.112
iptables -t nat -A POSTROUTING -d 192.168.0.112 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.113
iptables -t nat -A POSTROUTING -d 192.168.0.113 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.114
iptables -t nat -A POSTROUTING -d 192.168.0.114 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.115
iptables -t nat -A POSTROUTING -d 192.168.0.115 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.116
iptables -t nat -A POSTROUTING -d 192.168.0.116 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.117
iptables -t nat -A POSTROUTING -d 192.168.0.117 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.118
iptables -t nat -A POSTROUTING -d 192.168.0.118 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.119
iptables -t nat -A POSTROUTING -d 192.168.0.119 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.120
iptables -t nat -A POSTROUTING -d 192.168.0.120 -j SNAT --to 192.168.0.1
# Esta regra é o coração do firewall do Kurumin,
# ela bloqueia qualquer conexão que não tenha sido permitida acima, justamente por isso ela é a última da cadeia.
iptables -A INPUT -p tcp --syn -j DROP
echo "O Kurumin Firewall está sendo carregado..."
sleep 1
echo "Tudo pronto!"
sleep 1
}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
}
case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "O kurumin-firewall está sendo desativado"
sleep 2
echo "ok."
;;
"restart")
echo "O kurumin-firewall está sendo desativado"
sleep 1
echo "ok."
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac
e o meu modem ak so esta roteado e no firewall do modem esta habilitado o sistema em modo DMZ.
Espero que assim possa ajudar agora!
hehehehehehe!
Vlw! T+
Tá! Mais vc consguiu resolver de outra forma?
Não tive outra alternativa enquanto nao pasei a conexao saindo desse server passando pelo mk a segurança agora ta resolvido. Mais se o kara ae nao tem outra forma de fazer foi assim ate eu colocar o mk pra funfar que deu certo.
Se alguem tem algo melhor posta ae, pois ficar criticando e facil e resolver e que e f....
Abraços a todos!
T+!
Meus prezados, se eu utilizar esses comandos que foram postados:
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 4226 -j ACCEPT
# Abrindo conexao ftp em modo passivo e ativo
iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
Eu posso fazer isso adicionando -d ip_da_maquina_banesfacil logo após o INPUT e OUTPUT para que somente essa máquina tenha acesso a essas portas ?
Tipo assim: iptables -A INPUT -d 192.168.8.20 -p tcp --dport 20 -j ACCEPT
E outra, ela deve ou não passar pelo proxy ?