Firewall e proxy nada funciona

[strongarl]

Olá galera etou com seguintes problema de rede
minha rede é a seguinte
internet ip fixo xxx.xxx.xxx.xxx
modem em modo route D-link 500g IV
ip 10.1.1.1 nat de porta no ome para o servidor linux
Servidor Linux Debian Firewall e Proxy com dua Ethernet eth1 e eth0
IP Eth1 10.1.1.2 Internet
Eth0 192.168.1.100 rede local
modem ligado na Eth1
outro Sevidor de dados Windows 2000 Professional
IP 192.168.1.1
O problema é que o firewall não faz nat para o segundo servidor nem libera as portas de o mesmo,
esse servidor windows tem que enviar e-mail para uma empresa privada que e proprietaria o bando de bado que nele roda
essa mesma empresa tem que entra no nesse servidor para dar suporte e autaliza-lo tenho que liberar as seguintes portas
22,21,23,24,25,2222 e 4899 tambem não consigo acessa-lo de fora de casa ou de qualquer outro lugar o ssh esta na porta 22
O proxy tambem não funciona nada os micro não acessam a internet pelo proxy nem como transparente
No firewall e no proxy eu usei o modelo do livro Servidores Linux guia pratico do Carlos Morimoto. não funciona nem na configuração minima de 4 linhas
do livro.
no firewall ja tentei de varias formas a unica coisa que funciona e a internet.
A questão é sera que o problema é o script firewall? ou ips das eths
se possivel me envie um script firewalll com as seguintes enfase.
Internet IP Fixo
Modem roteado ou bridge
Eths Eth1 e Eth0 qual faixa de ips 192.168.xx ou 10.xxx
Script Firewall para fazer nat.
estou amargando nisso a mais de um mês
Obrigado.

[Magnun]

Acredito que o problema talvez seja o roteamento que esteja desativado. Os endereços das eths tão ok... Só confirma a máscara que tá nos IPs.

echo 1 > /proc/sys/net/ipv4/ip_forward

Depois testa do windows se você ping pra internet normal... Se não pingar posta teu iptables ai...

Só mais uma coisa, você falou de um proxy. Mas esse proxy é a mesma máquina do firewall certo?!

Até mais...

Olá galera etou com seguintes problema de rede
minha rede é a seguinte
internet ip fixo xxx.xxx.xxx.xxx
modem em modo route D-link 500g IV
ip 10.1.1.1 nat de porta no ome para o servidor linux
Servidor Linux Debian Firewall e Proxy com dua Ethernet eth1 e eth0
IP Eth1 10.1.1.2 Internet
Eth0 192.168.1.100 rede local
modem ligado na Eth1
outro Sevidor de dados Windows 2000 Professional
IP 192.168.1.1
O problema é que o firewall não faz nat para o segundo servidor nem libera as portas de o mesmo,
esse servidor windows tem que enviar e-mail para uma empresa privada que e proprietaria o bando de bado que nele roda
essa mesma empresa tem que entra no nesse servidor para dar suporte e autaliza-lo tenho que liberar as seguintes portas
22,21,23,24,25,2222 e 4899 tambem não consigo acessa-lo de fora de casa ou de qualquer outro lugar o ssh esta na porta 22
O proxy tambem não funciona nada os micro não acessam a internet pelo proxy nem como transparente
No firewall e no proxy eu usei o modelo do livro Servidores Linux guia pratico do Carlos Morimoto. não funciona nem na configuração minima de 4 linhas
do livro.
no firewall ja tentei de varias formas a unica coisa que funciona e a internet.
A questão é sera que o problema é o script firewall? ou ips das eths
se possivel me envie um script firewalll com as seguintes enfase.
Internet IP Fixo
Modem roteado ou bridge
Eths Eth1 e Eth0 qual faixa de ips 192.168.xx ou 10.xxx
Script Firewall para fazer nat.
estou amargando nisso a mais de um mês
Obrigado.

[strongarl]

Acredito que o problema talvez seja o roteamento que esteja desativado. Os endereços das eths tão ok... Só confirma a máscara que tá nos IPs.

echo 1 > /proc/sys/net/ipv4/ip_forward

Depois testa do windows se você ping pra internet normal... Se não pingar posta teu iptables ai...

Só mais uma coisa, você falou de um proxy. Mas esse proxy é a mesma máquina do firewall certo?!

Até mais...

Cara valeu pela Atenção é o seuinte o problema do firewall ´que não consigo acessar ele de fora e
tem uma empresa que tem que passa pelo firewall no segundo servidor que é win2000 ou seja fazer nat
o mdem esta em modo route ip valido é fixo ai eu faço nat para o servidor linux e o linux tem que repassar certo isso não esta acontecedo.

ja o Proxy nada funciona segue a configuração do firewall e do proxy todos eles estam na mesma maquina Linux debian etch.

Firewall Iptables

#!/bin/bash
echo ################################### ######################
echo Editado por Cybersolutins
echo Cybertron Fireball
echo ################################### ######################
# Interface da Internet:
ifinternet="eth1"
# Interface da rede local
iflocal="eth0"
iniciar(){
# Carrega tabela de roteamento
modprobe iptable_nat
# Compartilhar a conexão
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
# POrta de Proxy
iptables -A INPUT -i $iflocal -p tcp --dport 3128 -j ACCEPT
#iptables -t nat -A PREROUTING -i $iflocal -p --dport 80 -j REDIRECT --to-port 3128
# Regras de Firewall
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
# Abri para conexões na interface local e rede local
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $iflocal -j ACCEPT
# Abrir portas
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m multiport -p tcp --dport 21,24 -j ACCEPT
# Dropa pacotes nal formados
iptables -A INPUT -p tcp --syn -j DROP
parar(){
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo 0 > /proc/sys/net/ipv4/ip_forward
echo " Regras de Firewall e compartilhamento desativados"
}
case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâmetros start ou stop"
esac

Lembrando que os terminais acessam a internet pelo firewall via nat isso esta fucnionando blz so isso uqe o sresto ta doze srss

Proxy


http_port 3128
visible_hostname debian
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl redelocal src 192.168.1.0/24
http_access allow localhost
http_access allow redelocal
http_access deny all

quando eu configuro os navegadores para navega pelo proxy a internet não fuiciona no caso quero locar o proxy para funciona depois adicionar as restrições e seu colocar ele transparente como ta não da para saber

Eths

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.1.100
netmask 255.255.255.0
network 191.168.0.0
broadcast 192.168.0.255
# The secundary network interface
auto eth1
iface eth1 inet static
address 10.1.1.2
netmask 255.0.0.0
network 10.0.0.0
broadcast 10.255.255.255
gateway 10.1.1.1
# dns-* options are implemented by the resolvconf package, if installes
dns-nameservers 10.1.1.1
dns-search .net

lembrando que todos os terminais acompanham a mesma classe e faixa de ip da eth0 rede local 192.168.1.x

de inicio vamos primeiro resolver o firewall depois o proxy

Obrigado pela ajunda.

[Magnun]

Hum... vc fez redirecionamento de portas no modem??

[strongarl]

Hum... vc fez redirecionamento de portas no modem??

Sim o modem direciona para o linux e o linux tem que direciona para maquina
talves não receba sua resposta por que o moderado do furum concluiu que podem tem resposta
desse genero no forum então se quizer pode me adiciona no msn [email protected]

[Magnun]

Você tem certeza que ta tudo chegando no linux então??

Cara, no script do teu firewall não tem nenhum redir...

Dá uma olhada nesse link: Guia Foca GNU/Linux - Firewall iptables

Ai ensina a fazer o redirecionamento.

Por exemplo, isso aqui faz o redir da porta 80 para o host 192.168.1.210:

Código :

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 192.168.1.210

Qualquer dúvida posta ai...

[Pirigoso]

troque isso

Código :

# Dropa pacotes nal formados
iptables -A INPUT -p tcp --syn -j DROP

por isso

Código :

# Dropa pacotes nal formados
 #iptables -A INPUT -p tcp --syn -j DROP

[strongarl]

troque isso

Código :

# Dropa pacotes nal formados
iptables -A INPUT -p tcp --syn -j DROP

por isso

Código :

# Dropa pacotes nal formados
 #iptables -A INPUT -p tcp --syn -j DROP

Ola blz mas qual é a diferença
se # antes do comanda o firewall não ignora a regra?

[strongarl]

Você tem certeza que ta tudo chegando no linux então??

Cara, no script do teu firewall não tem nenhum redir...

Dá uma olhada nesse link: Guia Foca GNU/Linux - Firewall iptables

Ai ensina a fazer o redirecionamento.

Por exemplo, isso aqui faz o redir da porta 80 para o host 192.168.1.210:

Código :

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 192.168.1.210

Qualquer dúvida posta ai...

Olá eu estudei as regras de Nat ma não funciono

usei essas testei uma de cada vez
é a porta que quero direciona do Radmin
ip do linux 192.168.1.100
192.168.1.1 é o servidor windows
$ifinternet= eth1 e $iflocal=eth0
Primeiro testei

iptables -A INPUT -p tcp --dport 4899-j ACCEPT
iptables -A FORWARD -p tcp -d $iflocal--dport 4899 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 4899 -j DNAT --to 192.168.1.1:4899
não funciono

depois

iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 4899 -j DNAT --to 192.168.1.100
iptables -t nat -A POSTROUTING -d 192.168.1.100 -j SNAT --to 192.168.1.1
tambem não

não sei se poder ser mas as regras que fazem nat estam logo abaixo das que compartilhar
echo 1> /proc/sys/net/ipv4/ip_forward ou eles devem vir antes?
pode ser tambem o fato de a ip ta internet ser fixo?

outra coisa coisa tambem tentei entra no servido usado o ssh não foi lembrando que o servidor pinga para fora.

obrigado

[Pirigoso]

Ola blz mas qual é a diferença
se # antes do comanda o firewall não ignora a regra?

sim este comando esta impedindo qualquer conexao a qualquer servico que vc rodar ^^

[strongarl]

sim este comando esta impedindo qualquer conexao a qualquer servico que vc rodar ^^

Certo vou testa e qualquer coisa eu posto ok

Obrigado!

[franklincsilva]

cara retira essa linha aqui do teu firewall já que você quer que os micros funcionem atraves do proxy.

echo 1 > /proc/sys/net/ipv4/ip_forward

como isso aqui faz o compartilhamento ficar automatico isso fica dificil funcionar...

outra coisa como que você usa no seu proprio script isso aqui:

iptables -F
Sabendo que isso ira limpar todas a regras que você fez?

e também esta aqui

iptables -t nat -F
Sabendo que ira limpar qualquer coisa feita no NAT.

recomendo meso é fazer as coisa do zero.

linha a linha e testa cada uma delas...

[strongarl]

cara retira essa linha aqui do teu firewall já que você quer que os micros funcionem atraves do proxy.

echo 1 > /proc/sys/net/ipv4/ip_forward

como isso aqui faz o compartilhamento ficar automatico isso fica dificil funcionar...

outra coisa como que você usa no seu proprio script isso aqui:

iptables -F
Sabendo que isso ira limpar todas a regras que você fez?

e também esta aqui

iptables -t nat -F
Sabendo que ira limpar qualquer coisa feita no NAT.

recomendo meso é fazer as coisa do zero.

linha a linha e testa cada uma delas...

Olá muito obrigado pela atenção

mas recapitulando para que o proxy funione é necessario retira o camando que compartiha via NAt? echo 1 > /proc/sys/net/ipv4/ip_forward

e tambem sera necessario retirar esses comomandos?
iptables -F
iptables -t nat -F

Certo minha prioridade é faze com que o firewall direcione a porta 4899 para um segundo servidor
windows e fazer com que as maquinas terminais rodem pelo proxy mas se tirar o comando que compartilha a net via nat como que o servidor vai rotaer a internet? se é para comesar o zero me uma dica como fazer o que firewall direcione essa porta e fazer passar pelo proxy. Lembrando que
não consigo acessa-lo externamente pelo ssh usando o ip valido que é fixo, o ssh só funciona
localmente. que problema em srsrsrsr.

Obrigado.

[franklincsilva]

Essa é a melhor resposata que encontrei.

Segui esse manual do gdh e deu muito certo, apenas quando ativei o proxy tive que tira o:
# echo 1 > /proc/sys/net/ipv4/ip_forward

Porque tava atraapanhando dai usei o:

#iptables -F

depois fiz um script onde não tinha compartilhamento, so redirecionamento de portas como em:

iptables -A INPUT -i -p tcp --dport 3128 -j ACCEPT

Usei também algumas outras regras para protejer meu servidor da internet.

veja a pagina e me diz se tu conseguiu beleza.

Servidores Linux, Guia Prático: Capítulo 2: Compartilhamento, DHCP e Proxy


Esse aqui vai te dar mais opção do script para firewall:

Redes e Servidores Linux, 2ed.: Escrevendo um script de firewall

Boa leitura...

[Pirigoso]

Essa é a melhor resposata que encontrei.

Segui esse manual do gdh e deu muito certo, apenas quando ativei o proxy tive que tira o:
# echo 1 > /proc/sys/net/ipv4/ip_forward

pelo amor cara , que isso, hoje se usa proxy apenas na 80 o resto vc faz nat, muito ajuda quando nao se atrapalha ou nao se sabe o que esta falando.

[irado]

"moderado do furum concluiu que podem tem resposta
desse genero no forum então se quizer pode me adiciona no msn"

o magnum não costuma fazer isso - pelo menos, nunca vi; o post é pertinente -pelo que eu entenda.

bem, seria necessário que vc informasse alguma coisa dos 'log's - não fui olhar suas regras, sou preguiçoso demais pra isso, mas julgo que tem a ver com as famigeradas regras snat/dnat de redirecionamento de portas.

O magnum - do post anterior - é um dos maiores especialistaas brasileiros nisso, tanto que escreveu um tutorial que "possivelmente" ajude vc:

[Dica] Problema Comum no Redirecionando com Iptables (NAT & SNAT) - Parte 2/2 - Under-Linux.org

divirta-se.