Beleza Sérgio, vou tentar o que você sugeriu, se der certo eu aviso.
Se não der um continuo enchendo o saco de vocês, blz ??
Beleza Sérgio, vou tentar o que você sugeriu, se der certo eu aviso.
Se não der um continuo enchendo o saco de vocês, blz ??
Sérgio, blz ?
Seguinte, segui suas intruções de testar regra a regra e achei onde está travando. Abaixo segue o trecho em que as estações param de navegar:
--------------------------- Inicio regras -----------------------------------------
##### Chain FORWARD #####
## Permite redirecionamento de conexoes entre as interfaces locais. ##
## Qualquer trafego vindo/indo para outras interfaces serah bloqueada ##
iptables -A FORWARD -d 192.168.1.0/24 -i eth0 -o eth2 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -i eth2 -o eth0 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
iptables -A FORWARD -j DROP
----------------------------- Fim regras ------------------------------------------
O comando em negrito é que está travando a navegação nas estações.
Ele é necessário ou posso excluir ele das minhas regras ?? Se eu exclui-lo pode dar algum problema futuramente ?? Qual seria ?
O que você sugere que eu faça ?
Para deixar o firewall funcionando eu comentei essa linha...
tenta essa
iptables -A INPUT -i ppp0 -s ip-do-resolv.conf -p udp -j ACCEPT
como aqui eh velox, eu coloquei o -i e o ppp0,
e o -s vc coloca o ip do que ta no arquivo que eh /etc/resolv.conf que o ip do dns de fora
espero ter ajudado!!
Você não precisa da regra iptables -A FORWARD -j DROP já que definiu no começo do firewall a Politica do FORWARD para DROP ( iptables -P FORWARD -j DROP ), seguinte eu não vi declarado as chains syn-chain e ping-chain, eu particularmente não crio novas chains , as que tem já são suficiente, outro coisa suas regras de PREROUTING com ação de SNAT não são necessárias já que vc está com a regra iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE, que por sinal não precisa por -s 192.168.0.0/24 se for pra colocar coloque -s 192.168.0.0/16 por causa das duas redes, outra -i 200.x.x.x não está correto, deveria ser -d 200.x.x.x, tire também das regras de FORWARD os -i e -o, depois que estiver funcionando ai você testa, definir interface de entrada e saida é bom depois que vc logo todo trafego e ve por onde sai e entra e por fim vou dar uma olhada melhor
OBS: tente usar o /etc/sysctl.conf para definir as opções de ip_forward e rp_filter é mais fácil.
Um abraço.
josiel
Valeu ai pra todo mundo que de alguma maneira contribuiu para sanar as minhas dúvidas (Sergio, felco, Brenno, josiel, etc), brigadão galera!!
O firewall está aparentemente funcionando.. agora preciso testar o direcionamento das portas 80 e 53 pro meu server http/dns...
Vamos ver.. hehehehe.. se eu enroscar eu continuo enchendo o saco de vocês blz ?
Pessoal, é o seguinte, acho que as regras que criei para direcionar requisições 80/53 para outra maquina não está funcionando corretamente.
No log não diz nada relevante para que possamos dizer que é aqui ou ali que está dando problema.
A regra está assim:
-------------------------------- Inicio da regra ----------------------------------
## Direciona conexoes para WebServer e DNS (portas 80/53) ##
iptables -t nat -A PREROUTING -i 200.x.x.x -p tcp --dport 80 -j DNAT --to 192.168.1.1:80
iptables -t nat -A PREROUTING -i 200.x.x.x -p udp --dport 53 -j DNAT --to 192.168.1.1:53
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.0/24 --sport 80 -j SNAT --to 200.x.x.x
iptables -t nat -A POSTROUTING -p udp -s 192.168.1.0/24 --sport 53 -j SNAT --to 200.x.x.x
---------------------------------- Fim da regra ----------------------------------
Vejam se estou certo, nas duas primeiras regras usando a opção ( -i ) eu não deveria estar usando eth0 ao invés do IP ?? Ou nesse caso seria melhor usar ( -s ) como foi feito nas duas regras seguintes ??
Por favor, quem puder analisar e me dar uma força eu agradeço !!
PS: Se não for muita folga.. hehehe.. se der pra explicar o funcionamento da regra agradeço.
Pessoal, mudei minha regra para :
----------------------------- Inicio da regra --------------------------------------
iptables -t nat -A PREROUTING -p tcp -d 200.x.x.x --dport 80 -j DNAT --to 192.168.1.1:80
iptables -t nat -A PREROUTING -p udp -d 200.x.x.x --dport 53 -j DNAT --to 192.168.1.1:53
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.1 --sport 80 -j SNAT --to 200.x.x.x
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.1 --sport 53 -j SNAT --to 200.x.x.x
------------------------------- Fim da regra --------------------------------------
Mas mesmo assim digitando no meu browser nas estações o numero do meu IP da internet da "A página não pode ser exibida".
E também quando tento configurar os meus dominios na fapesp da tempo esgotado.
E agora hein ?? QQ eu faço ??
HELP GALERA !! hehehehe
Tem como eu saber se a requisição http e dns (80/53) passaram pelo meu firewall e chegaram até o servidor correto ??
Tem como eu saber se ele respondeu a requisição e repassou as informações para o firewall entregar a quem solicitou ??
Não consigo acessar digitando "http://200.x.x.x/" e quando tento configurar na fapesp da "tempo esgotado".
Será o firewall que ta bloqueando ou o servidor web/dns que não está respodendo ?
Humm... Outra coisa, será que pode ser esse trecho que não está permitindo que o firewall repasse para o server web/dns e vice-versa as requisições ??
----------------------------- Inicio da regra --------------------------------------
## Bloqueia qualquer tentativa de acesso de fora para essa maquina ##
iptables -A internet -m state --state ! ESTABLISHED,RELATED -j LOG --log-prefix "FIREWALL: ppp-in "
iptables -A internet -m state --state ! ESTABLISHED,RELATED -j DROP
----------------------------- Fim da regra ----------------------------------------
No log não tem nenhuma entrada com a informação "FIREWALL: ppp-in "