+ Responder ao Tópico



  1. #1

    Padrão Iptables não libera conexão p/ WEB

    Pessoal não consigo navegar de jeito maneira com as seguintes regras no meu firewall, vcs poderiam verificar onde eu estou errando, pq eu não acho nada errado vlw !!!

    #Ativando Nat
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #Rota redes
    ip route add 192.168.2.0/24 via 192.168.1.251
    ip route add 192.168.3.0/24 via 192.168.1.49

    #Setup default policy
    for i in INPUT FORWARD OUTPUT; do iptables -P $i DROP; done

    #loopback
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT

    #Ports INPUT Free
    #SSH
    iptables -A INPUT -p tcp --dport 2222 -j ACCEPT

    #WEB
    for i in 1 2 3; do iptables -A INPUT -p tcp -s 192.168.$i.0/24 --dport 80 -j ACCEPT; done
    iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT

    #FTP
    iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 60000:61000 -j ACCEPT

    #DNS
    for i in tcp udp; do iptables -A INPUT -p $i --dport 53 -j ACCEPT; done
    for i in tcp udp; do iptables -A OUTPUT -p $i --dport 53 -j ACCEPT; done
    #for i in tcp udp; do iptables -A FORWARD -p $i --dport 53 -j ACCEPT; done

    #SAMBA
    for i in 1 2 3; do iptables -A INPUT -p udp -s 192.168.$i.0/24 --dport 137 -j ACCEPT; done
    for i in 1 2 3; do iptables -A INPUT -p udp -s 192.168.$i.0/24 --dport 138 -j ACCEPT; done
    for i in 1 2 3; do iptables -A INPUT -p tcp -s 192.168.$i.0/24 --dport 139 -j ACCEPT; done
    for i in 1 2 3; do iptables -A INPUT -p tcp -s 192.168.$i.0/24 --dport 445 -j ACCEPT; done

    #NFS
    for i in tcp udp; do iptables -A INPUT -p $i -s 192.168.1.252 --dport 2049 -j ACCEPT; done

    #LAN FREE
    #iptables -A OUTPUT -p tcp -s 192.168.1.0/24 -j ACCEPT
    #iptables -A OUTPUT -p udp -s 192.168.1.0/24 -j ACCEPT

    #ICMP
    iptables -A INPUT -p icmp -j ACCEPT
    iptables -A OUTPUT -p icmp -j ACCEPT

    #STATE RETURN
    for i in INPUT FORWARD OUTPUT; do iptables -A $i -m state --state ESTABLISHED,RELATED -j ACCEPT; done

  2. #2

    Padrão

    Citação Postado originalmente por GuE Ver Post

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    #Setup default policy
    for i in INPUT FORWARD OUTPUT; do iptables -P $i DROP; done
    Cara eu acho que estas regras estao erradas eu tenho aqui assim:

    iptables -t nat -A POSTROUTING -o $ETH -s $REDE_INTERNA -j MASQUERADE

    for i in INPUT FORWARD OUTPUT; do iptables -P $i ACCEPT; done

  3. #3

    Padrão

    Mais ae minha politica default fica tudo accept, preciso de drop default, vlw !!!

  4. #4

    Padrão

    Citação Postado originalmente por GuE Ver Post
    Mais ae minha politica default fica tudo accept, preciso de drop default, vlw !!!

    Não cara.. só deixa ACCEPT a política OUTPUT

  5. #5

    Padrão

    Não posso liberar todas as portas free se não povo vai começar a usar torrent, msn essas coisas, so quero descobrir pq não navega na web sendo que output na 80 e 443 ta accept, vlw !!!

  6. #6

    Padrão DICA

    Caro colega...
    Vou lhe dar a dica do ano..
    Ao vez de você sair por aii dando um monte de ACCEPT, DROP ou REJECT
    Faz o seguinte...
    Dê os ACCEPT que você tem q dar....
    e depois utilize essa regra

    iptables -A INPUT -p tcp --syn -j DROP

    Essa regra rejeita tudo que você não "Liberou" ou seja... vc nao deu ACCEPT na porta 22... ninguem vai conseguir fazer um SSH.. .OK
    Apenas essa regrinha resolve seu problema...
    Abraços espero ter ajudado.

    By: Jonas Maciel
    MSN: [email protected]

  7. #7

    Padrão

    Quero minha politica drop so queria uma resposta pq não navega só isso com a regra accept

  8. #8

    Padrão

    Dropa tudo

    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P FORWARD DROP
    /sbin/iptables -P OUTPUT DROP

    masquerade

    /sbin/iptables -A FORWARD -s $REDEINTERNA -j ACCEPT
    /sbin/iptables -A FORWARD -d $REDEINTERNA -j ACCEPT
    /sbin/iptables -t nat -A POSTROUTING -o $ETHEXTERNO -s $REDEINTERNA -j MASQUERADE

    para que complicar o que é simples, o que o lovenique falou é o que uso mais simples que isso não tem.

  9. #9

    Padrão

    uma maneira bem simples é como o magnusrk8 comentou...

    eu apenas uso 1 coisinha diferente, a policy de OUTPUT está em ACCEPT....


    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -s REDE_INTERNA -o eth0 -j MASQUERADE

    essas 2 regras são o mínimo que permite vc acessar, o resto vc vai incrementando....


    abçs

  10. #10

    Padrão

    Se eu deixa output accept pessoal vai bombar torrent p2p msn, ae fica osso, mais ate agora ninguem me explico pq eu dando accpet no output na porta 80 nçao navega falta algo ?

  11. #11

    Padrão

    Citação Postado originalmente por GuE Ver Post
    Se eu deixa output accept pessoal vai bombar torrent p2p msn, ae fica osso, mais ate agora ninguem me explico pq eu dando accpet no output na porta 80 nçao navega falta algo ?
    O teu MASQUERADE esta errado..

  12. #12

    Padrão

    Citação Postado originalmente por GuE Ver Post
    Se eu deixa output accept pessoal vai bombar torrent p2p msn, ae fica osso, mais ate agora ninguem me explico pq eu dando accpet no output na porta 80 nçao navega falta algo ?

    Bloqueia os protocolos, listas de servidores.. portas.. dessas aplicações.. e libera as saida..