Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. quando eu reinicio o linux o firewall sobe normal, mais um das liberações que fiz não subiu e se eu restarto o serviço fire ele sobe mais as outras portas não funciona.

    Os que estão em parenteses foi o que eu fiz hoje e no restart no serviço ele ativa mais os demais não

    e se eu restarto o linux o firewall sobe mais o liberação que criei hoje não sobe.

    segue aqui o rc.firewall

    # Custom firewall rules.
    # This file is executed by the firewall on stop/start/restart.

    # LIBERA TRÃEGO DA LAN PARA CX. FEDERAL NA PORTA 80 (IDA/ VOLTA)
    /sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 200.201.174.0/24 --dport 80 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp -d 192.168.0.0/24 -s 200.201.174.0/24 --dport 80 -j ACCEPT

    # LIBERA TRÃEGO DA LAN PARA CX. FEDERAL NA PORTA 2631 (IDA/ VOLTA)
    /sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 200.201.174.0/24 --dport 2631 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp -d 192.168.0.0/24 -s 200.201.174.0/24 --dport 2631 -j ACCEPT

    # LIBERA TRÃEGO DA LAN PARA CX. FEDERAL NA PORTA 80 (IDA/ VOLTA)
    /sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 200.201.174.0/24 --dport 80 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp -d 192.168.0.0/24 -s 200.201.174.0/24 --dport 80 -j ACCEPT

    # LIBERA TRÃEGO DA LAN PARA CX. FEDERAL NA PORTA 2631 (IDA/ VOLTA)
    /sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 200.201.174.0/24 --dport 2631 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp -d 192.168.0.0/24 -s 200.201.174.0/24 --dport 2631 -j ACCEPT

    # EXCLUE IP DA CX. FEDERAL DO PROXY TRANSPARENTE
    /sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -s 192.168.0.0/24 -d 200.201.174.0/24 --dport 80 -j RETURN
    /sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -d 192.168.0.0/24 -s 200.201.174.0/24 --dport 80 -j RETURN

    # REDIRECIONA TRÃEGO INTERNO PARA PROXY TRANSPARENTE
    /sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -s 192.168.0.0/24 -d ! 192.168.0.0/24 --dport 80 -j REDIRECT --to-port 3128
    /sbin/iptables -t nat -A PREROUTING -p udp -i eth1 -s 192.168.0.0/24 -d ! 192.168.0.0/24 --dport 80 -j REDIRECT --to-port 3128

    ##################################### Conectividade Social ###########################################################
    ########## Bloqueando Msn para toda rede #####################################
    echo "Bloqueio do MSN Messenger para Toda Rede"
    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p tcp --dport 1863 -j DROP
    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p tcp --dport 7001 -j DROP
    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p tcp --dport 1857 -j DROP
    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p tcp --dport 554 -j DROP
    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p udp --dport 554 -j DROP
    /sbin/iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p udp --dport 4662 -j DROP

    #iptables -t nat -I PREROUTING -p 47 -j DNAT --to 192.168.0.253
    #iptables -t nat -I PREROUTING -p tcp --dport 1723 -j DNAT --to 192.168.0.253
    #iptables -t nat -I PREROUTING -p udp --dport 1723 -j DNAT --to 192.168.0.253

    # Redirecionamento Microsiga
    iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p tcp --dport 1909 -j DNAT --to-destination 192.168.0.11
    iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 1909 -d 192.168.0.11 -j ACCEPT
    iptables -A FORWARD -d 0.0.0.0/0 -p tcp --sport 1909 -s 192.168.0.11 -j ACCEPT

    iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p tcp --dport 1024 -j DNAT --to-destination 192.168.0.10
    iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 1024 -d 192.168.0.10 -j ACCEPT
    iptables -A FORWARD -d 0.0.0.0/0 -p tcp --sport 1024 -s 192.168.0.10 -j ACCEPT

    iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.11
    iptables -A FORWARD -p tcp --dport 3389 -d 192.168.0.11 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 3389 -s 192.168.0.11 -j ACCEPT

    iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p tcp --dport 2024 -j DNAT --to-destination 192.168.0.11
    iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 2024 -d 192.168.0.11 -j ACCEPT
    iptables -A FORWARD -d 0.0.0.0/0 -p tcp --sport 2024 -s 192.168.0.11 -j ACCEPT

    # Redirecionar 1433 para maquina final 10
    iptables -t nat -A PREROUTING -d xxx.xx.xxx.xx -p tcp --dport 1433 -j DNAT --to 192.168.0.10:1433
    iptables -t nat -A POSTROUTING -d 192.168.0.10 -p tcp --dport 1433 -j SNAT --to xxx.xx.xxx.xx

    # Redirecionar 2024 para maquina final 11
    iptables -t nat -A PREROUTING -d xxx.xx.xxx.xx -p udp --dport 2024 -j DNAT --to 192.168.0.11:2024
    iptables -t nat -A POSTROUTING -d 192.168.0.11 -p udp --dport 2024 -j SNAT --to xxx.xx.xxx.xx

    iptables -I INPUT -p tcp --dport 22 -j ACCEPT
    iptables -I OUTPUT -p tcp --sport 22 -j ACCEPT

    # Redirecionamento FTP (criado hoje)
    iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p tcp --dport 21 -j DNAT --to-destination 192.168.0.253
    iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 21 -d 192.168.0.253 -j ACCEPT
    iptables -A FORWARD -d 0.0.0.0/0 -p tcp --sport 21 -s 192.168.0.253 -j ACCEPT

    # Redirecinar FTP para maquina final 253(Criado hoje)
    iptables -t nat -A PREROUTING -d xxx.xx.xxx.xx -p udp --dport 21 -j DNAT --to 192.168.0.21:21
    iptables -t nat -A POSTROUTING -d 192.168.0.253 -p udp --dport 21 -j SNAT --to xxx.xx.xxx.xx

    LLEVON="201.6.98.153 63.134.253.169 216.32.90.170 "
    for i in $LLEVON; do {
    iptables -I INPUT -s $i -j ACCEPT
    iptables -I FORWARD -s $i -j ACCEPT
    iptables -I FORWARD -d $i -j ACCEPT
    iptables -I OUTPUT -d $i -j ACCEPT
    }; done;

    Última edição por alexsuporte2008; 11-05-2008 às 14:44.

  2. cara suas regras stao totalmente sem nexo , é melhor vc estudar mais iptables



  3. ta qual é a regra que naum levanta ????

  4. Alex,

    Primeira coisa Organização e primordial, sem isso não se vai a lugar nenhum.

    Da uma olhada abaixo e entenda melhor o que estou dizendo:

    #!/bin/bash
    # Carregando módulos necessários e dando inicio ao firewall
    case "$1" in
    start)
    echo "Iniciando Firewall..."
    # depmod -a
    # modprobe ip_tables
    # modprobe iptable_nat
    # modprobe iptable_filter
    # modprobe ipt_MASQUERADE
    # modprobe ip_conntrack
    # modprobe ip_conntrack_ftp
    # modprobe ip_nat_ftp
    # modprobe ipt_mark
    # modprobe ipt_MARK
    # modprobe iptable_mangle
    # modprobe ipt_REJECT

    # Ativa Roteamento via kernel
    echo 1 > /proc/sys/net/ip_forward

    # Zerando as chains existentes
    iptables -F
    iptables -X
    iptables -F -t nat
    iptables -X-t nat

    # Definindo política padrão
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    # Permissões de acesso ao firewall
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # Abrindo algumas portas
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    # Mascarando a conexao
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    # Bloqueando POrtScanners
    iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
    iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
    iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
    iptables -A INPUT -p tcp --tcp-flags ALL FIN -j DROP
    iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
    iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
    iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

    ;;
    stop)
    echo “Parando Firewall:”
    iptables –F
    iptables –t nat –F

    ;;
    restart)
    $0 stop
    $0 start
    ;;
    status)
    iptables –L
    iptables –t nat –L
    ;;
    *)
    echo “Use: $0 {start|stop|restart|status}”
    exit 1
    ;;
    esac
    exit 0


    Abração

    Jean
    Última edição por gatoseco; 12-05-2008 às 19:26.



  5. o seco, vc quer bloquerar portscaner interno com destino externo?


    pois a chain forward é para esta utilização

    outra observação vc utilizou no final do firewall input -j drop e forward -j drop

    por que vc fez isso se vc definiu a politica padrao dos pacotes no inicio como drop, estas 2 linhas são desnecessarias
    Última edição por Pirigoso; 12-05-2008 às 19:00.






Tópicos Similares

  1. Problema com firewall no CL 10
    Por no fórum Servidores de Rede
    Respostas: 5
    Último Post: 05-08-2005, 16:39
  2. Problema com firewall iptables + dominio interno
    Por bandlinux no fórum Servidores de Rede
    Respostas: 4
    Último Post: 30-04-2005, 23:05
  3. Problema com firewall
    Por jlbavaresco no fórum Servidores de Rede
    Respostas: 2
    Último Post: 12-01-2005, 11:05
  4. LowID no XMULE, problemas com Firewall
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 27-10-2004, 11:29
  5. problemas com firewall
    Por biosterlinux no fórum Servidores de Rede
    Respostas: 3
    Último Post: 11-06-2004, 15:39

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L