Página 3 de 3 PrimeiroPrimeiro 123
+ Responder ao Tópico



  1. #41

    Padrão

    Citação Postado originalmente por Draconro Ver Post
    Ae esqueci de peguntar se vc esta usando um modem adsl em modo bridge ou em modo pppoe? Pois se vc estive utilizando um modem em modo ppoe utiliza o sistema DMZ so modem pra ser direcionado tudas as portas para um determinado ip que vc quer ok!? Mas se vc estiver usando-o em modo bridge vc deve de esta fazendo alguma coisa errada ae ok!

    Abraços! Flws!

    Bem, lembrado, talvez esteja faltando fazer um redirecionamento no modem pro teu firewall... GregorioVenturim, como funciona seu acesso a internet??

  2. #42

    Padrão

    A conexão com a Internet é realizada através de um link dedicado da Oi, passando por um roteador Cyclades e um modem de propriedade dela. É um serviço IPConect fornecido pela prestadora. O modelo do Modem eu não possuo.



  3. #43

    Padrão

    O seu linux se conecta a esse modem através de uma interface ethernet? Qual o endereço dela?? Se o modem estivar fazendo nat de nada adianta todas essas regras...

  4. #44

    Padrão

    O meu linux (OpenSuSE) se conecta com uma interface Ethernet sim e está configurada com o ip externo que possuimos, na faixa 200.x.x.x, agora vai se saber se o modem faz nat !!!
    Penso que não o faça, mas vou ver se consigo alguma informação com o pessoal da Oi.

    E a máquina tem uma outra interface com o endereço da rede interna, na faixa 192.168.x.x

    De qualquer forma, fico muito satisfeito com a ajuda que tem me prestado. Com certeza absoluta, não conseguiria uma ajuda desse nível em fóruns de sistemas pagos (M.cr.$$$$.ft).



  5. #45

    Padrão

    Cara, se seu Linux ta com um IP válido ja deve estar tudo redirecionado pra ele. Se quiser fazer um teste, peça para que alguém acesse via internet (de preferência outra internet não pode ser a mesma provida pelo linux) o IP do Linux e veja se caiu nele.

    Agora como você vê isso?? ai é que tá. Você pode liberar o acesso ao seu server via ssh e pedir pra alguém tentar acessar. Se ele acessar sem problemas não é necessário alterar nada no modem.

    Se você não tiver feito nenhuma restrição no iptables é bem provável que não precise liberar o ssh. Mas caso seja necessário liberar ssh utilize essa regra:
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

    Importante: Mantenha essas regras somente pra testar o ssh pois alguém pode tentar atacar seu server via ssh...

    Caso você não saiba como remover uma regra, é só utilizar o mesmo comando mas ao invez so -A utilize -D :
    iptables -D INPUT -p tcp --dport 22 -j ACCEPT
    iptables -D INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

  6. #46

    Talking

    Ae gente pode ser tambem pq eu fiz esse config no kurumin.
    E as linhas que eu passei la ficam separadas.
    Esse primeiro conjunto fica na parte chamada de compartilhar-conexao.sh
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp

    e a segunda fica em kurumin-firewall
    iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

    iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT

    iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

    E alem do mais acabei falando bestateira sobre a questao se o seu modem esta ou nao redirecionando ou se esta roteado ou nao, pois isso nao tem nada haver nesse caso pelo que eu podi entender.

    Mas presta atencao em uma coisa que me veio na mente essas regras estao logo na primeira linha, principalmente o primeiro conjunto e logo apos o segundo conjunto e verificando se o seu firewall nao esta no fim das suas regras bloqueando as mesmas, pois nao adianta permitir e depois bloquea-las novamente.

    Espero que com isso consigamos resolver o probleminha do basnesfacil...
    ...que de facil nao tem nada...
    ...hehehehehe!...
    Abracos!



  7. #47

    Padrão

    Citação Postado originalmente por Draconro Ver Post
    Ae gente pode ser tambem pq eu fiz esse config no kurumin.
    E as linhas que eu passei la ficam separadas.
    Esse primeiro conjunto fica na parte chamada de compartilhar-conexao.sh
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp

    e a segunda fica em kurumin-firewall
    iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

    iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT

    iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

    E alem do mais acabei falando bestateira sobre a questao se o seu modem esta ou nao redirecionando ou se esta roteado ou nao, pois isso nao tem nada haver nesse caso pelo que eu podi entender.

    Mas presta atencao em uma coisa que me veio na mente essas regras estao logo na primeira linha, principalmente o primeiro conjunto e logo apos o segundo conjunto e verificando se o seu firewall nao esta no fim das suas regras bloqueando as mesmas, pois nao adianta permitir e depois bloquea-las novamente.

    Espero que com isso consigamos resolver o probleminha do basnesfacil...
    ...que de facil nao tem nada...
    ...hehehehehe!...
    Abracos!
    Amigo, acho que você se confundiu, se houver uma regra permitindo e depois uma bloqueando um certo tráfego, a segunda regra se torna inútil, pois quando o tráfego "se encaixa" na primeira regra, ele permite e nem verifica as próximas regras...

    Outra coisa, se o Modem dele tiver fazendo NAT importa sim, pois as tentativas de conexão vão parar nele e será necessário fazer um forwarding para que a conexão chegue no host de destino da rede interna.

    Por último, vou dar uma pesquisada nisso mas acho que você se confundiu um pouco com suas regras, pois uma vez que o linux ta roteando a conexão ele não utiliza a chain INPUT e OUTPUT, somente a PREROUTING, FORWARD E POSTROUTING. A INPUT e OUTPUT são utilizadas para dados gerados no Linux, ou endereçados ao Linux... Mas posso estar enganado...

    Até mais...

  8. #48

    Talking

    Esse e o meu config por inteiro do meu firewall no linux kurumin, vejam essa config e façam a modificação para sua estrutura e postem c resolver o problema, pois o meu so resolveu assim...

    #!/bin/bash
    # Script de configuração do iptables gerado pelo configurador do Kurumin
    # Este script pode ser usado em outras distribuições Linux que utilizam o Kernel 2.4 em diante
    # Por Carlos E. Morimoto
    firewall_start(){
    # Abre para uma faixa de endereços da rede local
    iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT

    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --dport 4226 -j ACCEPT

    # Abrindo conexao ftp em modo passivo e ativo
    iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT


    # Ignora pings
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
    # Proteção contra IP spoofing
    echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

    # Protege contra synflood
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies

    # Proteção contra ICMP Broadcasting
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

    # Bloqueia traceroute
    iptables -A INPUT -p udp --dport 33435:33525 -j DROP


    # Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
    iptables -A INPUT -m state --state INVALID -j DROP


    # Abre para a interface de loopback.
    # Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
    iptables -A INPUT -i lo -j ACCEPT

    # Fecha as portas udp de 1 a 1024
    iptables -A INPUT -p udp --dport 1:1024 -j DROP
    iptables -A INPUT -p udp --dport 59229 -j DROP

    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.100
    iptables -t nat -A POSTROUTING -d 192.168.0.100 -j SNAT --to 192.168.0.1

    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.101
    iptables -t nat -A POSTROUTING -d 192.168.0.101 -j SNAT --to 192.168.0.1

    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.102
    iptables -t nat -A POSTROUTING -d 192.168.0.102 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.103
    iptables -t nat -A POSTROUTING -d 192.168.0.103 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.104
    iptables -t nat -A POSTROUTING -d 192.168.0.104 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.105
    iptables -t nat -A POSTROUTING -d 192.168.0.105 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.106
    iptables -t nat -A POSTROUTING -d 192.168.0.106 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.107
    iptables -t nat -A POSTROUTING -d 192.168.0.107 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.108
    iptables -t nat -A POSTROUTING -d 192.168.0.108 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.109
    iptables -t nat -A POSTROUTING -d 192.168.0.109 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.110
    iptables -t nat -A POSTROUTING -d 192.168.0.110 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.111
    iptables -t nat -A POSTROUTING -d 192.168.0.111 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.112
    iptables -t nat -A POSTROUTING -d 192.168.0.112 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.113
    iptables -t nat -A POSTROUTING -d 192.168.0.113 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.114
    iptables -t nat -A POSTROUTING -d 192.168.0.114 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.115
    iptables -t nat -A POSTROUTING -d 192.168.0.115 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.116
    iptables -t nat -A POSTROUTING -d 192.168.0.116 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.117
    iptables -t nat -A POSTROUTING -d 192.168.0.117 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.118
    iptables -t nat -A POSTROUTING -d 192.168.0.118 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.119
    iptables -t nat -A POSTROUTING -d 192.168.0.119 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.120
    iptables -t nat -A POSTROUTING -d 192.168.0.120 -j SNAT --to 192.168.0.1

    # Esta regra é o coração do firewall do Kurumin,
    # ela bloqueia qualquer conexão que não tenha sido permitida acima, justamente por isso ela é a última da cadeia.
    iptables -A INPUT -p tcp --syn -j DROP

    echo "O Kurumin Firewall está sendo carregado..."
    sleep 1
    echo "Tudo pronto!"
    sleep 1
    }
    firewall_stop(){
    iptables -F
    iptables -X
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT
    }

    case "$1" in
    "start")
    firewall_start
    ;;
    "stop")
    firewall_stop
    echo "O kurumin-firewall está sendo desativado"
    sleep 2
    echo "ok."
    ;;
    "restart")
    echo "O kurumin-firewall está sendo desativado"
    sleep 1
    echo "ok."
    firewall_stop; firewall_start
    ;;
    *)
    iptables -L -n
    esac

    e o meu modem ak so esta roteado e no firewall do modem esta habilitado o sistema em modo DMZ.
    Espero que assim possa ajudar agora!
    hehehehehehe!
    Vlw! T+



  9. #49

    Padrão

    Citação Postado originalmente por tianguapontocom Ver Post
    Cara tenta isso, tira o trafego desse seu cliente do redirecionamento da 3128 e joga direto pra 80 "lembrando que a porta 80 não e do squid a porta do squid ea 3128 não misturem as bolas"

    Código :
    iptables -t nat -A PREROUTING -p tcp --dport 80 -
    s ip_da_maquina_que_usa_seu_sistema -j ACCEPT
    Pra que fazer isso se apenas utiliza as portas 20/21 e 4226?

  10. #50

    Padrão

    Citação Postado originalmente por Draconro Ver Post
    Esse e o meu config por inteiro do meu firewall no linux kurumin, vejam essa config e façam a modificação para sua estrutura e postem c resolver o problema, pois o meu so resolveu assim...

    #!/bin/bash
    # Script de configuração do iptables gerado pelo configurador do Kurumin
    # Este script pode ser usado em outras distribuições Linux que utilizam o Kernel 2.4 em diante
    # Por Carlos E. Morimoto
    firewall_start(){
    # Abre para uma faixa de endereços da rede local
    iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT

    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --dport 4226 -j ACCEPT

    # Abrindo conexao ftp em modo passivo e ativo
    iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT


    # Ignora pings
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
    # Proteção contra IP spoofing
    echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

    # Protege contra synflood
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies

    # Proteção contra ICMP Broadcasting
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

    # Bloqueia traceroute
    iptables -A INPUT -p udp --dport 33435:33525 -j DROP


    # Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
    iptables -A INPUT -m state --state INVALID -j DROP


    # Abre para a interface de loopback.
    # Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
    iptables -A INPUT -i lo -j ACCEPT

    # Fecha as portas udp de 1 a 1024
    iptables -A INPUT -p udp --dport 1:1024 -j DROP
    iptables -A INPUT -p udp --dport 59229 -j DROP

    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.100
    iptables -t nat -A POSTROUTING -d 192.168.0.100 -j SNAT --to 192.168.0.1

    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.101
    iptables -t nat -A POSTROUTING -d 192.168.0.101 -j SNAT --to 192.168.0.1

    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.102
    iptables -t nat -A POSTROUTING -d 192.168.0.102 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.103
    iptables -t nat -A POSTROUTING -d 192.168.0.103 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.104
    iptables -t nat -A POSTROUTING -d 192.168.0.104 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.105
    iptables -t nat -A POSTROUTING -d 192.168.0.105 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.106
    iptables -t nat -A POSTROUTING -d 192.168.0.106 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.107
    iptables -t nat -A POSTROUTING -d 192.168.0.107 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.108
    iptables -t nat -A POSTROUTING -d 192.168.0.108 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.109
    iptables -t nat -A POSTROUTING -d 192.168.0.109 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.110
    iptables -t nat -A POSTROUTING -d 192.168.0.110 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.111
    iptables -t nat -A POSTROUTING -d 192.168.0.111 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.112
    iptables -t nat -A POSTROUTING -d 192.168.0.112 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.113
    iptables -t nat -A POSTROUTING -d 192.168.0.113 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.114
    iptables -t nat -A POSTROUTING -d 192.168.0.114 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.115
    iptables -t nat -A POSTROUTING -d 192.168.0.115 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.116
    iptables -t nat -A POSTROUTING -d 192.168.0.116 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.117
    iptables -t nat -A POSTROUTING -d 192.168.0.117 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.118
    iptables -t nat -A POSTROUTING -d 192.168.0.118 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.119
    iptables -t nat -A POSTROUTING -d 192.168.0.119 -j SNAT --to 192.168.0.1
    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.120
    iptables -t nat -A POSTROUTING -d 192.168.0.120 -j SNAT --to 192.168.0.1

    # Esta regra é o coração do firewall do Kurumin,
    # ela bloqueia qualquer conexão que não tenha sido permitida acima, justamente por isso ela é a última da cadeia.
    iptables -A INPUT -p tcp --syn -j DROP

    echo "O Kurumin Firewall está sendo carregado..."
    sleep 1
    echo "Tudo pronto!"
    sleep 1
    }
    firewall_stop(){
    iptables -F
    iptables -X
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT
    }

    case "$1" in
    "start")
    firewall_start
    ;;
    "stop")
    firewall_stop
    echo "O kurumin-firewall está sendo desativado"
    sleep 2
    echo "ok."
    ;;
    "restart")
    echo "O kurumin-firewall está sendo desativado"
    sleep 1
    echo "ok."
    firewall_stop; firewall_start
    ;;
    *)
    iptables -L -n
    esac

    e o meu modem ak so esta roteado e no firewall do modem esta habilitado o sistema em modo DMZ.
    Espero que assim possa ajudar agora!
    hehehehehehe!
    Vlw! T+

    Nossa! Você está com sérios problemas de segurança na sua rede!



  11. #51

    Talking

    Citação Postado originalmente por juliocm Ver Post
    Nossa! Você está com sérios problemas de segurança na sua rede!
    Tá! Mais vc consguiu resolver de outra forma?
    Não tive outra alternativa enquanto nao pasei a conexao saindo desse server passando pelo mk a segurança agora ta resolvido. Mais se o kara ae nao tem outra forma de fazer foi assim ate eu colocar o mk pra funfar que deu certo.
    Se alguem tem algo melhor posta ae, pois ficar criticando e facil e resolver e que e f....
    Abraços a todos!
    T+!

  12. #52

    Padrão

    Meus prezados, se eu utilizar esses comandos que foram postados:

    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --dport 20 -j ACCEPT
    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --dport 4226 -j ACCEPT

    # Abrindo conexao ftp em modo passivo e ativo
    iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

    Eu posso fazer isso adicionando -d ip_da_maquina_banesfacil logo após o INPUT e OUTPUT para que somente essa máquina tenha acesso a essas portas ?

    Tipo assim: iptables -A INPUT -d 192.168.8.20 -p tcp --dport 20 -j ACCEPT

    E outra, ela deve ou não passar pelo proxy ?