Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Citação Postado originalmente por N0fxx Ver Post
    Hum, entendi... liberei essa porta
    Então, tenho essa politica padrao de cada chain em mente,
    tentei dar o acesso de e-mail a uma maquina interna utilizando a esguinte regra:
    $iptables -A FORWARD -s 80.80.80.25 -p tcp -m tcp --dport 25 -j ACCEPT #SMTP
    $iptables -A FORWARD -s 80.80.80.25 -p tcp -m tcp --dport 110 -j ACCEPT #POP
    Mas não funcionou, tentei também utilizando a mesma regra só mudando a porta para dar acesso a FTP porta 21. Também não funcionou. Por que será?

    E outra coisa, é realmente necessário estar utilizando o DROP? Se não tiver a linha de ACCEPT ele vai estar sendo caindo no DROP geral que se tem no final do script, ou estou errado? ou precisa devido alguma outra coisa?
    Olá amigo...
    Então sobre as regras que você colocou ali, elas estão permitindo o primeiro acesso, quando você tenta a conexão!
    Porém temos que permitir também a volta dos pacotes...
    Não sei se você colocou em suas regras uma que permita as conexões estabelecidas:

    Código :
    iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    É legal deixar essa regra bem no inicio da chain FORWARD!
    Qualquer coisa da um tok aee!!


    p.s.: voce colocou ali... hehehe eu que boiei!
    Última edição por zenun; 23-09-2008 às 14:01. Razão: mais info

  2. Opa amigos...
    Desculpa o post anterior acabei postando sem ler muito bem o que estava acontecendo!

    Camarada.. não sei se você tem seu DNS interno...
    Mas é necessário liberar-lo para que seja possível realizar consultas...
    Eu faria mais ou menos assim:

    Código :
    iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    # DNS
    iptables -t filter -A FORWARD -s 80.80.80.25 -p udp --dport 53 -j ACCEPT 
    # WWW http/https
    iptables -t filter -A FORWARD -s 80.80.80.25 -p tcp --dport 80 -j ACCEPT
    iptables -t filter -A FORWARD -s 80.80.80.25 -p tcp --dport 443 -j ACCEPT
    # FTP controle/transferencia
    iptables -t filter -A FORWARD -s 80.80.80.25 -p tcp --dport 21 -j ACCEPT
    iptables -t filter -A FORWARD -s 80.80.80.25 -p tcp --dport 20 -j ACCEPT
    # E-mail pop/smtp
    iptables -t filter -A FORWARD -s 80.80.80.25 -p tcp --dport 110 -j ACCEPT
    iptables -t filter -A FORWARD -s 80.80.80.25 -p tcp --dport 25 -j ACCEPT
    Com essas regras desta forma na sua chain FORWARD deveria ser possível acessar os serviços ali descritos...
    E importante, para colocar a chain com politica DROP é assim (como disse o Magnun):

    Código :
    iptables -t filter -P FORWARD DROP
    No seu script esta assim:

    Código :
    $iptables -A FORWARD -j DROP
    Tenta aee e nos mantenha informado!



  3. Muito bommmm...
    consegui conexão com e-mail e FTP. Não sabia que precisava liberar a porta 20 também.Valeu Zenun.
    No FTP precisei também liberar o PassivePorts encontradas dentro do arquivo proftpd.conf no servidor onde quero me conectar. Pois sem elas eu estava conseguindo conectar e não estava listando os arquivos.
    Em relação a acrescentar "-t filter" na regra iptables sei que não há necessidade pois quando você coloca direto iptables -A ele subentende que está utilizando o filter.

    Com a porta 443 que o Magnun tinha dito funcionou tudo a navegação. Valeu Magnun.

    Bom, já vi que pra rede interna na parte de liberação de serviços ip's e portas é só eu ir trabalhando com as regras dessa maneira como tinha dito o Magnum.
    iptables -t nome_da_tabela -P nome_da_chain ACCEPT
    Mas pelos testes percebi que não precisa utilizar o DROP de cada regra, pois tudo o que não se encaixar na regra ele vai entrar no DROP da última linha do script onde eu dou DROP no FORWARD e no INPUT.

    Bom, to agradecendo mas gostaria que continuassem a ir me ajudando. O que mais eu poderia ir implementando de interessante no meu firewall? Tem como eu bloquear sites sem utilizar proxy? E o MSN, pelas pesquisas no google já vi que não tem como, mas vai que alguém aí ja conseguiu. rs.
    Alguem com ideias?

    Valeuuuuuuuu!!!!!

  4. Aquela tua última regra de DROP na chain FORWARD vai simular a política padrão da CHAIN!
    Ai você escolhe como fica melhor para você!

    Então para bloquear o msn usando iptables você precisa do patch layer7 do iptables+kernel!
    Ai você vai ter como identificar a aplicação usando iptables como ftp, http, msn e até p2p!
    Mas para p2p eu recomendo usar o patch do patch-o-matic para o módulo ipp2p!

    Da uma olhada nisso aee!



  5. Falando no zenun, olha ele ai... hehe...

    Cara, bloquear site é meio complicado.. você pode fazer o seguinte teste:
    Adicionar antes das regras que permitem a navegação do host a seguinte regra:
    iptables -A FORWARD -d Google -j DROP

    O único problema: Geralmente esses sites possuem vários ips respondendo pro mesmo nome (GSLB - Global Server Load Balance) o que pode resultar em dezenas de regras pra um único destino. E outra coisa, você digita no browser Google é recepcionado pelo server mas depois é desciado pra outro server... por isso que na hora de fazer bloqueio de sites utilizamos proxy.

    O iptables tem também a função de fazer redirecionamento de portas, nat de origem e nat de destino. Dentre esses talvez os mais interessantes são: nat de destino e redirecionamento de porta. Com essas funções é possível ter um servidor (web, por exemplo) atraz de um firewall. Quando você tenta se conectar ao servidor web, na verdade você acessa o IP do firewall e o firewall faz o DNAT (destiny nat) 'repassando' a conexão para o servidor web. É possível fazer uma 'multiplexação' de servidores baseando-se nas portas também. No link que eu te passei isso é muito bem explicado.

    Qualquer coisa posta ai...
    Fui...
    PS: Alguém me corrija se eu errei em algo!!!






Tópicos Similares

  1. (Iptables + Squid) Ajuda em Autenticação e Acesso Portas!
    Por matrix3d no fórum Servidores de Rede
    Respostas: 1
    Último Post: 07-11-2005, 19:24
  2. ajuda com topologia de rede + iptables
    Por thiagog no fórum Servidores de Rede
    Respostas: 1
    Último Post: 16-11-2004, 15:45
  3. AJUDA COM IPTABLES
    Por lando no fórum Servidores de Rede
    Respostas: 1
    Último Post: 16-06-2003, 10:46
  4. ajuda com iptables
    Por lando no fórum Servidores de Rede
    Respostas: 2
    Último Post: 06-05-2003, 11:41
  5. ajuda pra funfa cs com iptables
    Por mondragon no fórum Servidores de Rede
    Respostas: 1
    Último Post: 12-02-2003, 08:42

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L