+ Responder ao Tópico



  1. 18-11-2008, 10:34 #1
    Saoluizense
    Saoluizense está desconectado
    Avatar de Saoluizense
    Ingresso
    Oct 2008
    Posts
    44

    Angry Como liberar porta 81 squid + kurumin_firewall + iptabless ???

    Ola pessoal...estou com um pequeno problema e espero conseguir a solução aki.
    preciso liberar no servidor linux kurumin a porta 81 para o site da www.fepam.rs.gov.br , mas nao estou conseguindo sucesso, fiz algumas pesquisas nas quais diziam para liberar com a seguinte regra
    iptables -A INPUT -d eth1 -p tcp --dport 81 -j ACCEPT mas nao deu certo.
    vou postar aki minhas regras e se alguem puder ajudar fico agradecido.
    AKI ESTA A MSG DE ERRO QUE DA NO NAVEGADOR

    ImageShack - Hosting :: errotg7.jpg

    #!/bin/bash


    firewall_start(){

    # Abre para uma faixa de endereços da rede local
    iptables -A INPUT -p tcp -s 192.168.0.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.0.0/255.255.255.0 -j ACCEPT

    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT

    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --destination-port 3389 -j ACCEPT

    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT

    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --destination-port 5900 -j ACCEPT

    # Abre uma porta (inclusive para a Internet)PROGRAMA SIOP
    iptables -A INPUT -p tcp --destination-port 9992 -j ACCEPT

    # Ignora pings
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

    # Protege contra synflood
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies

    # Proteção contra ICMP Broadcasting
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

    # Bloqueia traceroute
    iptables -A INPUT -p udp --dport 33435:33525 -j DROP


    # Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    iptables -A FORWARD -m unclean -j DROP
    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -N VALID_CHECK
    iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
    iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
    iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
    iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
    iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
    iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
    iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP


    # Abre para a interface de loopback.
    # Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
    iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT


    # Fecha as portas udp de 1 a 1024, abre para o localhost
    iptables -A INPUT -p udp -s 127.0.0.1/255.0.0.0 -j ACCEPT
    iptables -A INPUT -p udp --dport 1:1024 -j DROP
    iptables -A INPUT -p udp --dport 59229 -j DROP

    # Redireciona uma faixa de portas para um micro da rede local
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389:3389 -j DNAT --to-dest 192.168.0.1
    iptables -A FORWARD -p tcp -i eth1 --dport 3389:3389 -d 192.168.0.1 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth1 -p udp --dport 3389:3389 -j DNAT --to-dest 192.168.0.1
    iptables -A FORWARD -p udp -i eth1 --dport 3389:3389 -d 192.168.0.1 -j ACCEPT

    # Redireciona uma faixa de portas para um micro da rede local USER03 AFONSO PRO. SIOP
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 9992:9992 -j DNAT --to-dest 192.168.0.22
    iptables -A FORWARD -p tcp -i eth1 --dport 9992:9992 -d 192.168.0.22 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth1 -p udp --dport 9992:9992 -j DNAT --to-dest 192.168.0.22
    iptables -A FORWARD -p udp -i eth1 --dport 9992:9992 -d 192.168.0.22 -j ACCEPT


    iptables -A INPUT -p tcp --syn -j DROP

    /etc/skel-fix/firewall-msg

    }
    firewall_stop(){
    iptables -F
    iptables -X
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT
    }

    case "$1" in
    "start")
    firewall_start
    ;;
    "stop")
    firewall_stop
    echo "O kurumin-firewall está sendo desativado"
    sleep 2
    echo "ok."
    ;;
    "restart")
    echo "O kurumin-firewall está sendo desativado"
    sleep 1
    echo "ok."
    firewall_stop; firewall_start
    ;;
    *)
    iptables -L -n
    esac
    Última edição por Saoluizense; 18-11-2008 às 10:35. Razão: IMAGEM ESTAVA ERRADA ENTAO EDITEI
    Citação Citação
  2. 19-11-2008, 07:48 #2
    robsonlula
    robsonlula está desconectado
    Avatar de robsonlula
    Ingresso
    Aug 2007
    Posts
    58

    Padrão

    Não sei se vai ser simples assim, mais tenta ai, coloca ela no começo das suas regras de FORWARD

    #iptables -A FORWARD -s $rede_interna -o interface_internet -m multiport -p tcp --dport 81,80,... -j ACCEPT

    tenta ai qualquer coisa posta ai...t+
    Citação Citação
  3. 19-11-2008, 09:19 #3
    Saoluizense
    Saoluizense está desconectado
    Avatar de Saoluizense
    Ingresso
    Oct 2008
    Posts
    44

    Cool nao deu certo...

    ola coloquei as regras que me falou e nao deu certo..continuo com o mesmo problema...
    só se estou colocando a regra no lugar errado...vou postar aki como fiz....

    #Libera porta 81 para FEPAM
    #iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -o eth1 -m multiport -p tcp --dport 81 -j ACCEPT

    Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT

    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --destination-port 3389 -j ACCEPT

    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT

    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --destination-port 5900 -j ACCEPT

    # Abre uma porta (inclusive para a Internet)PROGRAMA SIOP
    iptables -A INPUT -p tcp --destination-port 9992 -j ACCEPT

    # Ignora pings
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

    # Protege contra synflood
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies
    ..................

    me corrija se estiver errado....
    Citação Citação
  4. 19-11-2008, 10:57 #4
    robsonlula
    robsonlula está desconectado
    Avatar de robsonlula
    Ingresso
    Aug 2007
    Posts
    58

    Padrão

    faz o seguinte, digita no terminal

    iptables -L > regras.txt
    iptables -L -t nat >> regras.txt

    e posta o contudo do arquivos regras.txt, ou entao posta o seu script de firewall inteiro, ai fica mais facil.t+
    Citação Citação
  5. 19-11-2008, 11:14 #5
    Saoluizense
    Saoluizense está desconectado
    Avatar de Saoluizense
    Ingresso
    Oct 2008
    Posts
    44

    Smile ta resolvidooo!!!

    robsonlula!!! ta resolvido kra...
    mesmo assim obrigadao pela força e pela atenção!!!
    vou postar aki a solução derepente serve pra mais alguem....
    basta adicionar a seguinte regra no squid nas acl ....

    acl_Safe_ports port 81

    so com essa regra liberei a porta 81

    :-)

    grato pela atenção robsonlula e valeww pessoal!!!
    Citação Citação



« Tópico Anterior | Próximo Tópico »