+ Responder ao Tópico



  1. #1

    Exclamation iptables - firewall com comportamento estranho

    Pessoal, configurei um firewall com o script abaixo. Aconteceu algo que nunca tinha visto...Ele simplesmente se comporta de maneira estranha...ignora as regras...por exemplo...

    Um simples forward da porta 3389 para um micro local, se reinciar o micro, funciona alguns segundos, depois disso não funciona mais.

    Dá a impressão de que quando o rc.local roda o script de firewall ele perde as conf. e para de funcionar. Ou deve ser bobeira minha no script...alguém pode ajudar?? abração!

    PS: Distro Debian, Kernel 2.6.26-17, iptables 1.4.2

    Segue o script:

    modprobe ip_nat_pptp
    modprobe ip_conntrack_pptp
    modprobe ip_nat_pptp
    modprobe ip_gre

    INTERNET_IP=200.179.98.74
    INTERNET_CLASS=200.179.98.72/255.255.255.248

    INTERNAL_IP=192.168.2.1
    INTERNAL_CLASS=192.168.2.0/24
    INTERNET_ETH=eth0
    INTERNAL_ETH=eth1

    case $1 in start)

    iptables -F
    iptables -Z
    iptables -t nat -F
    iptables -t filter -P FORWARD ACCEPT

    iptables -t nat -A POSTROUTING -s $INTERNAL_CLASS -j MASQUERADE

    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Bloquear apache e squid para internet
    iptables -A INPUT -p tcp --dport 80 -i $INTERNET_ETH -j DROP
    iptables -A INPUT -p tcp --dport 3128 -i $INTERNET_ETH -j DROP

    # Liberando acessos da rede interna
    iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 3128 -j ACCEPT
    iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 3389 -j ACCEPT
    iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 9875 -j ACCEPT
    iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 8017 -j ACCEPT
    iptables -A FORWARD -d $INTERNAL_CLASS -p tcp --dport 8017 -j ACCEPT

    # Emails
    iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 110 -j ACCEPT

    # Forward
    iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT

    # Libera Acesso da VPN do Siagri
    echo " Liberando VPN SIAGRI [OK]"

    VPNSERVER=200.163.51.83
    iptables -t nat -A PREROUTING -p tcp --dport 1723 -j DNAT --to $VPNSERVER
    iptables -t nat -A PREROUTING -p gre -j DNAT --to $VPNSERVER


    # Redirects
    iptables -t nat -A PREROUTING -i $INTERNET_ETH -p tcp --dport 9875 -j DNAT --to 192.168.2.5:9875
    iptables -t nat -A PREROUTING -i $INTERNET_ETH -p tcp --dport 3389 -j DNAT --to 192.168.2.5:3389

  2. #2

    Padrão

    Tenta colocar dentro do /etc/init.d :

    FIREWALL MINIMO DEBIAN



  3. #3

    Smile init.d

    Então, ele está. Coloquei as regras num arquivo, dei as permissões de leitura e execução apropriadas e coloquei dentro do /etc/init.d/. Também coloquei dentro do rc.local para chamar este script toda vez que inicializa..

    Mas, de qualquer forma, obrigado..

    abraço.

  4. #4

    Padrão

    Se vc acha que as regras estão sumindo, verifica se elas ainda estão la e se está incrementando o contador:

    iptables -nL



  5. #5

    Padrão

    Citação Postado originalmente por Magnun Ver Post
    Se vc acha que as regras estão sumindo, verifica se elas ainda estão la e se está incrementando o contador:

    iptables -nL

    Oi Magnun, obrigado por responder. Cara, elas não estão sumindo, estão lá. Apenas "param" de funcionar... Esse redirect para a porta 3389, por exemplo, simplesmente funciona as vezes...e da rede interna funciona sempre...então não entendo o que o linux está fazendo..nunca vi isso acontecer..

    abraço

  6. #6

    Padrão

    as vezes a regra esta redirecionando,
    vc disse que as vezes na 3389 para.
    pode ser multiplas conexões na mesma porta.

    seu problema parece ser banda ein...
    faça um redirecionamento para a rede local e veja se acontece o mesmo.