Duvida na configuração do firewall

[andrecharamos]

Bom Dia!

Estou com o firewall rodando blz, mas nao consigo entrar no ftp externo e utilizar o outlook, ja peguei varias sugestoes, mas estava analizando e gostaria de opiníões dos colegas, com deve estar configurado o modem? ele tem que estar brid? tenho que liberar portas no modem tambem? como seria a configuração do modem?
Creio que seja este o meu problema

grato

[robsonlula]

seja mais especifico, se tiver como postar as regras do seu firewall, se for como entendi vc não precisa deixar o modem em bridge, pode ficar como router mesmo, o que vc precisa verificar se as portas estão liberadas em seu firewall, creio que forward e nat, verifique se as portas utilizadas por esses programas estão liberadas, geralmente (25,21), vc deve liberar o retorno em portas altas na interface externa, verifique se nao tem proxy interferindo na sua configuração de firewall, qualquer coisa posta ai.

se for iptables digite

iptables -L FORWARD
iptables -L PREROUTING -t nat
iptables -L -t nat

Abraço

[andrecharamos]

Segue o meu script

1º estou tentando utilizaro outlook mas nao funciona.


#!/bin/bash

# Autor: André Chagas Ramos
# Data de criação: 18/08/2009
# Data de modificação: 18/08/2009

iniciar (){

# Compartilhamento da conexao

# Modulos #
modprobe ip_nat_ftp
modprobe iptable_nat

IPTABLES=/usr/sbin/iptables
echo 1 > /proc/sys/net/ipv4/ip_forward

# Mascaramento da rede para acesso externo # ---------------------------------------
$IPTABLES -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# ----------------------------------------------------------------------------------
echo "Ativando compartilhamento"

# Politica Geral -------------------------------------------------------------------
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

# Redirecionando o trafego para a porta 3128 ---------------------------------------
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Manter conexoes ja estabelecidas para nao parar ----------------------------------
$IPTABLES -A INPUT -i! eth1 -j ACCEPT
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT


# INPUT # Pacotes que entram na rede -----------------------------------------------

$IPTABLES -A INPUT -p tcp -s 201.76.49.33 -d 10.1.1.0/8 --dport 110 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 201.76.49.33 -d 10.1.1.0/8 --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT # SMTP
$IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT # DNS
$IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT # POP3
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT # HTTP

# OUTPUT # Pacotes que sai da rede ----------------------------------------------

$IPTABLES -A OUTPUT -p tcp -s 10.1.1.0/8 -d 201.76.49.33 --dport 110 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s 10.1.1.0/8 -d 201.76.49.33 --dport 25 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 22 -j ACCEPT # SSH
$IPTABLES -A OUTPUT -p tcp --dport 25 -j ACCEPT # SMTP
$IPTABLES -A OUTPUT -p udp --dport 53 -j ACCEPT # DNS
$IPTABLES -A OUTPUT -p tcp --dport 110 -j ACCEPT # POP3
$IPTABLES -A OUTPUT -p tcp --dport 443 -j ACCEPT # HTTPS
$IPTABLES -A OUTPUT -p tcp --dport 80 -j ACCEPT # HTTP

# FORWARD # Pacotes que circulam na rede --------------------------------------------

$IPTABLES -A FORWARD -p tcp --dport 22 -j ACCEPT # SSH
$IPTABLES -A FORWARD -p tcp --dport 25 -j ACCEPT # SMTP
$IPTABLES -A FORWARD -p tcp --sport 25 -j ACCEPT # POP3
$IPTABLES -A FORWARD -p udp --dport 53 -j ACCEPT # DNS
$IPTABLES -A FORWARD -p tcp --sport 110 -j ACCEPT # HTTPS
$IPTABLES -A FORWARD -p tcp --dport 8333 -j ACCEPT # HTTP
$IPTABLES -A FORWARD -p tcp --dport 443 -j ACCEPT # HTTP
$IPTABLES -A FORWARD -s 10.1.1.0/8 -j ACCEPT

#------------------------------------------------------------------------------------

echo "Firewall Ativado"
}

parar (){
iptables -F
iptables -t nat -F

echo "Regras de firewall e compartilhamento desativados"
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar;;
*) echo "Use os paramentros start ou stop"
esac

[robsonlula]

#ATENÇÃO
#Faça uma cópia do seu script e altere as configurações como explicarei, depois execute o script novamente

# Compartilhamento da conexao

# Modulos #
modprobe ip_nat_ftp
modprobe iptable_nat

#IPTABLES=/usr/sbin/iptables
IPTABLES=`which iptables`
echo 1 > /proc/sys/net/ipv4/ip_forward

# Mascaramento da rede para acesso externo # ---------------------------------------
$IPTABLES -t nat -A POSTROUTING -o $interface_internet -j MASQUERADE
#se quiser forçar todos usarem o proxy, muda a regra, assim somente o host nessa segunda regra acessa sem proxy, comente a anterior
#$IPTABLES -t nat -A POSTROUTING -s $host_sem_proxy -o $interface_internet -j MASQUERADE

#portas tcp e udp liberadas para nat
$IPTABLES -t nat -A POSTROUTING -o $interface_internet -p tcp -m multiport -s $rede_local --dport 22,25,81,8822,110 -j MASQUERADE

$IPTABLES -t nat -A POSTROUTING -o $interface_internet -p udp -m multiport -s $rede_local --dport 53,953 -j MASQUERADE

# ----------------------------------------------------------------------------------
echo "Ativando compartilhamento"


#quando você coloca as politicas como accept, as regras abaixo para essas politicas não procedem, pq vc ta dizendo pra aceitar os pacotes mesmo que não se encaixe nas regras que vc estabeleceu, mude pra DROP o INPUT e FORWARD
# Politica Geral -------------------------------------------------------------------
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

# Redirecionando o trafego para a porta 3128 ---------------------------------------
$IPTABLES -t nat -A PREROUTING -i $interface_interna -p tcp --dport 80 -j REDIRECT --to-port 3128

# Manter conexoes ja estabelecidas para nao parar ----------------------------------
$IPTABLES -A INPUT -i $interface_interna -j ACCEPT
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT


# INPUT # Pacotes que entram na rede -----------------------------------------------

#todas as portas de serviços rodando em seu servidor firewall
$IPTABLES -A INPUT -i $interface_interna -s $rede_local -m multiport -p tcp --dport 22,53 -j ACCEPT

Pelo que conheco essa regra não procede porque vc esta dizendo pra ela pegar os pacotes de um ip válido e direcionar para um host interno, isso seria feito por nat e nao por essa regra.
a regra seria assim

#pra ele reconhecer vc teria que habilitar um nome (no-ip, dyndns) ou ter um ip válido na internet, mais acho que essa deve funcionar, teste ai, lembrando somente se o servidor for interno.

$IPTABLES -t nat -A PREROUTING -i $interface_internet -p tcp --dport 25,110 -j DNAT --to-dest $host_servidor_interno

# OUTPUT # Pacotes que sai da rede ----------------------------------------------

#Apague todas e deixe somente a que mantem as conexoes

# FORWARD # Pacotes que circulam na rede --------------------------------------------

#nessas regras defina somente o que precisa ser acessado fora da empresa (rede local ----> internet), por exemplo email, ftp, ssh, somente estes, a regra pode ficar assim

$IPTABLES -A FORWARD -s $rede_local -o $interface_internet -m multiport -p tcp --dport 21,22,25,53,110 -j ACCEPT

#essa segunda somente para pacotes udp
$IPTABLES -A FORWARD -s $rede_local -o $interface_internet -m multiport -p udp --dport 53,953 -j ACCEPT

#isso somente se o servidor de email for em sua rede local, caso contrario nao precisa
$IPTABLES -A FORWARD -s 201.76.49.33 -i $interface_internet -m multiport -p tcp --dport 25,110 -j ACCEPT

$IPTABLES -A FORWARD -p tcp -s $rede_local --sport 1024:65535 -d 0/0 --dport 1024:65535 -j ACCEPT

#------------------------------------------------------------------------------------

acho que não esqueci nd não, tenta ai, caso nao de certo, posta novamente, não esquece de fazer um backup do seu script original para caso vc precise dele

[andrecharamos]

Amigos testei os scripts fornecidos mas nao obtive exito, alguem tem mais alguma dica?

grato

[rockltda]

Ola..Boa Tarde! eu uso essa configuracao para usar ftp.tanto interno quando externo, para email é só cconfigurar as portas 110 para pop e 25 para SMTP..

#!/bin/sh


#---- Habilitando repasse de pacotes ---------------------------------

echo 1 > /proc/sys/net/ipv4/ip_forward

#---- Variaveis ------------------------------------------------------
ipt="iptables"
redeinterna="10.10.0.0/24"
ipexterno="xxx.xxx.xxx.xxx"

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp



#---- Limpando regras do firewall -----------------------------------
$ipt -F
$ipt -Z
$ipt -t nat -F


#---------configuracao do FTP
$ipt -A INPUT -p tcp --dport 20 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT
$ipt -t nat -A PREROUTING -d xxx.xxx.xxx.xxx-p tcp --dport 21 -j DNAT --to 10.10.0.4
$ipt -t nat -A POSTROUTING -d 10.10.0.4 -p tcp --dport 21 -j SNAT --to xxx.xxx.xxx.xxx
$ipt -t nat -A PREROUTING -d xxx.xxx.xxx.xxx -p tcp --dport 20 -j DNAT --to 10.10.0.4
$ipt -t nat -A POSTROUTING -d 10.10.0.4 -p tcp --dport 20 -j SNAT --to xxx.xxx.xxx.xxx




onde xxx.xxx.xxx.xxx é o meu ip fixo!

Espero ter ajudado!

abraços