Página 2 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. #6
    Danilo_Montagna
    Esse é um exemplo de inconsistencia de regras.. se a sua estiver parecida com isso.. é pq tem regra sobrescrevendo as outras..

    # Libera todas as portas INT_NET --> EXT_IP
    $IPTABLES -A FORWARD -p tcp -s $INT_NET -i $INT_IF -d 0/0 -j ACCEPT

    # Fecha KaZaa
    $IPTABLES -A FORWARD -p tcp -s $INT_NET -i $INT_IF -o $EXT_IF --dport 1214 -j DROP

    Perceba, que foi liberado todas as portas na 1º regra, e depois foi trancado a porta 1214 na segunda regra.. porem.. como a 1º regra ja permitiu o acesso a qualquer porta .. a 2º regra será descartada pelo firewall..

    Dica, é aconselhavel deixar todas as portas fechadas e abrir conforme necessario.. aqui eu uso assim e nao tem problema nenhum com Kazaa, Imesh.. etc. nenhum P2P <IMG SRC="images/forum/icons/icon_smile.gif">

    [ Esta mensagem foi editada por: Danilo_Montagna em 28-01-2003 17:35 ]

  2. #7
    Realmente parece ser isso mesmo.
    Mas o problema eh que ao que parece eu dependo desse FORWARD liberado para
    usar o NAT para o meu MTA, POP3.
    Pelo menos quando dei um DROP na FORWARD o e-mail parou de rola.
    Segue o trecho das regras de FORWARD

    #####################
    # Regras de FORWARD #
    #####################
    $IPTABLES -P FORWARD ACCEPT
    # Negando IPs Reservados
    $IPTABLES -t nat -A POSTROUTING -o $EXTIF -d $ANY -j MASQUERADE
    $IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
    $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    #-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
    #echo "Regras de FORWARD"

    Tenho como leberar esse nat apenas para acessar determinados serviços no meu outro servidor?
    Caso seja necessario mais info me avise.


    []&acute;s
    Mateus Reis



  3. #8
    Claro amigo, o email nao funcionou mais pq sua politica padrao de FORWARD esta em ACCEPT, ou seja, mesmo vc fazendo qualquer regra par atrancar qualquer coisa... o default de uso do firewall esta sendo esse ACCEPT que vc esta usando na regra default da chain..

    faz o seguinte, deixa a politica padrao do seu forward em DROP e depois libera o necesasrio por regra de -A FORWARD.. ou seja, apendando uma regra em ACCEPT para a politica padrao que é DROP.

    para o seu email funciona usando a chain forward em DROP faça isso aqui..

    # Chain de FORWARD - Politica Padrao
    $IPTABLES -P FORWARD DROP

    # Abre acesso aos emails
    $IPTABLES -A FORWARD -p tcp -i $EXT_IF -d 10.0.0.1 --dport 25 -j ACCEPT

    onde for 10.0.0.1 vc aletra pelo ip interno do seu servidor de mail.

    espero que tenha entendido o conceito..

    falow

    <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
    On 2003-01-29 16:56, Anonymous wrote:
    Realmente parece ser isso mesmo.
    Mas o problema eh que ao que parece eu dependo desse FORWARD liberado para
    usar o NAT para o meu MTA, POP3.
    Pelo menos quando dei um DROP na FORWARD o e-mail parou de rola.
    Segue o trecho das regras de FORWARD

    #####################
    # Regras de FORWARD #
    #####################
    $IPTABLES -P FORWARD ACCEPT
    # Negando IPs Reservados
    $IPTABLES -t nat -A POSTROUTING -o $EXTIF -d $ANY -j MASQUERADE
    $IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
    $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    #-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
    #echo "Regras de FORWARD"

    Tenho como leberar esse nat apenas para acessar determinados serviços no meu outro servidor?
    Caso seja necessario mais info me avise.


    []&acute;s
    Mateus Reis
    </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

  4. #9
    A mensagem acima foi minha, só depois que vi que nao tava logado...

    []&acute;s

    Danilo Montagna



  5. Que tal quando voce por a default rule como DROP
    voce liberar a porta no forward? deixa como ta e acrescenta

    # SMTP / MTA
    $IPTABLES -A FORWARD -p tcp -s $SOURCE_NET/IP --dport 25 -j ACCEPT
    # POP 3
    $IPTABLES -A FORWARD -p tcp -s $SOURCE_NET/IP --dport 110 -j ACCEPT

    Imagino que isso resolva (Eu creio que sim, se for isso que eu tou pensando) <IMG SRC="images/forum/icons/icon21.gif">






Tópicos Similares

  1. Respostas: 8
    Último Post: 24-10-2015, 10:15
  2. Navegando na NET na SUB REDE com IPTABLES
    Por soyeu no fórum Servidores de Rede
    Respostas: 0
    Último Post: 10-12-2002, 16:47
  3. DMZ COM IPTABLES...
    Por no fórum Segurança
    Respostas: 14
    Último Post: 20-11-2002, 14:40
  4. como bloquear certos ips com iptables ???//
    Por MAJOR no fórum Servidores de Rede
    Respostas: 2
    Último Post: 20-11-2002, 08:19
  5. Dúvida com IpTables
    Por no fórum Segurança
    Respostas: 6
    Último Post: 29-10-2002, 10:49

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L