Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Navegação no IPTables

    Olá pessoal,
    configurei o iptables e nenhuma máquina na minha rede consegue navegar na porta 80. Neguei todas as entradas e depois liberei a porta 80. Segue o meu script...


    #Iptables-1.2.5-3
    #!/bin/bash
    #

    echo "Iniciando o IPTables..."
    echo

    ##Limpa todas as regras
    echo "Limpando as regras..."
    /sbin/iptables -F
    /sbin/iptables -t nat -F
    echo

    ##Carrega os módulos
    echo "Carregando novas regras..."
    echo
    /sbin/modprobe ipt_MASQUERADE
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp


    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P FORWARD DROP
    /sbin/iptables -P OUTPUT DROP


    /sbin/iptables -A FORWARD -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
    /sbin/iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
    /sbin/iptables -A OUTPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
    /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

    O que está errado?
    Desde já agradeço a colaboração de todos.
    []´s,
    Gustavo

  2. #2
    wrochal
    Visitante

    Padrão Navegação no IPTables

    ola é facil,

    adicione:

    echo 1 > /proc/sys/net/ipv4/ip_forward
    /sbin/modprobe iptable_nat

    /sbin/iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 53 -j ACCEPT
    /sbin/iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 53 -j ACCEPT

    falow..


    William da Rocha

    [email protected]

    www.linuxit.om.br

    ICQ: 111752037

    Linux User: 289392



    [ Esta mensagem foi editada por: wrochal2002 em 14-03-2003 00:23 ]



  3. #3
    Potiguar
    Visitante

    Padrão Navegação no IPTables

    Saudações pessoal estou de volta...

    Como vc bloqueou tudo (INPUT, OUTPUT, FORWARD) deve liberar ao poucos as jains o que vai te dar um trabalho considerável. Acredito que vc esteja apenas querrendo compartilhar seu acesso a internet e pode criar uma solução mais prática e sem oferecer riscos a sua rede.

    # Firewall
    # Ativar roteamento
    echo "1" > /proc/sys/net/ipv4/ip_forward

    # Limpando as jains
    /sbin/iptables -F
    /sbin/iptables -t nat -F

    #Carregando módulos p/ ftp "muito importante, o restante ele carrega automático.
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp

    # Bloqueio de Política só INPUT
    /sbin/iptables -P INPUT DROP

    # Bloqueio p/ ping
    /sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
    /sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP

    # Bloqueio p/ ping of death
    /sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    /sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    # Bloqueio p/ syn-flood
    /sbin/iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

    # Bloqueio p/ pacotes danificados
    /sbin/iptables -A FORWARD -m unclean -j DROP

    # Bloqueio de serviços padrões na LAN
    /sbin/iptables -A FORWARD -p tcp -d 192.168.1.0/24 --dport 1:1024 -j DROP

    # Liberando acesso p/ LAN
    /sbin/iptables -A INPUT -s 192.168.1.0/24 -d "ip local do server" -i "interface da lan" -j ACCEPT

    # Stateful Inspection
    /sbin/iptables -A INPUT -m state --state NEW -j ACCEPT
    /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # Mascaramento p/ NET
    /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

    Vc ainda pode implementar várias opções para melhorar seu firewall.

    Espero ter ajudado e boa sorte.




  4. #4

    Padrão Navegação no IPTables

    Valeu pela ajuda pessoal.
    Mas o meu problema é q os usuários estão usando o kazaa para baixar vídeos. Já configurei meu firewall para bloquear o kazaa, através de um tutorial q foi disponibilizado aqui no Underlinux. Mas não funciona porque eu não "dropei" o FORWARD... Sendo assim qdo "dropo" o FORWARD, ninguém mais navega... E preciso fazer isso porque o acesso à internet fica muito lento. Os usuários estão "detonando" meu link (tá muito lento).
    []´s,
    Gustavo



  5. #5
    Danilo_Montagna
    Visitante

    Padrão Navegação no IPTables

    dica..

    deixe o seu FORWARD em DROP

    e libere a navegacao por porta..


  6. #6

    Padrão Navegação no IPTables

    Valeu, vou tentar isto...



  7. #7

    Padrão Navegação no IPTables

    Pessoal,
    continuo com problemas. Minhas estações não conseguem navegar ainda. Fiz este seguinte script.
    #Firewall Matias
    #Iptables-1.2.5-3
    #!/bin/bash
    #

    echo "Iniciando o IPTables..."
    echo

    ##Limpa todas as regras
    echo "Limpando as regras..."
    /sbin/iptables -F
    /sbin/iptables -t nat -F
    echo

    ##Carrega os módulos
    echo "Carregando novas regras..."
    echo
    /sbin/modprobe ipt_MASQUERADE
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp

    /sbin/iptables -P FORWARD DROP

    /sbin/iptables -A FORWARD -s 192.168.1.0/24 -o eth0 -p tcp --dport 80 -j ACCEPT
    /sbin/iptables -A FORWARD -s 192.168.1.0/24 -o eth0 -p udp --dport 80 -j ACCEPT

    /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

    O que tem de errado nele?

  8. #8
    Danilo_Montagna
    Visitante

    Padrão Navegação no IPTables

    cara.. vc nao ta habilitando o roteamento... e nao esta usando o modulo do iptables..

    # Ativar roteamento
    echo "1" > /proc/sys/net/ipv4/ip_forward

    # Modulos de mascaramento
    /sbin/modprobe iptable_nat

    o NAT depende disso ae para repassar os pacotes entre as interfaces..

    e mais.. a porta 80 nao usa o protoclo udp para tráfego outbound.. nao precisa dele

    [ Esta mensagem foi editada por: Danilo_Montagna em 14-03-2003 15:20 ]



  9. #9

    Padrão Navegação no IPTables

    Olha nao vou considerar modulos nem nada. so as linhas basicas.

    # Regras bem simples a principio.

    # FLush Rules
    iptables -F

    # Enforce default policies
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    # NAT
    /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

    # Web 80
    iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 80 -j ACCEPT
    # Web SSL 443
    iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 443 -j ACCEPT

    # EOF

    isso deve dar para quebrar um galho. sem muitas frescuras <IMG SRC="images/forum/icons/icon_smile.gif"> veja se funcionar.

  10. #10

    Padrão Navegação no IPTables

    Pessoal e a novela continua. Nada de navegar...
    O último script foi este...


    # FLush Rules
    iptables -F

    /sbin/modprobe iptable_nat
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp

    # Enforce default policies
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    # NAT
    /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

    # Web 80
    /sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 80 -j ACCEPT
    # Web SSL 443
    /sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 443 -j ACCEPT



  11. #11
    Danilo_Montagna
    Visitante

    Padrão Navegação no IPTables

    cara.. vc ta ativando o roteamento?

    # Ativar roteamento
    echo "1" > /proc/sys/net/ipv4/ip_forward

    vc consegue pingar endereços externos pelo linux?
    vc consegue pingar nomes externos pelo linux? liberou saida de DNS???

    ?????

    me posta aqui as configs que vc esat usando nas placas de rede do FW

    [ Esta mensagem foi editada por: Danilo_Montagna em 14-03-2003 16:22 ]

  12. #12

    Padrão Navegação no IPTables

    Campeão,
    o roteamento tá ativo... Mas não liberei a porta 53...
    é só fazer
    /sbin/iptables -A FORWARD -s 192.168.1.0/24 -t tcp --dport 53 -j ACCEPT
    /sbin/iptables -A FORWARD -s 192.168.1.0/24 -t udp --dport 53 -j ACCEPT



  13. #13

    Padrão Navegação no IPTables

    Bom vamos comecar por baixo entao...

    quais modulos estao ativos ?
    lsmod
    e mostra para gente

    iptables -L -n

    e mostre as regras que estao em atuação , e certifique-se que voce tem iptables habilitado, e suas funcoes no kernel

    isso tem toda cara que nao eh problema de regras.

  14. #14

    Padrão Navegação no IPTables

    Qdo não "dropo" o forward todas as máquinas navegam na internet. Todos os módulos de mascaramento estão inicializados.
    Talvez seje a regra da liberação do DNS q não fiz... Mas no momento não posso fazer estas configurações porque minha rede agora está em produção...



  15. #15

    Padrão Navegação no IPTables

    Pessoal,
    continuo não nevegando... Eu consigo fazer o firewall "pingar", mas nenhuma máquina da rede interna pinga... O q deve estar acontecendo?
    Segue meu script...

    # FLush Rules
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -F
    /sbin/modprobe iptable_nat
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp
    # Enforce default policies
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    # NAT
    /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
    #DNS
    /sbin/iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 53 -j ACCEPT
    /sbin/iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 53 -j ACCEPT
    # Web 80
    /sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 80 -j ACCEPT
    # Web SSL 443
    /sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 443 -j ACCEPT

  16. #16
    Danilo_Montagna
    Visitante

    Padrão Navegação no IPTables

    cara.. se vc nao liberar o DNS para as estacoes .. elas nao vao resolver nomes externos mesmo.. consequentemente.. nao vao navegar..

    sua politica de FORWARD esta em DROP.. e vc nao liberou o trafego de DNS..

    /sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 0/0 --dport 53 -j ACCEPT
    /sbin/iptables -A FORWARD -p udp -s 192.168.1.0/24 -d 0/0 --dport 53 -j ACCEPT

    faz essas linhas ae que funciona..

    outra coisa.. se vc nao tiver um DNS server rodando no LINUX.. vc nao precisa dessas regars de INPUT para DNS..

    sacou?

    [ Esta mensagem foi editada por: Danilo_Montagna em 17-03-2003 11:09 ]



  17. #17

    Padrão Navegação no IPTables

    Campeão,
    fiz as duas maneiras, mas não funcionou. O q me chamou a atenção, é que o firewall consegue pingar na rede exeterna, e as estações não...

  18. #18

    Padrão Navegação no IPTables

    Qdo habilito a regra iptables -P FORWARD DROP, nenhuma estação navega. Sem essa regra todos navegam... Não sei mais o q fazer. Aparentemente o script está certo...



  19. #19
    Danilo_Montagna
    Visitante

    Padrão Navegação no IPTables

    me diz uma coisa..

    por um acaso.. vc esta usando squid? e as estacoes estao passando por esse proxy para conseguiur navegar?

    e outra coisa... se vc mesmo dizze que em FORWARD com ACCEPT elas conseguem.. é pq tem algum conflito nas suas regras.. ou de roteamento de interface de entrada e saida.. algo assim..

    usa o tcpdump para ver onde o pacote para..

    [ Esta mensagem foi editada por: Danilo_Montagna em 17-03-2003 11:59 ]

  20. #20

    Padrão Navegação no IPTables

    Minhas estações não passam pelo squid (proxy).

    Utilizei o tcpdump e olha o q aconteceu:
    14:40:34.553203 192.168.1.80.netbios-ns > 200.17.69.82.domain: 136+ A? www.bol.com.br. (34)
    14:40:34.911710 192.168.1.241.netbios-ns > 200.17.69.82.domain: 162+ A? www.bol.com.br. (34)
    14:40:35.012154 192.168.1.29.1455 > 200.17.69.82.domain: 3+ A? batepapo4.uol.com.br. (3<IMG SRC="images/forum/icons/icon_cool.gif">
    14:40:35.173549 192.168.1.6.1163 > 24.232.28.77.1305: S 3785300:3785300(0) win 8192 <mss 1460,nop,nop,sackOK> (DF)
    14:40:36.025955 192.168.1.6.netbios-ns > 200.17.69.82.domain: 164+ A? www.bol.com.br. (41)
    14:40:36.052887 192.168.1.80.netbios-ns > 200.17.69.82.domain: 136+ A? www.bol.com.br. (34)

    Isto tá virando novela... hehehehehehe...