+ Responder ao Tópico



  1. #1
    Visitante

    Padrão IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

    Eu coloquei no meu script o padrao do FORWARD em DROP, para tentar bloquear tudo e liberar apenas o nescessario. entao eu coloco regras para ACCEPT na 110 na 25 e na 80, nao funciona de jeito nenhum, fica tudo bloqueado. vou mostrar meu script. OBS: nao adianta colocar aqueles tutoriais de bloquear p2p daki da under nem da linuxit que nenhum deles funcionam.

    #!/bin/sh

    iptables -F
    iptables -t nat -F
    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD

    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "1" > /proc/sys/net/ipv4/ip_dynaddr

    #REGRAS PADRAO

    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP

    iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp --dport 53 -j ACCEPT

    #iptables -A FORWARD -p tcp --dport 1214 -j DROP
    #iptables -A FORWARD -p TCP --dport 1300:3500 -j DROP
    #iptables -A FORWARD -s 0/0 -d 0/0 -j DROP


    Nao sei pq esta assim me ajudem! <IMG SRC="images/forum/icons/icon27.gif">

  2. #2
    ReiserFS
    Visitante

    Padrão IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

    tava logoff eu que postei.



  3. #3
    Kernel_Panic
    Visitante

    Padrão IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

    Assim não adianta vc não faz regras de NAT ? ? ?

    Cade suas regras de NAT

  4. #4
    ReiserFS
    Visitante

    Padrão IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

    As regras de NAT estavam OK

    o prob eh no FOWARD MESMO

    iptables -t nat -A POSTROUTING -s 192.168.82.0/26 -j MASQUERADE

    iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -j MASQUERADE

    eu fiz uma solução usando redirecionamento de portas com o prerouting e o postrouting, funcionou mais eu quero saber como faz colocando o DROP em padrao no FOWARD e ir abilitando as que eu quero.



  5. #5

    Padrão IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

    Coloque esta regra no final. É para as requisições feitas da sua rede interna possam voltar...

    /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    Espero ter ajudado.
    []´s,
    Gustavo

  6. #6
    ReiserFS
    Visitante

    Padrão IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

    /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


    essa regra funciona, mas fica tudo aberto ainda hehehe do tipo:
    iptables -P FORWARD DROP
    iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp --dport 53 -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


    Eu queria que somente 110, 53 e 80 pudessem passar. mas tudo passa ainda. <IMG SRC="images/forum/icons/icon27.gif">

    help me!



  7. #7
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

    -j DROP

  8. #8
    ReiserFS
    Visitante

    Padrão IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

    coloco nessa regra do mstat o DROP?



  9. #9
    ReiserFS
    Visitante

    Padrão IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

    ME ajudem plis!!!

    Segue anexo todo meu rc.firewall

    ------------------------
    #!/bin/sh

    # Limpando as tabelas do iptables

    iptables -F
    iptables -t nat -F
    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD

    echo "1" > /proc/sys/net/ipv4/ip_forward
    #echo "1" > /proc/sys/net/ipv4/ip_dynaddr

    #REGRAS PADRAO

    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP

    # Regras TCP liberando portas para loopback

    iptables -A INPUT -p tcp -s 127.0.0.1/255.0.0.0 -d 0/0 -j ACCEPT

    # Regras TCP/UDP liberando portas para rede local 192.168.
    #TCP
    iptables -A INPUT -p tcp -s 192.168.82.0/26 -d 0/0 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.82.64/26 -d 0/0 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.82.128/26 -d 0/0 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.82.192/26 -d 0/0 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.79.0/26 -d 0/0 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.79.64/26 -d 0/0 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.0.0/30 -d 0/0 -j ACCEPT
    #UDP
    iptables -A INPUT -p udp -s 192.168.82.0/26 -d 0/0 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.82.64/26 -d 0/0 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.82.128/26 -d 0/0 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.82.192/26 -d 0/0 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.79.0/26 -d 0/0 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.79.64/26 -d 0/0 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.0.0/30 -d 0/0 -j ACCEPT

    # Regras TCP/UDP liberando portas para rede 200.199.140.184/29

    #TCP
    iptables -A INPUT -p tcp -s 200.199.95.0/24 -d 0/0 --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp -s 200.199.88.0/24 -d 0/0 --dport 22 -j ACCEPT

    # Regras TCP/UDP bloqueando portas

    iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 22 -j DROP
    iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 515 -j DROP
    iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 6000 -j DROP
    iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 3306 -j DROP
    #iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 80 -j DROP
    #iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 25 -j DROP
    #iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 110 -j DROP
    iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 139 -j DROP
    iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 22 -j DROP
    iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 53 -j DROP
    iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 953 -j DROP
    iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 5454 -j DROP
    iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 515 -j DROP
    iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 6000 -j DROP
    iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 3306 -j DROP
    #iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 80 -j DROP
    #iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 25 -j DROP
    #iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 110 -j DROP
    iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 137 -j DROP
    iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 138 -j DROP
    iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 161 -j DROP
    iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 143 -j DROP
    iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 993 -j DROP

    #CONTROLE
    #iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
    #iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp --dport 53 -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    #PROTECAO
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A INPUT -s 10.0.0.0/8 -i eth2 -j DROP
    iptables -A INPUT -s 172.16.0.0/16 -i eth2 -j DROP
    iptables -A INPUT -s 192.168.0.0/24 -i eth2 -j DROP


    #NAT

    iptables -A POSTROUTING -t nat -s 192.168.80.0/24 -o eth2 -j MASQUERADE
    iptables -A POSTROUTING -t nat -s 192.168.0.0/30 -o eth2 -j MASQUERADE
    iptables -A POSTROUTING -t nat -s 192.168.82.0/26 -o eth2 -j MASQUERADE
    iptables -A POSTROUTING -t nat -s 192.168.82.64/26 -o eth2 -j MASQUERADE
    iptables -A POSTROUTING -t nat -s 192.168.82.128/26 -o eth2 -j MASQUERADE
    iptables -A POSTROUTING -t nat -s 192.168.82.192/26 -o eth2 -j MASQUERADE
    iptables -A POSTROUTING -t nat -s 192.168.79.0/26 -o eth2 -j MASQUERADE
    iptables -A POSTROUTING -t nat -s 192.168.79.64/26 -o eth2 -j MASQUERADE

    # SNAT

    iptables -t nat -A PREROUTING -p tcp -d 192.168.82.1 --dport 110 -j DNAT --to 200.185.109.50
    iptables -t nat -A POSTROUTING -p tcp -s 200.185.109.50 --sport 110 -j SNAT --to 192.168.82.1
    iptables -t nat -A PREROUTING -p tcp -d 192.168.82.2 --dport 110 -j DNAT --to 200.221.4.75
    iptables -t nat -A POSTROUTING -p tcp -s 200.221.4.75 --sport 110 -j SNAT --to 192.168.82.1
    iptables -t nat -A PREROUTING -p tcp -d 192.168.82.2 --dport 25 -j DNAT --to 200.221.4.40
    iptables -t nat -A POSTROUTING -p tcp -s 200.221.4.40 --sport 25 -j SNAT --to 192.168.82.1
    --to 192.168.82.4

    echo "++++++++++++++++++++++++++++++++"
    echo "+ FIREWALL CONFIGURADO +"
    echo "++++++++++++++++++++++++++++++++"


    Colocando o padrao do FOWARD em DROP nada passa, colocando aquela regra:
    "iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT"
    tudo passa :/ eu queria que só passe pela rede 110 25 e 53. <IMG SRC="images/forum/icons/icon27.gif">


    alguem ai ja conseguiu fazer isso???

  10. #10
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

    Apague a regra que deixa tudo passar e faca assim:

    iptables -A FORWARD -p tcp -s sua_rede --dport porta -j ACCEPT

    por exemplo:

    iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 110 -j ACCEPT
    iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 80 -j ACCEPT



  11. #11
    Danilo_Montagna
    Visitante

    Padrão IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

    ReiserFS

    nao sei se vc percebeu.. mais essa regra aqui de protecao..

    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

    isso deixa qualquer porta sobre o protocolo tcp seja aceita.. porem a unica coisa que ela ira fazer é limitar as aberturas de conexao em 1 vez por segundo..

    tire essa regra que o resto ira funcionar como vc quer..

    vc tem que saber como usar essas protecoes.. no seu script essa regra vai atrapalhar.. pois ele nao limita portas.. apenas aberturas de conexoes..

  12. #12
    ReiserFS
    Visitante

    Padrão IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

    humm beleza vou tentar mas creio que nao vai pegar pq ja testei tirando essas protecoes ai. e colocando o que o psy falou, tipo antes estava assim com voce falou e tabem nao pegava, mas vou tentar

    tipo mudar dakilo que voce falou psy para como esta agora
    iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
    acho q nao muda muito mas vou tentar
    vlw ai



  13. #13
    ReiserFS
    Visitante

    Padrão IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

    pow nao rolou ainda,eu tentei algo diferente mas tb nao rolou saca isso:

    colokei pra logar o foward e ver oq ta acontecendo:

    iptables -A FORWARD -j LOG --log-prefix "FORWARD PACKETS:"

    depois criei umas regras assim:
    iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp --dport 53 -j ACCEPT

    bom depois vi que eu tinha que liberar portas do src para comunicacao
    iptables -A FORWARD -p tcp --sport 1:9999 -j ACCEPT

    depois fechei o resto:
    iptables -A FORWARD -p tcp --dport 1:24 -j DROP
    iptables -A FORWARD -p tcp --dport 26:52 -j DROP
    iptables -A FORWARD -p tcp --dport 54:109 -j DROP
    iptables -A FORWARD -p tcp --dport 111:9999 -j DROP

    o padrao do FORWARD em drop. iptables -P FORWARD DROP

    bom ai eu fui testar em um pc cliente

    WEB - Usa proxy do server OK
    EMAIL - Usa SMTP do SERVER e o POP e um ip do server redirecionado para o pop na net OK
    DNS - Nao resolve nome, mas nao tem pro pq o squid resolve.
    MSN - KAZAA - Infelizmente essas bostas funcionaram.

    colocando o FORWARD com padrao em ACCEPT o DNS funciona. mas nao vem em conta.

    bom e no log mostra com ha conexoes nas portas que eu bloquiei! look:

    May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth0 OUT=eth2 SRC=192.168.82.18 DST=64.247.112.101 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=8062 DF PROTO=TCP SPT=1439 DPT=1972 WINDOW=17520 RES=0x00 ACK FIN URGP=0
    May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth2 OUT=eth0 SRC=64.247.112.101 DST=192.168.82.18 LEN=1500 TOS=0x00 PREC=0x00 TTL=105 ID=11857 DF PROTO=TCP SPT=1972 DPT=1439 WINDOW=17110 RES=0x00 ACK URGP=0
    May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth0 OUT=eth2 SRC=192.168.82.18 DST=64.247.112.101 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=8063 DF PROTO=TCP SPT=1439 DPT=1972 WINDOW=17520 RES=0x00 ACK URGP=0
    May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth2 OUT=eth0 SRC=64.247.112.101 DST=192.168.82.18 LEN=1500 TOS=0x00 PREC=0x00 TTL=105 ID=11859 DF PROTO=TCP SPT=1972 DPT=1439 WINDOW=17110 RES=0x00 ACK URGP=0


    algo assim. nao aguento mais alguem me de uma luz de como bloquear esse kazaa lite filho de uma vaca!!!


  14. #14
    Speed
    Visitante

    Padrão IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

    ReiserFS,

    Desculpa, mas na sua primeira pergunta vc falou q ñ adinta passar aqueles tutoriais para bloquear p2p. Deixa eu apenas lhe perguntar, vc já tentou essas regras para o Kaazar e o MSN:

    Bloquear KaZaA:
    iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT

    Bloquear MSN Messenger:
    iptables -A FORWARD -p TCP --dport 1863 -j REJECT
    iptables -A FORWARD -d 64.4.13.0/24 -j REJECT

    Espero ter ajudado!!!! <IMG SRC="images/forum/icons/icon_smile.gif">



  15. #15
    Danilo_Montagna
    Visitante

    Padrão IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

    cara.. eu aidna acho que tem alguam coisa de errado em alguma regra que vc ta fazendo..

    eu nao aconselho a usar regras de SRC no forward... utilize-se de regras de stado de conexao.. sao bem mais seguras..

    outra coisa... nao existe a necessidade de se DROPAR alguma coisa em uma politica padrao que o default já e DROP.. eu acho que ae esta o seu erro..

    deve estar havendo inconsistencia de regras...

    eu tenho um client que usa um esquema parecido com esse que vc quer manter.. e te garanto que nao passsa nada de P2P.. porem.. meu sistema de firewall usa conceitos diferentes...

  16. #16
    ReiserFS
    Visitante

    Padrão IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

    pow manda ae tuas config do teu firewall pro meu e-mail. ou posta ai! [email protected]

    plis!



  17. #17
    ReiserFS
    Visitante

    Padrão IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

    <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
    On 2003-05-27 19:29, Speed wrote:
    ReiserFS,

    Desculpa, mas na sua primeira pergunta vc falou q ñ adinta passar aqueles tutoriais para bloquear p2p. Deixa eu apenas lhe perguntar, vc já tentou essas regras para o Kaazar e o MSN:

    Bloquear KaZaA:
    iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT

    Bloquear MSN Messenger:
    iptables -A FORWARD -p TCP --dport 1863 -j REJECT
    iptables -A FORWARD -d 64.4.13.0/24 -j REJECT

    Espero ter ajudado!!!! <IMG SRC="images/forum/icons/icon_smile.gif">
    </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

    ja cara mas kazaa lite nao rola com essa regra <IMG SRC="images/forum/icons/icon27.gif">