iptables-onde estou errando nas regras?

Ola pessoal, estou tentando acertas essas regras de iptables mas não estou conseguindo e venho aqui pedir humildemente a ajuda de voces..

em um cliente meu que possui servidor Linux como firewall e compartilhamento de internet eu conecto nos terminais através do VNC, mas surgiu um problema em 1 terminal onde o usuário instalou vários programas que nao devia (Kazaa,ICQ,Mirc,MSN) e o dono da empresa pediu pra mim bloquear isso no servidor..
a minha idéia foi, no iptables eu dou um DROP no FORWARD, aparentemente ele funcionou...
coloquei mais ou menos assim
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Code:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><PRE>
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 110 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 443 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 5906 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp -j DROP
</PRE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

a idéia foi liberar portas de email e SSL, e a porta 5906 que é a porta que esse computador recebe o VNC e no final o DROP no restante.

pra mim poder se conectar do escritorio aqui no cliente tem essas regras que vem antes das regras de cima

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Code:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><PRE>
iptables -t filter -A FORWARD -s $MEU_IP -p tcp -d $IP_DO_SERVIDOR_DELES --dport 5906 -j ACCEPT
iptables -t nat -A PREROUTING -s $MEU_IP -p tcp --dport 5906 -j DNAT --to 192.168.1.12:5906
</PRE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

isso vem antes dos FORWARDS

ae que surge o problema
na ultima linha do FORWARD tem o -j DROP, se eu descomentar essa linha, aqui do escritorio eu conecto no VNC perfeito, caso eu descomento essa linha eu nao consigo conectar no VNC
eu teoricamente liberei a porta certa 5906 e mesmo assim nao conecta

alguem dica?

obrigado

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-07-17 16:57, Anonymous wrote:
Ola pessoal, estou tentando acertas essas regras de iptables mas não estou conseguindo e venho aqui pedir humildemente a ajuda de voces..

em um cliente meu que possui servidor Linux como firewall e compartilhamento de internet eu conecto nos terminais através do VNC, mas surgiu um problema em 1 terminal onde o usuário instalou vários programas que nao devia (Kazaa,ICQ,Mirc,MSN) e o dono da empresa pediu pra mim bloquear isso no servidor..
a minha idéia foi, no iptables eu dou um DROP no FORWARD, aparentemente ele funcionou...
coloquei mais ou menos assim
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Code:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><PRE>
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 110 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 443 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 5906 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp -j DROP
</PRE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

a idéia foi liberar portas de email e SSL, e a porta 5906 que é a porta que esse computador recebe o VNC e no final o DROP no restante.

pra mim poder se conectar do escritorio aqui no cliente tem essas regras que vem antes das regras de cima

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Code:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><PRE>
iptables -t filter -A FORWARD -s $MEU_IP -p tcp -d $IP_DO_SERVIDOR_DELES --dport 5906 -j ACCEPT
iptables -t nat -A PREROUTING -s $MEU_IP -p tcp --dport 5906 -j DNAT --to 192.168.1.12:5906
</PRE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

isso vem antes dos FORWARDS

ae que surge o problema
na ultima linha do FORWARD tem o -j DROP, se eu descomentar essa linha, aqui do escritorio eu conecto no VNC perfeito, caso eu descomento essa linha eu nao consigo conectar no VNC
eu teoricamente liberei a porta certa 5906 e mesmo assim nao conecta

alguem dica?

obrigado
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>


Caro Amigo,


Não sei se as suas regras estão mesmo nesta ordem (iptables -L listara a ordem) mas vc provavelmente tem que habilitar a maquina de estados ( -m state --state ESTABLISHED, RELATED) antes do DROP para que uma vez conectado ao servidor VNC os seus pacotes irao e virao sem problemas.


Bye,

[email protected]

[mistymst]

Bom supondo que a sua intencao eh bloquear tudo no final porque voce nao coloca a default policy como DROP e entao vai liberando.

iptables -P FORWARD DROP


desta maneira voce so ira fazer os accepts <IMG SRC="images/forum/icons/icon_smile.gif">

valeu pela ajuda

tentei deixar como default DROP mas ainda assim nao funcionou

sobre usar -m eu nao sei usar, procurei aqui no underlinux, no iptables.underlinux e nao achei nada a respeito dele

como eu uso esse -m pra deixar established a conexão depois que eu conectei? (acho que deve ser esse o problema)

obrigado

[Danilo_Montagna]

nao funcionou pelo seguinte..

vc deu um DROP no FORWARD.. e nao liberou uma regra de passagem de pacotes vidno do seu ip na internet para essa maquina...

iptables -t filter -A FORWARD -s 192.168.1.12 -p tcp --dport 5906 -j ACCEPT

conforme vc pode ver na regra acima.. vc so liberou o trafego que sai dessa maquina (-s) para fora da rede interna.. e nao é isso que a gente precisa aqui.. pois na verdade,, essa maquina nao precisa acessar pcanywhere de fora da rede.. e sim.. ela que precisa ser acessada..

faça essas regras aqui.. e deixe seu FORWARd em DROP.. que vai funcionar certinho..

IPTABLES -A FORWARD -p tcp -i $EXT_IF -d 192.168.1.12 --dport 5906 -j ACCEPT

IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

EXT_IF = interface externa do firewall
falow

[ Esta mensagem foi editada por: Danilo_Montagna em 18-07-2003 13:54 ]