Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Abutre
    Visitante

    Padrão Iptables, tem que ser fera !!!

    Pelo amor de Deus,
    Alguém que usa o RED HAT 9.0, pode me ajudar, ou não vou conseguir esta ajuda ??
    Só o meu squid funciona, e já tentei tudo que é regra e dica pra funcionar o pop e smtp.
    Alguém pode me enviar um exemplo completo de como está seu arquivo iptables , por favor !??!

    Ficarei eternamente grato,

    Meu uin 46103610

    Valeu

  2. #2
    Gnuser
    Visitante

    Padrão Iptables, tem que ser fera !!!

    vc pode utilizar o sendmail para ativar pop e SMTP

    Antes de instalar o Sendmail, verifique se já existe
    um servidor de e-mail operando .
    Geralmente o postfix já vem instalado por padrão.

    rpm -q postfix

    Se ele estiver instalado renova-o através do comando:

    rpm -e postfix --nodeps

    Em seguida instale os pacotes do Sendmail e do Imap
    Copie os arquivos de configuração para
    /etc/mail e altere-os conforme sua necessidade.

    Lembrando que o seu servidor DNS já deve estar
    configurado e operando.
    Ao final da configuração rode o servidor.

    Em seguida edite o arquivo /etc/inetd.conf
    e remova o comentário da linha que faz referência
    a pop-3 exemplo:

    pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d

    salve e saia.

    Inicialize o servidor inet .

    Rode o nmap ou outro equivalente e verifique se as portas
    25 e 110 estão abertas.


    os seus usuários que forem possuir uma conta de e-mail devem
    ser adicionados ao sistema como sendo usuários normais, porém
    ele não poderão logar no sistema Linux, apenas receber e
    enviar e-mails. Após adicionar o usuário, altere a shell no qual
    ele irá se logar.

    vi /etc/passwd

    Troque:

    gnuser:x:500:500: pinesso:/home/gnuser:/bin/bash

    Para:

    gnuser:x:500:500: pinesso:/home/gnuser:/bin/false

    Percebeu a diferença? Repare bem.

    Para vc ativar o SMTP vc tem que editar o arquivo sendmail.cf e descomentar as linhas referentes ao SMTP.

    dai blzinha <IMG SRC="images/forum/icons/icon_biggrin.gif">

    Este é o modo pelo sendmail não sei se isto lhe interessa, mas de qualquer modo espero ter ajudado.


    MS-Windows, oq é isso?

    [ Esta mensagem foi editada por: Gnuser em 15-09-2003 13:49 ]

    [ Esta mensagem foi editada por: Gnuser em 15-09-2003 13:50 ]



  3. #3
    Abutre
    Visitante

    Padrão Iptables, tem que ser fera !!!

    Gnuser..
    Me expressei mal, desculpe...
    O meu problema, é que uso o Squid para server estações Ruindows, para www.
    Preciso de scripts iptables p/ acesso pop3 e smtp, das coisinhas da microsoft.

    Minhas regras abaixo...

    echo 1 > /proc/sys/net/ipv4/ip_forward

    iptables -t filter -P INPUT DROP
    iptables -t filter -P OUTPUT ACCEPT
    iptables -t filter -P FORWARD DROP

    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD
    iptables -X


    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    iptables -t nat -A PREROUTING -s 200.207.23x.9x -i eth0 -j DNAT --to 10.70.2.14
    iptables -t nat -A POSTROUTING -s 200.207.23x.9x -o eth0 -p tcp --dport 25
    iptables -t nat -A POSTROUTING -s 10.70.2.14 -o eth0 -j SNAT --to 200.207.23x.9x
    iptables -t nat -A POSTROUTING -s 10.70.2.14 -o eth0 -p tcp --dport 25 -j ACCEPT

    iptables -t nat -A PREROUTING -s 200.207.23x.9x -i eth0 -j DNAT --to 10.70.2.14
    iptables -t nat -A POSTROUTING -s 200.207.23x.9x -o eth0 -p tcp --dport 110
    iptables -t nat -A POSTROUTING -s 10.70.2.14 -o eth0 -j SNAT --to 200.207.23x.9x
    iptables -t nat -A POSTROUTING -s 10.70.2.14 -o eth0 -p tcp --dport 110 -j ACCEPT

    Será que preciso desabilitar ou abilitar algum outro serviço ??? O iptables nativo, não está rodando pra eitar conflitos com as minhas regras...

    O que tá errado ?? Pq as estações não conseguem passar pelo Server Linux ??
    Se vc ou outra pessoa souber, quebra essa pra mim q tá me dando mô dor de cabeça !!

    Valeu ,

    Abutre...

  4. #4
    Gnuser
    Visitante

    Padrão Iptables, tem que ser fera !!!

    <IMG SRC="images/forum/icons/icon_frown.gif"> Deixa ver se eu entendi: Você quer que os usuarios tenham acesso as portas 25 e 110?



  5. #5
    Gnuser
    Visitante

    Padrão Iptables, tem que ser fera !!!

    Sei la tenta por estes aqui:

    iptables -A INPUT -p tcp --destination-port 25 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 110 -j ACCEPT

    Dai tipo se vc for deixar so estas portas abertas dai vc usa:

    iptables -A INPUT -p tcp --syn -j DROP

    <IMG SRC="images/forum/icons/icon24.gif">

  6. #6
    Abutre
    Visitante

    Padrão Iptables, tem que ser fera !!!

    Gn,
    Vou tentar estas que vc enviou, mas acho que até isso eu tentei.
    Tô achando muito estranho isso !!!
    Eu tinha usava ipchains e foi babinha configurar...
    Valeu, qualquer coisa eu posto o q houve.
    Abraço,

    abutre.



  7. #7

    Padrão Iptables, tem que ser fera !!!

    Na boa eu ainda nao entendi o que vc quer dizer como pop/smtp, voce posta regras de SNAT e DNAT, jah te mostrei as regras de FORWARD para pop/smtp, o nosso amigo lhe mostrou regras de INPUT.

    Afinal de contas? onde esta o SMTP server que vc quer se conectar? e QUEM vai se conectar neles ? o mesmo para o POP

  8. #8
    Abutre
    Visitante

    Padrão Iptables, tem que ser fera !!!

    Se liga...
    Meu pop, tá em Provedor externo.
    Tenho conexão ADSL aqui com uma eth0 local e eth1 ADSL.
    As estações da minha rede, são Ruindows .
    Meu server, é um Red Hat 9.0, rodando SQUID...
    As estações estão conseguindo acessar a internet através do Squid, pela porta 3128.
    Preciso que as estações, acessem suas contas, através do proxy...
    iptables blablabla...mas até agora funfou tudo q tentei e não sei mais o que fazer.
    Se alguém tem o mesmo esquema, eu gostaria de dar uma olhada no script e saber se está por save ou em arquivo no init.d.

    Valeu a galera que tá tentando me ajudar ...
    A irmandade do mundo Linux, é forte por estes gestos !!!



  9. #9
    Abutre
    Visitante

    Padrão Iptables, tem que ser fera !!!

    Se liga...
    Meu pop, tá em Provedor externo.
    Tenho conexão ADSL aqui com uma eth0 local e eth1 ADSL.
    As estações da minha rede, são Ruindows .
    Meu server, é um Red Hat 9.0, rodando SQUID...
    As estações estão conseguindo acessar a internet através do Squid, pela porta 3128.
    Preciso que as estações, acessem suas contas, através do proxy...
    iptables blablabla...mas até agora funfou tudo q tentei e não sei mais o que fazer.
    Se alguém tem o mesmo esquema, eu gostaria de dar uma olhada no script e saber se está por save ou em arquivo no init.d.

    Valeu a galera que tá tentando me ajudar ...
    A irmandade do mundo Linux, é forte por estes gestos !!!

  10. #10
    Gerente
    Visitante

    Padrão Iptables, tem que ser fera !!!

    <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
    On 2003-09-15 15:34, Abutre wrote:
    Se liga...
    Meu pop, tá em Provedor externo.
    Tenho conexão ADSL aqui com uma eth0 local e eth1 ADSL.
    As estações da minha rede, são Ruindows .
    Meu server, é um Red Hat 9.0, rodando SQUID...
    As estações estão conseguindo acessar a internet através do Squid, pela porta 3128.
    Preciso que as estações, acessem suas contas, através do proxy...
    iptables blablabla...mas até agora funfou tudo q tentei e não sei mais o que fazer.
    Se alguém tem o mesmo esquema, eu gostaria de dar uma olhada no script e saber se está por save ou em arquivo no init.d.

    Valeu a galera que tá tentando me ajudar ...
    A irmandade do mundo Linux, é forte por estes gestos !!!
    </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>



  11. #11
    beastie
    Visitante

    Padrão Iptables, tem que ser fera !!!

    to com essas regras e o outlook funfa normal, se é isso q vc precisa... (porta 25 e 110 liberadas)

    #!/bin/bash
    IPTABLES=/usr/sbin/iptables
    MODPROBE=/sbin/modprobe
    $MODPROBE ip_tables
    $MODPROBE iptable_filter
    $MODPROBE ip_conntrack
    $MODPROBE iptable_nat
    $MODPROBE ipt_LOG
    $MODPROBE ipt_state
    $MODPROBE ipt_MASQUERADE
    #
    $IPTABLES -F
    $IPTABLES -Z
    $IPTABLES -X
    $IPTABLES -t nat -F
    $IPTABLES -P INPUT ACCEPT
    $IPTABLES -P FORWARD ACCEPT
    $IPTABLES -P OUTPUT ACCEPT
    #
    echo "1" > /proc/sys/net/ipv4/ip_forward
    #
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    #
    $IPTABLES -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
    $IPTABLES -A INPUT -p ALL -s 10.0.0.1 -i lo -j ACCEPT
    $IPTABLES -A INPUT -p ALL -s 200.204.150.145 -i lo -j ACCEPT
    #
    $IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    #
    $IPTABLES -A INPUT -p udp -s 200.204.0.10 --sport 53 -d 200.204.150.145 -j ACCEPT
    $IPTABLES -A INPUT -p udp -s 200.204.0.138 --sport 53 -d 200.204.150.145 -j ACCEPT
    ##
    $IPTABLES -A INPUT -i eth1 -f -j LOG --log-prefix "Pacote INPUT fragmentado: "
    $IPTABLES -A INPUT -i eth1 -f -j DROP
    ##
    $IPTABLES -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
    $IPTABLES -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
    $IPTABLES -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
    $IPTABLES -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
    $IPTABLES -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP
    ##
    $IPTABLES -A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT
    $IPTABLES -A INPUT -p icmp --icmp-type 0 -j ACCEPT
    ##
    $IPTABLES -A INPUT -p TCP -i eth0 -s 10.0.0.0/8 --dport 3128 -j ACCEPT
    ##
    $IPTABLES -A INPUT -p TCP --dport 5191 -j ACCEPT
    ##
    $IPTABLES -A INPUT -p TCP -i eth1 --sport 80 -j ACCEPT
    $IPTABLES -A INPUT -p TCP -i eth1 --sport 443 -j ACCEPT
    ##
    $IPTABLES -A INPUT -p TCP -s 10.0.0.2 -d 10.0.0.1 --dport 80 -j ACCEPT
    $IPTABLES -A INPUT -p TCP -s 10.0.0.2 -d 10.0.0.1 --dport 443 -j ACCEPT
    ##
    $IPTABLES -A INPUT -p tcp --dport 80 -j REJECT --reject-with tcp-reset
    $IPTABLES -A INPUT -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
    $IPTABLES -A INPUT -j LOG --log-prefix "Pacote input descartado: "
    $IPTABLES -A INPUT -j DROP
    ##
    $IPTABLES -A FORWARD -m state --state INVALID -j DROP
    $IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    ##
    $IPTABLES -A FORWARD -s 0.0.0.0 -d 10.0.0.2 -j ACCEPT
    $IPTABLES -A FORWARD -s 10.0.0.2 -d 0.0.0.0 -j ACCEPT
    ##
    $IPTABLES -A FORWARD -p udp -s 10.0.0.0/8 -d 200.204.0.10 --dport 53 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -s 10.0.0.0/8 -d 200.204.0.138 --dport 53 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -s 200.204.0.10 --sport 53 -d 10.0.0.0/8 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -s 200.204.0.138 --sport 53 -d 10.0.0.0/8 -j ACCEPT
    ##
    $IPTABLES -A FORWARD -p TCP -s 10.0.0.0/8 --dport 25 -j ACCEPT
    $IPTABLES -A FORWARD -p TCP -s 10.0.0.0/8 --dport 110 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp --sport 25 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp --sport 110 -j ACCEPT
    ##
    $IPTABLES -A FORWARD -j LOG --log-prefix "Pacote forward descartado: "
    $IPTABLES -A FORWARD -j DROP
    ##
    $IPTABLES -t nat -A POSTROUTING -j MASQUERADE


    blz? eth1 = ip externo eth0 interno


  12. #12
    Visitante

    Padrão Iptables, tem que ser fera !!!

    Libera o INPUT eo FORWARD das portas utilizadas pelo POP e SMTP


    A Marcio



  13. #13
    Visitante

    Padrão Iptables, tem que ser fera !!!

    Ola amigo acho que o seu erro esta aqui ...

    iptables -t filter -P INPUT DROP
    iptables -t filter -P OUTPUT ACCEPT
    iptables -t filter -P FORWARD DROP

    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD
    iptables -X
    -----------------------------

    tente colocar assim

    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD
    iptables -X

    iptables -t filter -P INPUT DROP
    iptables -t filter -P OUTPUT ACCEPT
    iptables -t filter -P FORWARD DROP

    de uma olhada na documentação do netfilter pois suas regras de DNAT não estão legais !!!!!!!!!!!!!

  14. #14
    Abutre
    Visitante

    Padrão Iptables, tem que ser fera !!!

    Já tinha desistido disso, mas voltarei a tentar !!
    Valeu a toda a Galera !!!
    Vcs são os melhores...

    Abutre



  15. #15

    Padrão Iptables, tem que ser fera !!!

    Abutre!

    Vou dividir esta com você.
    Também preciso implementar o recurso de envio e recebimento de e-mails, minha distro é a CL8 (pretendo mudar para RH9, me falaram que as regras são as mesmas; primeiramente vou tentar implementar as regras no CL8; depois que estiver funfando no CL8, vou migrar tudo que eu tenho neste server (atualmente tenho o proxy e firewall) para RH9.
    Você já conseguiu fazer funcionar este recurso no conectiva 8?
    Obrigado.

  16. #16

    Padrão Iptables, tem que ser fera !!!

    Gerente, Val e Abutre,
    Pelo que entendi voces querem que o server busque o mail em pops espalhados pela net, e armazene nele, como se ele fosse um pop,
    e isso?



  17. #17
    wrochal
    Visitante

    Padrão Iptables, tem que ser fera !!!

    Caro,

    Use as seguintes Regras

    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -F

    iptables -t nat -A POSTROUTING -o ethX -j MASQUERADE
    iptables -A FORWARD -i ethX -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED, RELATED -j ACCEPT

    iptables -A INPUT -p tcp -s 0/0 --dport 25 -j ACCEPT
    iptables -A INPUT -p tcp -s 0/0 --dport 110 -j ACCEPT



    FALOU,

    OBS.: NAO A SEGURANCA APENAS REGRA QUE FUNCIONA... <IMG SRC="images/forum/icons/icon_smile.gif">

  18. #18



  19. #19

    Padrão Iptables, tem que ser fera !!!

    vonlinkerstain!

    Não. Eu quero apenas que as minhas estações de trabalho (Windows 2000 Pro.) acessem suas contas de e-mail externas (pop3 e smtp são externos);
    Na verdade as estações só fazems requisições as portas 25 e 110 feitas do firewall (onde eu tenho que colocar estas regras)e vão buscar os e-mails externamente. Não fica nada no server.
    Endendeu vonlinkerstain?

    Obrigado.

    __________________



    rdsat!

    as regras do link são para ipchains, como ficaria com iptables?

    Obrigado!

    __________________

    wrochal2002!

    Vou testar esta dica e colocarei o resultado aqui.

    Obrigado.

  20. #20

    Padrão Iptables, tem que ser fera !!!

    Sim compreendi Wal,
    E que eu estava pensando em fazer, o tipo de um proxy de email aqui.... O server baixa as mensagens dos pops setados e armazena neles, assim mesmo que eu fique de f&acute;erias, a minha caixa de correio (gratis) nao fica lotada sacou?
    Da pra fazer isso?

    Abutre, desculpe-me atravessar no seu topico assim,.....