Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    quecosuix
    não tenho muita experiencia em firewalls mas tenho feito alguns rascunhos. o firewall abaixo faz ligação da rede 192.168.1.0(modem)
    e 10.0.0.0(lan)
    no firewall a placa eth0 tem o ip 192.168.1.200
    no firewall a placa eth1 tem o ip 10.0.0.254

    nos clientes o gateway está setado para 10.0.0.254 no IE e os dns 200.215.1.43 e 200.215.1.44 da brasiltelecom nas configurações da rede.

    a route default está setada para 192.168.1.1(modem adsl)

    o problema é que nenhum cliente consegue ter acesso a net a não a ser o próprio firewall.

    se vcs precisarem de mais alguma informação para dar uma sugestão eu responde rapidinho.
    espero que alguém ache algum erro de logica ou qualquer outro tipo de erro na configuração abaixo,
    valeu
    cleiton


    #!/bin/bash
    #
    iptables -F
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle
    #
    echo 1 > /proc/sys/net/ipv4/ip_forward
    #
    modprobe ip_tables
    modprobe iptable_filter
    modprobe iptable_mangle
    modprobe iptable_nat
    modprobe ipt_MASQUERADE
    modprobe ipt_LOG
    modprobe ipt_limit
    modprobe ipt_state
    #
    iptables -A INPUT -i lo -j ACCEPT
    #
    #netip=192.168.0.2
    #netface=eth0
    #lanface=eth1
    #lanip=10.0.0.254
    #
    #
    iptables -P FORWARD DROP
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -A FORWARD -m unclean -j DROP
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    #
    iptables -A INPUT -p tcp --dport 21 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: ftp: "
    iptables -A INPUT -p tcp --dport 23 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: telnet: "
    iptables -A INPUT -p tcp --dport 25 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: smtp: "
    iptables -A INPUT -p tcp --dport 80 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: http: "
    iptables -A INPUT -p tcp --dport 110 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: pop3: "
    iptables -A INPUT -p tcp --dport 443 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: imap: "
    iptables -A INPUT -p tcp --dport 6667:6668 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: irc: "
    iptables -A INPUT -p tcp --dport 3128 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: squid: "
    #
    iptables -A FORWARD -i eth0 -p tcp --dport 20 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --dport 21 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -i eth0 -p tcp --dport 443 -j ACCEPT
    #
    iptables -A INPUT -p tcp --destination-port 22 -i eth1 -j ACCEPT
    iptables -A INPUT -s 10.0.0.0/8 -i $netface -j DROP
    iptables -A INPUT -s 172.16.0.0/16 -i $netface -j DROP
    iptables -A INPUT -s 192.168.0.0/24 -i $netface -j DROP
    #
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A POSTROUTING -s $faixalan -o $netface -j MASQUERADE

  2. #2
    quecosuix
    na seção INPUT é eth0 e não $netface

    e a regra
    iptables -t nat -A POSTROUTING -s $faixalan -o $netface -j MASQUERADE

    eh na verdade

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    a linha do REDIRECT que ativa o squid está comentada..
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128



  3. nao vejo problema nenhum em ele especificar que ele so vai mascarar o que sair da lan interna dele, nao tem problema nisso. se ele tiver uma DMZ com ip valido, vai sair tudo com o ip do firewall? nao neh.


    e outra voce nao seta o gateway no IE , no ie o maximo que voce faz eh setar o proxy.

    qual eh a default gateway que voce colocou no tcp/ip dos seus clientes? tem que ser o ip do seu firewall, passei o pano rapidamente em suass e elas parecem estar ok.

  4. #4
    quecosuix
    eh verdade me expressei mal, nos clientes está o ip do proxy. 10.0.0.254
    eh a interface eth1.

    o default gateway tb coloquei o ip 10.0.0.254

    desculpe mais vou ser sincero não sei o que DMZ

    tudo vai sair pelo ip do modem 192.168.1.1 que recebe um ip dinamico da brasiltelecom.

    ajudou?!
    valeu
    cleiton



  5. #5
    quecosuix
    pergunta paralela

    quando faço a regra abaixo ele libera tanto pros pacotes irem da lan para internet e da internet para a lan?! é necessário apenas uma regra ou uma pra cada sentido?!

    iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT

    no meu firewall percebi que não fiz nenhum regra INPUT ou FORWARD para liberar pacotes de protocolo UDP, mas também em nenhum momento bloquei o mesmo.

    valeu






Tópicos Similares

  1. meu firewall!! opinem!!!
    Por johnny no fórum Servidores de Rede
    Respostas: 9
    Último Post: 27-05-2005, 08:46
  2. Analise de firewall
    Por capgaiotto no fórum Servidores de Rede
    Respostas: 7
    Último Post: 01-05-2005, 09:03
  3. Meu firewall me bloqueou.. não faço mais nada
    Por guardian_metal no fórum Servidores de Rede
    Respostas: 15
    Último Post: 02-09-2004, 21:09
  4. Meu firewall ta bixado
    Por Gnuser no fórum Servidores de Rede
    Respostas: 1
    Último Post: 09-01-2004, 11:44
  5. quando subo o iptables, meu firewall fica bloqueado
    Por edilson no fórum Servidores de Rede
    Respostas: 3
    Último Post: 23-01-2003, 09:36

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L