+ Responder ao Tópico



  1. #1
    muganga
    Visitante

    Padrão iptables + outlook

    pessoal...estou com um problema com um firewall que configurei para um cliente...o OUTLOOK nao funciona

    ETH0 = Placa onde chega a internet
    ETH1 = Placa da rede interna

    #!/bin/sh
    #
    # This script will be executed *after* all the other init scripts.
    # You can put your own initialization stuff in here if you don't
    # want to do the full Sys V style init stuff.

    touch /var/lock/subsys/local

    route add default gw 172.16.2.1

    /sbin/modprobe ip_tables
    /sbin/modprobe iptables_nat
    /sbin/modprobe iptables_filter
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp

    echo "1" > /proc/sys/net/ipv4/ip_forward

    #REGRA PARA LIMPEZA DAS REGRAS (FLUSH)
    iptables -F
    iptables -Z
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t nat -Z


    #REGRA PARA BLOQUEAR(POR MAC)DETERMINADA MAQUINA DE ACESSAR INTERNET (OK)
    iptables -t nat -A PREROUTING -m mac --mac-source 00:07:95:45:66:15 -j DROP

    #Regra para fazer REDIRECIONAMENTO para a porta 8080 (PROXY)(OK)
    iptables -t nat -A PREROUTING -i eth0 -s 10.1.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
    iptables -t nat -A PREROUTING -s localhost -p tcp --dport 80 -j REDIRECT --to-port 8080


    #REGRA PARA NAO PASSAR A MAQUINA COM O MAC PELO PROXY (NAO)
    iptables -t nat -A PREROUTING -m mac --mac-source 00:05:91:43:60:15 -j ACCEPT

    #Regra para fazer OUTLOOK funcionar
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT

    NAO ESTA FUNCIONANDO A REGRA ACIMA

    #Regras para bloquear entradas netbios e outras portas (OK)
    iptables -t filter -A INPUT -p udp --dport 137 -j DROP
    iptables -t filter -A INPUT -p udp --sport 138 -j DROP
    iptables -t filter -A INPUT -p udp --dport 138 -j DROP
    iptables -t filter -A INPUT -p udp --sport 139 -j DROP
    iptables -t filter -A INPUT -p udp --dport 139 -j DROP
    iptables -t filter -A INPUT -p udp --sport 445 -j DROP
    iptables -t filter -A INPUT -p udp --dport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --sport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --dport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --sport 1025 -j DROP
    iptables -t filter -A INPUT -p tcp --dport 1025 -j DROP
    iptables -t filter -A INPUT -p udp --sport 1025 -j DROP
    iptables -t filter -A INPUT -p udp --dport 1025 -j DROP

    #Regras para bloquear saida netbios e outras portas (OK)
    iptables -t filter -A OUTPUT -p udp --dport 137 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 138 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 138 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 139 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 139 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 445 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --sport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --dport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --sport 1025 -j DROP
    iptables -t filter -A OUTPUT -p tcp --dport 1025 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 1025 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 1025 -j DROP

    #Regra para aceitar ping da minha maquina
    iptables -A INPUT -s 10.1.1.50/32 -p icmp -j ACCEPT
    iptables -A INPUT -p icmp -j DROP

    #Regra para bloquear ping
    #iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
    #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all


    #Regra para bloquear Back Orifice (YES)
    iptables -A INPUT -p tcp -i eth0 --dport 31337 -j DROP
    iptables -A INPUT -p udp -i eth0 --dport 31337 -j DROP


    #Regra para bloquear accesso pelas portas do X Server(interface grafica) (YES)
    iptables -A INPUT -p tcp -i eth0 --dport 5999:6003 -j DROP
    iptables -A INPUT -p udp -i eth0 --dport 5999:6003 -j DROP
    iptables -A INPUT -p tcp -i eth0 --dport 7100 -j DROP


    #Regra para limitar pacotes syn (evita flooding) (YES)
    iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT


    #Regra para bloquear socks tunneling (YES)
    iptables -t filter -A FORWARD -s 64.83.28.77 -j DROP
    iptables -t filter -A FORWARD -d 64.83.28.77 -j DROP
    iptables -t filter -A FORWARD -d 200.221.7.2 -j DROP
    iptables -t filter -A FORWARD -d 63.219.179.196 -j DROP


    #Regra para proteger contra Spoofing (pacotes entram na rede com ip falsificado)(YES)
    iptables -A INPUT -s 10.1.1.0/24 -i eth0 -j DROP
    echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

    #Regra para proteger contra syn-floods (YES)
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

    #Regra para proteger contra port scanners
    iptables -N SCANNER
    iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner:"
    iptables -A SCANNER -j DROP
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL NONE -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL ALL -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth0 -j SCANNER


    #Regra para proteger contra ping da morte
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT


    #Regra para proteger contra pacotes danificados ou suspeitos (ataque DOS)
    iptables -A FORWARD -m unclean -j DROP


    #Regra para bloquear NFS
    iptables -A INPUT -p tcp -i eth1 --syn --dport 111 -j DROP

    #Regra para proteger contra Trojans
    iptables -N TROJAN
    iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL:trojan:"
    iptables -A TROJAN -j DROP
    iptables -A INPUT -p TCP -i eth0 --dport 666 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 4000 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 6000 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 6006 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 16660 -j TROJAN


    #Regra para proteger contra worms
    iptables -A FORWARD -p tcp --dport 135 -i eth1 -j REJECT
    iptables -A FORWARD -p tcp --dport 1025 -i eth1 -j REJECT
    iptables -A FORWARD -p udp --dport 1025 -i eth1 -j REJECT


    Abraços

  2. #2
    Visitante

    Padrão iptables + outlook

    Código :
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT

    Código :
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT

    nao esqueca q a volta tbm eh necessaria [/code]

  3. #3
    Visitante

    Padrão iptables + outlook

    Citação Postado originalmente por Anonymous
    Código :
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT

    Código :
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --sport 110 -j ACCEPT
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --sport 25 -j ACCEPT

    nao esqueca q a volta tbm eh necessaria [/code]

  4. #4
    muganga
    Visitante

    Padrão iptables + outlook

    valeu visitante...

    coloquei as regras e agora ta tudo normalizado...

    Abraços

  5. #5
    muganga
    Visitante

    Padrão outlook

    visitante...ontem coloquei as regras que vc me passou

    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT
    ptables -A FORWARD -d 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT

    so que hj nao esta mais funcionando....

    iptables -L

    ACCEPT tcp -- 10.1.1.0/24 anywhere tcp dptop3
    ACCEPT tcp -- 10.1.1.0/24 anywhere tcp dpt:smtp
    ACCEPT tcp -- anywhere 10.1.1.0/24 tcp dptop3
    ACCEPT tcp -- anywhere 10.1.1.0/24 tcp dpt:smtp

    mesmo assim o OUTLOOK nao funciona de jeito nenhum.


    Abraços

  6. #6
    Visitante

    Padrão iptables + outlook

    ME DESCULPE:

    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT

    ptables -A FORWARD -d 10.1.1.0/24 -p tcp --sport 110 -j ACCEPT
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --sport 25 -j ACCEPT

  7. #7
    muganga
    Visitante

    Padrão continua dando erro

    Visitante....fiz as modificacoes e nao surtiu nenhum efeito...continua dando erro e o OUTLOOK continua sem funcionar

    Abraços

  8. #8
    Visitante

    Padrão iptables + outlook

    ???

  9. #9
    netricardo
    Visitante

    Padrão Outlook

    Vê se te ajuda.


    # Libera acesso SMTP

    iptables -A INPUT -p tcp --sport smtp -j ACCEPT
    iptables -A OUTPUT -p tcp --dport smtp -j ACCEPT
    iptables -A INPUT -p tcp --dport smtp -j ACCEPT
    iptables -A OUTPUT -p tcp --sport smtp -j ACCEPT

    # Libera acesso POP3

    iptables -A INPUT -p tcp --dport pop-3 -s 192.168.0.0/16 -j ACCEPT
    iptables -A OUTPUT -p tcp --sport pop-3 -d 192.168.0.0/16 -j ACCEPT

    PS.: Nao esquece de mudar seus IP's.

    Abraços e até mais.

  10. #10
    muganga
    Visitante

    Padrão iptables + outlook

    pessoal...nao sei o que esta acontecendo nao...mas nao funcionou com nenhuma das regras...apenas com

    iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -o eth0 -j MASQUERADE


    Abraços

  11. #11
    Visitante
    Visitante

    Padrão Estou com o mesmo problema, já fiz tudo que foi citado acima

    Pessoal estou com o mesmo problema.

    Já fiz de tudo, pra liberar o outlook pra buscar os e-mail num provedor externo ( terra.com.br ).

    1. Meu servidor pinga tanto pra rede interna,
    2. quanto pra reder externa.

    já segui vários tutoriais inclusive esse anterior e nada. Do meu linux vejo todas as máquinas na rede via samba... acho que problema interno não é, mas não tem jeito de passar direto.

    Uma dúvida que até agora ainda não detectei, no outlook como devo configurar o endereço de servidor:

    usuário: nomeusuario
    senha: *****
    pop.bnu.terra.com.br porta: 110
    smtp.bnu.terra.com.br porta: 25

    Informações de config. rede ( win 2000 ).

    IP Interno: 192.168.2.6
    Máscara: 255.255.255.0
    Gatway: 192.168.1.1 ( ip interno da máquina servidor linux )
    DNS: ( aqui preciso citar alguma coisa? ). Pois aqui também já coloquei o IP do servidor, já tentei outras coisas e nada.

    e nesse caso como o outlook saberá que tem que chegar no meu servidor Linux, seria através do gatway?

    Como posso fazer um log no servidor pra ver se as estaçoes estão chegando no servidor pra saber se o problema está em chegar até o servidor ou do servidor sair para o provedor externo e depois voltar do provedor... como posso fazer para ativar um log desses tipo?

    obrigado.

  12. #12

    Padrão ..... mesma coisa.....

    Galera gente finalo meu outlook da esse erro:

    Não foi possível conectar-se ao servidor. Conta: 'pop3.uol.com.br', Servidor: 'pop3.uol.com.br', Protocolo: POP3, Porta: 110, Segura (SSL): Não, Erro de soquete: 10060, Nº do erro: 0x800CCC0E


    E o meu ping esse:

    Disparando contra www.uol.com.br [200.221.2.45] com 32 bytes de dados:

    Esgotado o tempo limite do pedido.
    Esgotado o tempo limite do pedido.
    Esgotado o tempo limite do pedido.
    Esgotado o tempo limite do pedido.

    Estatísticas do Ping para 200.221.2.45:
    Pacotes: Enviados = 4, Recebidos = 0, Perdidos = 4 (100% de perda),
    Tempos aproximados de ida e volta em milissegundos:
    Mínimo = 0ms, Máximo = 0ms, Média = 0ms
    Já fiz um monte dessas regras que me passaram e não adiantou nada!!... estou pensando em instalar um server novo sem firewall e depois por manual as regras? o que vcs acham???
    Postem um script para me ajudar quem tiver um bom que funciona a mer.... do outlook no RuWiNdOwS!!
    Valeu
    SPECTRUM NA ÁREA!!

  13. #13
    muganga
    Visitante

    Padrão iptables+outlook

    spectrum.....vc ja viu se sua maquina ta aceitando ping?
    cat /proc/sys/net/ipv4/icmp_echo_ignore_all
    se tiver em 1 coloque
    echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all

    outra dica...
    caso seu firewall esteja muuuito grande tire todas as regras ou mesmo comente ela e veja se o outlook funfa somente com o
    iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -o eth1 -j MASQUERADE

    nao se esqueca de verificar se esta fazendo masquerade
    iptables -t nat -A

    Abraço e qq coisa posta ai