+ Responder ao Tópico



  1. #1
    muganga
    Visitante

    Padrão problemas com rc.local

    seguinte galera..
    tenho um firewall que esta no /etc/rc.local quando executo o comando ./rc.local minha internet para de funcionar ai tenho que reiniciar o server entretando as regras que fazem o OUTLOOK funcionar nao sao levantadas. Vejam as permissoes do rc.local

    ls -lia rc.local
    212217 -rwxr-xr-x 1 root root 7808 Out 18 17:23 rc.local

    Se quiserem que posto o conteudo do rc.local é so falarem

    Abraço a todos

  2. #2
    guardian_metal
    Visitante

    Padrão problemas com rc.local

    Acharia legal você colocar as regras de firewall em um outro arquivo. Eu coloquo dentro dum arquivo chamado ipt que fica em /etc/firewall e depois rodo ./ipt.

  3. #3
    muganga
    Visitante

    Padrão rc.local bichado

    guardian_metal...segui sua sugestao e mesmo assim qdo dou
    ./ipt a internet para...nao consigo pingar em lugar nenhum...

    Abraço

  4. #4
    guardian_metal
    Visitante

    Padrão problemas com rc.local

    Como estão suas regras?

  5. #5
    muganga
    Visitante

    Padrão rc.local + firewall

    guardian_metal..segue anexo conteudo do meu rc.local


    #!/bin/sh
    #
    # This script will be executed *after* all the other init scripts.
    # You can put your own initialization stuff in here if you don't
    # want to do the full Sys V style init stuff.

    touch /var/lock/subsys/local

    route add default gw 172.16.2.1

    /sbin/modprobe ip_tables
    /sbin/modprobe iptables_nat
    /sbin/modprobe iptables_filter

    #Regras para conseguir usar FTP
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp

    echo "1" > /proc/sys/net/ipv4/ip_forward

    #REGRA PARA LIMPEZA DAS REGRAS (FLUSH)
    iptables -F
    iptables -Z
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t nat -Z


    #REGRA PARA BLOQUEAR(POR MAC)DETERMINADA MAQUINA DE ACESSAR INTERNET (OK)
    iptables -t nat -A PREROUTING -m mac --mac-source 00:07:95:CD:AA:58 -j DROP

    #Regra para fazer REDIRECIONAMENTO para a porta 8080 (PROXY)(OK)
    iptables -t nat -A PREROUTING -i eth0 -s 10.1.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
    iptables -t nat -A PREROUTING -s localhost -p tcp --dport 80 -j REDIRECT --to-port 8080


    #Regra para fazer OUTLOOK funcionar (OK)
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT


    #Regras para bloquear entradas netbios e outras portas (OK)
    iptables -t filter -A INPUT -p udp --dport 137 -j DROP
    iptables -t filter -A INPUT -p udp --sport 138 -j DROP
    iptables -t filter -A INPUT -p udp --dport 138 -j DROP
    iptables -t filter -A INPUT -p udp --sport 139 -j DROP
    iptables -t filter -A INPUT -p udp --dport 139 -j DROP
    iptables -t filter -A INPUT -p udp --sport 445 -j DROP
    iptables -t filter -A INPUT -p udp --dport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --sport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --dport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --sport 1025 -j DROP
    iptables -t filter -A INPUT -p tcp --dport 1025 -j DROP
    iptables -t filter -A INPUT -p udp --sport 1025 -j DROP
    iptables -t filter -A INPUT -p udp --dport 1025 -j DROP

    #Regras para bloquear saida netbios e outras portas (OK)
    iptables -t filter -A OUTPUT -p udp --dport 137 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 138 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 138 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 139 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 139 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 445 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --sport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --dport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --sport 1025 -j DROP
    iptables -t filter -A OUTPUT -p tcp --dport 1025 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 1025 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 1025 -j DROP

    #Regra para aceitar ping da minha maquina
    iptables -A INPUT -s 10.1.1.50/32 -p icmp -j ACCEPT
    iptables -A INPUT -p icmp -j DROP

    #Regra para bloquear ping
    #iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
    #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

    #Regra para bloquear TRACEROUTE (NO)
    iptables -A INPUT -p udp --dport 3345:33525 -j DROP

    #Regra para bloquear Back Orifice (YES)
    iptables -A INPUT -p tcp -i eth0 --dport 31337 -j DROP
    iptables -A INPUT -p udp -i eth0 --dport 31337 -j DROP


    #Regra para bloquear accesso pelas portas do X Server(interface grafica) (YES)
    iptables -A INPUT -p tcp -i eth0 --dport 5999:6003 -j DROP
    iptables -A INPUT -p udp -i eth0 --dport 5999:6003 -j DROP
    iptables -A INPUT -p tcp -i eth0 --dport 7100 -j DROP

    #Regra para limitar pacotes syn (evita flooding) (YES)
    iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

    #Regra para bloquear socks tunneling (YES)
    iptables -t filter -A FORWARD -s 64.83.28.77 -j DROP
    iptables -t filter -A FORWARD -d 64.83.28.77 -j DROP
    iptables -t filter -A FORWARD -d 200.221.7.2 -j DROP
    iptables -t filter -A FORWARD -d 63.219.179.196 -j DROP

    #Regra para proteger contra Spoofing (pacotes entram na rede com ip falsificado)(YES)
    iptables -A INPUT -s 10.1.1.0/24 -i eth0 -j DROP
    echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

    #Regra para proteger contra syn-floods (YES)
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

    #Regra para proteger contra port scanners
    iptables -N SCANNER
    iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner:"
    iptables -A SCANNER -j DROP
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL NONE -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL ALL -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth0 -j SCANNER


    #Regra para proteger contra ping da morte
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    #Regra para proteger contra pacotes danificados ou suspeitos (ataque DOS)
    iptables -A FORWARD -m unclean -j DROP

    #Regra para bloquear NFS
    iptables -A INPUT -p tcp -i eth1 --syn --dport 111 -j DROP

    #Regra para proteger contra Trojans
    iptables -N TROJAN
    iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL:trojan:"
    iptables -A TROJAN -j DROP
    iptables -A INPUT -p TCP -i eth0 --dport 666 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 4000 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 6000 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 6006 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 16660 -j TROJAN


    #Regra para proteger contra worms
    iptables -A FORWARD -p tcp --dport 135 -i eth1 -j REJECT
    iptables -A FORWARD -p tcp --dport 1025 -i eth1 -j REJECT
    iptables -A FORWARD -p udp --dport 1025 -i eth1 -j REJECT


    Abraços

  6. #6
    guardian_metal
    Visitante

    Padrão problemas com rc.local

    Tenta por assim:

    #REGRA PARA LIMPEZA DAS REGRAS (FLUSH)
    iptables -F
    iptables -Z
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t nat -Z

    #Ativa Módulos
    modprobe ip_tables
    modprobe iptables_nat
    modprobe iptables_filter
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp

    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
    #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

    #Regra para proteger contra Spoofing (pacotes entram na rede com ip falsificado)(YES)
    iptables -A INPUT -s 10.1.1.0/24 -i eth0 -j DROP

    #Regra para bloquear ping
    #iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

    #Regras para bloquear entradas netbios e outras portas (OK)
    iptables -t filter -A INPUT -p udp --dport 137 -j DROP
    iptables -t filter -A INPUT -p udp --sport 138 -j DROP
    iptables -t filter -A INPUT -p udp --dport 138 -j DROP
    iptables -t filter -A INPUT -p udp --sport 139 -j DROP
    iptables -t filter -A INPUT -p udp --dport 139 -j DROP
    iptables -t filter -A INPUT -p udp --sport 445 -j DROP
    iptables -t filter -A INPUT -p udp --dport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --sport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --dport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --sport 1025 -j DROP
    iptables -t filter -A INPUT -p tcp --dport 1025 -j DROP
    iptables -t filter -A INPUT -p udp --sport 1025 -j DROP
    iptables -t filter -A INPUT -p udp --dport 1025 -j DROP

    #Regras para bloquear saida netbios e outras portas (OK)
    iptables -t filter -A OUTPUT -p udp --dport 137 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 138 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 138 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 139 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 139 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 445 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --sport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --dport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --sport 1025 -j DROP
    iptables -t filter -A OUTPUT -p tcp --dport 1025 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 1025 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 1025 -j DROP

    #Regra para aceitar ping da minha maquina
    iptables -A INPUT -s 10.1.1.50/32 -p icmp -j ACCEPT
    iptables -A INPUT -p icmp -j DROP

    #Regra para bloquear TRACEROUTE (NO)
    iptables -A INPUT -p udp --dport 3345:33525 -j DROP

    #Regra para bloquear Back Orifice (YES)
    iptables -A INPUT -p tcp -i eth0 --dport 31337 -j DROP
    iptables -A INPUT -p udp -i eth0 --dport 31337 -j DROP

    #Regra para bloquear accesso pelas portas do X Server(interface grafica) (YES)
    iptables -A INPUT -p tcp -i eth0 --dport 5999:6003 -j DROP
    iptables -A INPUT -p udp -i eth0 --dport 5999:6003 -j DROP
    iptables -A INPUT -p tcp -i eth0 --dport 7100 -j DROP

    #Regra para limitar pacotes syn (evita flooding) (YES)
    iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

    #Regra para bloquear socks tunneling (YES)
    iptables -t filter -A FORWARD -s 64.83.28.77 -j DROP
    iptables -t filter -A FORWARD -d 64.83.28.77 -j DROP
    iptables -t filter -A FORWARD -d 200.221.7.2 -j DROP
    iptables -t filter -A FORWARD -d 63.219.179.196 -j DROP

    #Regra para proteger contra syn-floods (YES)
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

    #Regra para proteger contra port scanners
    iptables -N SCANNER
    iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner:"
    iptables -A SCANNER -j DROP
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL NONE -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL ALL -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth0 -j SCANNER

    #Regra para proteger contra ping da morte
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    #Regra para proteger contra pacotes danificados ou suspeitos (ataque DOS)
    iptables -A FORWARD -m unclean -j DROP

    #Regra para bloquear NFS
    iptables -A INPUT -p tcp -i eth1 --syn --dport 111 -j DROP

    #Regra para proteger contra Trojans
    iptables -N TROJAN
    iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL:trojan:"
    iptables -A TROJAN -j DROP
    iptables -A INPUT -p TCP -i eth0 --dport 666 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 4000 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 6000 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 6006 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 16660 -j TROJAN

    #Regra para proteger contra worms
    iptables -A FORWARD -p tcp --dport 135 -i eth1 -j REJECT
    iptables -A FORWARD -p tcp --dport 1025 -i eth1 -j REJECT
    iptables -A FORWARD -p udp --dport 1025 -i eth1 -j REJECT

    #Regra para fazer OUTLOOK funcionar (OK)
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT

    #REGRA PARA BLOQUEAR(POR MAC)DETERMINADA MAQUINA DE ACESSAR INTERNET (OK)
    iptables -t nat -A PREROUTING -m mac --mac-source 00:07:95:CD:AA:58 -j DROP

    #Regra para fazer REDIRECIONAMENTO para a porta 8080 (PROXY)(OK)
    iptables -t nat -A PREROUTING -i eth0 -s 10.1.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
    iptables -t nat -A PREROUTING -s localhost -p tcp --dport 80 -j REDIRECT --to-port 8080

  7. #7
    muganga
    Visitante

    Padrão iptables + rc.local + outlook

    guardian_metal...fiz o que vc sugeriu e mesmo assim nao funcionou...ai tirei praticamente todas as regras do firewall....e ficou assim...

    route add default gw 172.16.2.1

    #REGRA PARA LIMPEZA DAS REGRAS (FLUSH)
    iptables -F
    iptables -Z
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t nat -Z

    #Ativa Mprobe iptables_nat
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp

    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

    #Regras para bloquear entradas netbios e outras portas (OK)
    iptables -t filter -A INPUT -p udp --dport 137 -j DROP
    iptables -t filter -A INPUT -p udp --sport 138 -j DROP
    iptables -t filter -A INPUT -p udp --dport 138 -j DROP
    iptables -t filter -A INPUT -p udp --sport 139 -j DROP
    iptables -t filter -A INPUT -p udp --dport 139 -j DROP
    iptables -t filter -A INPUT -p udp --sport 445 -j DROP
    iptables -t filter -A INPUT -p udp --dport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --sport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --dport 445 -j DROP
    iptables -t filter -A INPUT -p tcp --sport 1025 -j DROP
    iptables -t filter -A INPUT -p tcp --dport 1025 -j DROP
    iptables -t filter -A INPUT -p udp --sport 1025 -j DROP
    iptables -t filter -A INPUT -p udp --dport 1025 -j DROP

    #Regras para bloquear saida netbios e outras portas (OK)
    iptables -t filter -A OUTPUT -p udp --dport 137 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 138 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 138 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 139 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 139 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 445 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --sport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --dport 445 -j DROP
    iptables -t filter -A OUTPUT -p tcp --sport 1025 -j DROP
    iptables -t filter -A OUTPUT -p tcp --dport 1025 -j DROP
    iptables -t filter -A OUTPUT -p udp --sport 1025 -j DROP
    iptables -t filter -A OUTPUT -p udp --dport 1025 -j DROP

    #Regra para proteger contra port scanners
    iptables -N SCANNER
    iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner:"
    iptables -A SCANNER -j DROP
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL NONE -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL ALL -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth0 -j SCANNER
    iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth0 -j SCANNER

    #Regra para proteger contra Trojans
    iptables -N TROJAN
    iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL:trojan:"
    iptables -A TROJAN -j DROP
    iptables -A INPUT -p TCP -i eth0 --dport 666 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 4000 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 6000 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 6006 -j TROJAN
    iptables -A INPUT -p TCP -i eth0 --dport 16660 -j TROJAN

    #Regra para fazer OUTLOOK funcionar (OK)
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -s 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -d 10.1.1.0/24 -p tcp --dport 25 -j ACCEPT

    #Regra para fazer REDIRECIONAMENTO para a porta 8080 (PROXY)(OK)
    iptables -t nat -A PREROUTING -i eth0 -s 10.1.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
    iptables -t nat -A PREROUTING -s localhost -p tcp --dport 80 -j REDIRECT --to-port 8080

    Agora o OUTLOOK nao esta funcionando

    Abraços

  8. #8

    Padrão problemas com rc.local

    Coloca no inicio do seu fire essas regras padrao caso nenhum pacote ache uma regra para o iptables.:



    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP

  9. #9
    muganga
    Visitante

    Padrão iptables

    oyama...coloquei as regras que vc me disse e quando dei um ./rc.local perdi minha conexao ssh e tb conexao com internet...e o OUTLOOK continua sem funfar

    Abracos

  10. #10
    guardian_metal
    Visitante

    Padrão problemas com rc.local

    O oyama te passou regras de bloqueio em todas as portas para INPUT e FORWARD. Se você quiser acesso ao ssh, troque o DROP pelo ACCEPT no que o oyama passou. Se quiser deixar como está e acessar o ssh, adicione:

    # Para somente sua máquina acessar via ssh
    iptables -A INPUT -s 10.1.1.50/32 -p tcp --dport 22 -j ACCEPT

    ou

    # Para somente sua rede interna acessar via ssh
    iptables -A INPUT -s 10.1.1.0/24 -p tcp --dport 22 -j ACCEPT

    ou

    # Para todos de qq lugar acessar via ssh
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

  11. #11
    muganga
    Visitante

    Padrão outlook novamente

    pessoal....é o seguinte....meu OUTLOOK nao quer funcionar de jeito nenhum...

    minha saida de iptables -L

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination
    ACCEPT tcp -- 10.1.1.0/24 anywhere tcp dptop3
    ACCEPT tcp -- 10.1.1.0/24 anywhere tcp dpt:smtp
    ACCEPT tcp -- anywhere 10.1.1.0/24 tcp dptop3
    ACCEPT tcp -- anywhere 10.1.1.0/24 tcp dpt:smtp


    mesmo assim nao quer funcionar


    Abraços

  12. #12
    guardian_metal
    Visitante

    Padrão problemas com rc.local

    Nas suas estações, vc ta setando o proxy no ie? que dns esta colocando nas suas máquinas? e qual o gateway?

  13. #13
    muganga
    Visitante

    Padrão outlook + iptables

    guardian_metal....as estacoes usam proxy e todas estao navegando normalmente....o problema é so com o outlook...ele nao quer funcionar...

    Abraços

  14. #14
    guardian_metal
    Visitante

    Padrão problemas com rc.local

    Tenta isso aqui:

    iptables -t mangle -A OUTPUT -p tcp --dport 25 -j TOS --set-to Minimize-Delay
    iptables -t mangle -A INPUT -p tcp --dport 25 -j TOS --set-to Minimize-Delay
    iptables -t mangle -A OUTPUT -p tcp --dport 110 -j TOS --set-to Minimize-Delay
    iptables -t mangle -A INPUT -p tcp --dport 110 -j TOS --set-to Minimize-Delay
    iptables -t mangle -A FORWARD -p tcp -s 10.1.1.0/24 --dport 25 -j TOS --set-to Minimize-Delay
    iptables -t mangle -A FORWARD -p tcp -s 10.1.1.0/24 --dport 110 -j TOS --set-to Minimize-Delay
    iptables -t mangle -A FORWARD -p tcp --sport 25 -j TOS --set-to Minimize-Delay
    iptables -t mangle -A FORWARD -p tcp --sport 110 -j TOS --set-to Minimize-Delay

  15. #15

    Padrão Re: iptables

    Citação Postado originalmente por muganga
    oyama...coloquei as regras que vc me disse e quando dei um ./rc.local perdi minha conexao ssh e tb conexao com internet...e o OUTLOOK continua sem funfar

    Abracos
    Entao tua rede esta com as portas abertas, existe duas forma basica de configurar um fire, uma e abrir tudo e fechar o que vc nao vai usar e outra e fechar tudo e abrir o que vc vai usar. pegue um fire na net que atenda +- o que vc quer e var ajustando para a sua nescessidade eu fiz assim. e depois fui estudando e melhorando as regras. caso nao ache um exemplo mim passe um email falando sobre a sua nescessidade que mando um dos varios scripts que baixei da net que atenda sua nescessidade. veja um exemplo onde a eth0 e a net e eth1 sua rede local.


    #!/bin/bash

    echo
    echo "=========================================="
    echo "| :: SETTING IPTABLES'S CONFIGURATION :: |"
    echo "=========================================="

    ### Passo 1: Limpando as regras ###
    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD
    echo "Cleaning all rules .................[ OK ]"

    # Definindo a Politica Default das Cadeias

    ##fecha todas as entradas
    iptables -P INPUT DROP
    ##fecha todos os pacotes que passam pelo fire
    iptables -P FORWARD DROP
    ##deixa aberto os pacotes que sai do fire
    iptables -P OUTPUT ACCEPT
    echo "Setting default rules ..............[ OK ]"

    ### Passo 2: Desabilitar o trafego IP entre as placas de rede ###
    echo "0" > /proc/sys/net/ipv4/ip_forward
    echo "Setting ip_forward: OFF ............[ OK ]"

    # Configurando a Protecao anti-spoofing
    for spoofing in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo "1" > $spoofing
    done
    echo "Setting anti-spoofing protection ...[ OK ]"

    # Impedimos que um atacante possa maliciosamente alterar alguma rota
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
    echo "Setting anti-redirects .............[ OK ]"

    # Utilizado em diversos ataques, isso possibilita que o atacante determine o "caminho" que seu
    # pacote vai percorrer (roteadores) ate seu destino. Junto com spoof, isso se torna muito perigoso.
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
    echo "Setting anti-source_route ..........[ OK ]"

    # Protecao contra responses bogus
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    echo "Setting anti-bugus_response ........[ OK ]"

    # Protecao contra ataques de syn flood (inicio da conexao TCP). Tenta conter ataques de DoS.
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    echo "Setting anti-synflood protection ...[ OK ]"

    ### Passo 3: Carregando os modulos do iptables ###
    modprobe ip_tables
    modprobe iptable_filter
    modprobe iptable_mangle
    modprobe iptable_nat
    modprobe ipt_MASQUERADE
    echo "Loading iptables's modules .........[ OK ]"

    ### Passo 4: Agora, vamos definir o que pode passar e o que nao ###
    ####################
    # Cadeia de Entrada

    # LOCALHOST - ACEITA TODOS OS PACOTES
    iptables -A INPUT -i lo -j ACCEPT

    # PORTA 80 - ACEITA PARA A REDE LOCAL
    iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT

    # PORTA 22 - ACEITA PARA A REDE LOCAL
    iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT

    # No iptables, temos de dizer quais sockets sao validos em uma conexao
    iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
    echo "Setting rules for INPUT ............[ OK ]"

    ################################
    # Cadeia de Reenvio (FORWARD).

    # Primeiro, ativar o mascaramento (nat).
    iptables -t nat -F POSTROUTING
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo "Activating IP Mask .................[ OK ]"

    # Agora dizemos quem e o que podem acessar externamente
    # No iptables, o controle do acesso a rede externa e feito na cadeia "FORWARD"

    # COMPUTADOR DO CHEFE - ACEITA TODOS OS PACOTES
    iptables -A FORWARD -s 192.168.3.50 -j ACCEPT

    # PORTA 3128 - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 3128 -j ACCEPT

    # Redireciona porta 80 para 3128 (squid)
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    # PORTA 53 - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT

    # PORTA 110 - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT

    # PORTA 25 - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT

    # PORTA 443 - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT

    # PORTA 21 - ACEITA PARA A REDE LOCAL
    iptables -A FORWARD -i eth1 -p tcp --dport 21 -j ACCEPT

    # No iptables, temos de dizer quais sockets sao validos em uma conexao
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
    echo "Setting rules for FORWARD ..........[ OK ]"

    # Finalmente: Habilitando o trafego IP, entre as Interfaces de rede
    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "Setting ip_forward: ON .............[ OK ]"
    echo "Finished!! Firewall: OK! ...........[ OK ]"
    echo "=========================================="
    echo

  16. #16
    muganga
    Visitante

    Padrão ./rc.local

    coloquei as regras e nada....
    ta muuito trevas....ontem estava funcionando com essas regras

    Abraços