+ Responder ao Tópico



  1. #1

    Padrão Roteamento com IPTABLES - Não Pinga das estações

    Olá pessoal.

    Tenho um servidor RedHat9, com o firewall e roteamento do iptables.
    Neste servidor tenho duas placas de rede:
    eth_net=200.200.200.200 (eth1)
    eth_local=192.168.0.1 (eth0)

    Seguinte:
    da rede local eu pingo o servidor
    do servidor eu pingo a rede local
    do servidor eu pingo a internet
    da rede local eu NÃO PINGO a internet

    Já revisei as regras do IPTABLES. Estas mesmas regras estao funcionando em outro servidor (identico). Talvez esqueci de instalar algo.
    Vejam o script:
    ########################################################################
    ### Script de Firewall Utilizando IPTABLES ###
    ### Data: 02/09/2004 ###
    ########################################################################

    ### Variaveis ###
    ipt=/sbin/iptables
    modl=/sbin/modprobe
    eth_local=eth0
    eth_net=eth1
    rede_local=192.168.0.0.0/24
    rede_lan=192.168.0.
    ip_saida=200.200.200.200

    ### Carregando os Modulos ###
    $modl iptable_nat
    $modl ip_tables
    $modl ip_nat_ftp
    $modl ip_conntrack
    $modl ip_conntrack_ftp
    $modl iptable_filter
    $modl ipt_MASQUERADE

    ### Limpa Regras ### (-F = Flush)
    $ipt -F
    $ipt -t nat -F
    $ipt -F INPUT
    $ipt -F FORWARD
    $ipt -F OUTPUT

    ### Determina a politica padrao ### (-P)
    $ipt -P INPUT DROP
    $ipt -P OUTPUT DROP
    $ipt -P FORWARD DROP

    ### Habilitando Roteamento IP ###
    echo 1 > /proc/sys/net/ipv4/ip_forward

    ### Iniciando o Regras de Filtragem ###
    $ipt -t filter -P INPUT ACCEPT
    $ipt -t filter -P FORWARD ACCEPT
    $ipt -t filter -P OUTPUT ACCEPT

    ### Regras NAT ###
    $ipt -t nat -P POSTROUTING ACCEPT
    $ipt -t nat -P PREROUTING ACCEPT
    $ipt -t nat -P OUTPUT ACCEPT

    ### Habilitando a Protecao conta diversos ataques ###
    for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 > $i
    done
    $ipt -A INPUT -m limit --limit 3/minute --limit-burst 1 -j LOG \
    --log-level DEBUG --log-prefix "FIREWALL: Tempo Esg: "
    $ipt -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    $ipt -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    ### Regras do Firewall ###
    $ipt -A INPUT -i lo -j ACCEPT
    $ipt -A INPUT -i $eth_local -j ACCEPT
    $ipt -A INPUT -i ALL -p icmp -m limit --limit 1/s -j ACCEPT
    $ipt -A INPUT -i ALL -p tcp --dport 22 -j ACCEPT
    $ipt -A INPUT -i ALL -p tcp --dport 53 -j ACCEPT
    $ipt -A INPUT -i ALL -p udp --dport 53 -j ACCEPT
    $ipt -A INPUT -i ALL -p tcp --dport 25 -j ACCEPT
    $ipt -A INPUT -i ALL -p tcp --dport 110 -j ACCEPT
    $ipt -A INPUT -i ALL -p tcp --dport 80 -j ACCEPT
    $ipt -A INPUT -i ALL -p tcp --dport 443 -j ACCEPT
    $ipt -A INPUT -i $eth_net -p tcp --dport 137 -j DROP
    $ipt -A INPUT -i $eth_net -p tcp --dport 138 -j DROP
    $ipt -A INPUT -i $eth_net -p tcp --dport 139 -j DROP

    ### Barrando P2P ###
    #$ipt -A FORWARD -d 216.35.208.0/24 -j REJECT
    #$ipt -A FORWARD -d 213.248.112.0/24 -j REJECT
    #$ipt -A FORWARD -p tcp --dport 1214 -j REJECT
    #$ipt -A FORWARD -p tcp --dport 4661:4662 -j REJECT
    #$ipt -A FORWARD -p udp --dport 4665 -j REJECT

    ### Barrando MSN Messenger ###
    #for x in `seq 2 254`; do
    #$ipt -A FORWARD -s 0/0 -d 0/0 -p tcp --dport 1863 -j DROP
    #$ipt -A OUTPUT -s $rede_local -p tcp --dport 1863 -j DROP
    #$ipt -A OUTPUT -s $ip_saida -p tcp -d messenger.hotmail.com -j DROP

    ### Proxy Transparente Squid ####
    #for j in `seq 2 254`; do
    $ipt -t nat -A PREROUTING -i $eth_local -s $rede_local -p tcp --dport 80 -j REDIRECT --to-port 8080

    ### Reiniciando Regras Iptables ###
    service iptables restart

    ########################################################################
    ### Fim do Arquivo ###
    ########################################################################

  2. #2
    garupeiro
    Visitante

    Padrão Roteamento com IPTABLES - Não Pinga das estações

    da uma olhada no resolv.conf das maquinas pra ve como esta configurado!!!

  3. #3

    Padrão Roteamento com IPTABLES - Não Pinga das estações

    A variável rede_local está certa no script.
    Eu escrevi errado aqui no site somente:

    rede_local=192.168.0.0.0/24[/b]

  4. #4
    Visitante

    Padrão Roteamento com IPTABLES - Não Pinga das estações

    garupeiro Enviada: Qui 21 Out, 2004 17:30:43 Assunto:

    --------------------------------------------------------------------------------

    da uma olhada no resolv.conf das maquinas pra ve como esta configurado


    ===================


    Os pcs clientes são windows.

  5. #5
    mcyberx
    Visitante

    Padrão Re: Roteamento com IPTABLES - Não Pinga das estações

    lembrou de habilitar a passagem de pacotes?

    echo 1 > /proc/sys/net/ipv4/ip_forward

    nas estações windows precisa:

    ip, máscara, DNS, GATEWAY

  6. #6
    mcyberx
    Visitante

    Padrão Re: Roteamento com IPTABLES - Não Pinga das estações

    desculpe acabei de ver a regra que indiquei.

    falta:

    iptables -t nat - A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE

    sendo que a eth0 é a 200.x.x.x

  7. #7

    Padrão Roteamento com IPTABLES - Não Pinga das estações

    Caro colega.

    Esta regra já está na secao Habilitando NAT.
    Será que o problema não é a tabela de roteamento? Eu desconheço como configurá-la.

  8. #8

    Padrão Roteamento com IPTABLES - Não Pinga das estações

    Eu digo porque este mesmo script está em outro servidor e está funcionando perfeitamente.

  9. #9

    Padrão Roteamento com IPTABLES - Não Pinga das estações

    Bota o resultado do seguinte comando aqui pra gente:

    Código :
    # route -n

  10. #10
    amaury
    Visitante

    Padrão firewall

    comenta a linha do ping da morte (echo request) que vai pingar tb lá fora ...