+ Responder ao Tópico



  1. #11
    Alexandre_Catanduva
    Fala Sergio, blz ?
    Seguinte, alterei o masquerade como você sugeriu e não funcionou. Do jeito que você falou nem do próprio firewall não consegui pingar pra fora (ping www.uol.com.br).
    Sobre o comentário no synflood e ping da morte eu dei bobeira, ainda bem que você viu ... Já acertei.

    Quando coloco esse script pra rodar olha o que grava no meu log:

    Feb 17 13:32:19 tubarao kernel: FIREWALL: FORWARD IN=eth2 OUT=eth0 SRC=192.168.1.51 DST=200.204.0.138 LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=25500 PROTO=UDP SPT=1048 DPT=53 LEN=36
    Feb 17 13:32:19 tubarao kernel: FIREWALL: FORWARD IN=eth2 OUT=eth0 SRC=192.168.1.50 DST=64.12.161.153 LEN=1052 TOS=0x00 PREC=0x00 TTL=127 ID=57053 PROTO=UDP SPT=4238 DPT=5140 LEN=1032
    Feb 17 13:32:19 tubarao kernel: FIREWALL: FORWARD IN=eth2 OUT=eth0 SRC=192.168.1.50 DST=200.204.0.138 LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=57054 PROTO=UDP SPT=4221 DPT=53 LEN=36
    Feb 17 13:32:20 tubarao kernel: FIREWALL: FORWARD IN=eth2 OUT=eth0 SRC=192.168.1.51 DST=200.204.0.138 LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=25501 PROTO=UDP SPT=1048 DPT=53 LEN=36
    Feb 17 13:32:20 tubarao kernel: FIREWALL: ppp-in IN=eth0 OUT= MAC=00:0d:87:a8:52:ce:00:90:96:81:79:1d:08:00 SRC=205.188.8.188 DST=200.161.24.93 LEN=1202 TOS=0x00 PREC=0x00 TTL=105 ID=20896 DF PROTO=TCP SPT=5190 DPT=1333 WINDOW=16384 RES=0x00 ACK PSH URGP=0
    Feb 17 13:32:20 tubarao kernel: FIREWALL: FORWARD IN=eth2 OUT=eth0 SRC=192.168.1.50 DST=200.204.0.138 LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=57055 PROTO=UDP SPT=4221 DPT=53 LEN=36
    Feb 17 13:32:21 tubarao kernel: FIREWALL: FORWARD IN=eth2 OUT=eth0 SRC=192.168.1.51 DST=200.204.0.138 LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=25503 PROTO=UDP SPT=1048 DPT=53 LEN=36
    Feb 17 13:32:21 tubarao kernel: FIREWALL: FORWARD IN=eth2 OUT=eth0 SRC=192.168.1.50 DST=200.204.0.138 LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=57057 PROTO=UDP SPT=4221 DPT=53 LEN=36

    Pelo o que está gravando me parece que é a regra do chain FORWARD da tabela filter... acho que o pau tá nesse trecho:

    ##### Chain FORWARD #####
    ## Permite redirecionamento de conexoes entre as interfaces locais. ##
    ## Qualquer trafego vindo/indo para outras interfaces serah bloqueada ##
    iptables -A FORWARD -d 192.168.1.0/24 -i eth0 -o eth2 -j ACCEPT
    iptables -A FORWARD -d 192.168.1.0/24 -i eth2 -o eth0 -j ACCEPT
    iptables -A FORWARD -d 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT
    iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT

    iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
    iptables -A FORWARD -j DROP

    ------------------------- Fim do script --------------------------------------

    O que é mais estranho é que eu comentei esse trecho todo e mesmo assim não consegui acessar sites através das estações (winXP).
    Com o trecho comentado as linhas que postei do LOG não são gravadas.

  2. #12
    felco
    iptables -t nat -P POSTROUTING DROP
    Tira isso coloca ACCEPT e sobre o registro.br vc pode usar um endereco do tipo no-ip.org redirecionando pro seu IP real (do speedy) ja que no registro.br vc tera algo assim:
    DNS primario:
    ns1.dominio.com.br
    IP: 200.x.y.z

    DNS secundario:
    ns2dominio.no-ip.org
    IP: desnecessario

    O no-ip.org ja tem um DNS respondendo por ele logo vc nao precisa especificar o IP, eh como o IP do dominio no-ip.org eh diferente nao vai dar conflito... boa sorte!
    Isso funcionava antes eu usei por muito tempo assim, nao sei se agora ainda funciona mas se nao funcionar, existem dezenas de DNS server pub pra vc colocar o registro do seu dominio de graca.



  3. #13
    Alexandre_Catanduva
    E ai felco ?
    Testei a mudança que você sugeriu e ainda assim não estou conseguindo acessar das estações.

    Das estações consigo pingar todas as maquinas da rede inclusive o firewall pelo IP fixo 200.x.x.x
    Mas quando tento acessar algum site ou pingar algum site não tenho resposta.

    Minha configuração de rede das estações está assim:
    IP : 192.168.1.x
    Mask: 255.255.255.0
    Gw : 192.168.1.254 (ip que está configurado na eth2 do firewall)

    DNS: 200.204.0.138 (dns do terra)

    Será que alterei no lugar certo ??
    Eu alterei a linha:
    ##### Definicao de politicas #####
    ## Tabela nat
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P OUTPUT ACCEPT
    iptables -t nat -P POSTROUTING DROP

    É isso mesmo ??se for, infelizmente não deu certo!
    Do firewall eu consigo pingar sites externos (Ex: ping www.uol.com.br) mas quando tento o mesmo das estações não funciona.

  4. na verdade vc tem dois pontos de DROP que estao vindo antes das regras de ACCEPT e isso nao funciona... ve ae:

    ##### Definicao de politicas #####
    ## Tabela filter
    iptables -t filter -P INPUT DROP
    iptables -t filter -P OUTPUT ACCEPT
    iptables -t filter -P FORWARD DROP

    ## Tabela nat
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P OUTPUT ACCEPT
    iptables -t nat -P POSTROUTING DROP

    muda o DROP para ACCEPT, principalmente da tabela filter e ve se rola...



  5. #15
    felco
    Esse forward eu nao tinha visto mas deve mudar tambem






Tópicos Similares

  1. Respostas: 4
    Último Post: 13-11-2015, 03:12
  2. puts, to ficando careca com o dansguardin, uma ajudinha por favor....
    Por fisiconuclear18 no fórum Servidores de Rede
    Respostas: 0
    Último Post: 28-03-2006, 15:31
  3. Uma ajudinha, por favor...
    Por agent_smith no fórum Assuntos não relacionados
    Respostas: 5
    Último Post: 26-01-2006, 15:39
  4. Cbq com problemas, por favor uma ajuda....
    Por fisiconuclear18 no fórum Servidores de Rede
    Respostas: 2
    Último Post: 05-01-2006, 18:28
  5. ME DEÊM UMA SOLUÇÃO !!! POR FAVOR !!!
    Por raphaelcm no fórum Servidores de Rede
    Respostas: 7
    Último Post: 16-03-2004, 17:55

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L