Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #21
    Alexandre_Catanduva
    Visitante

    Padrão Por favor, uma ajudinha a iniciante !

    Beleza Sérgio, vou tentar o que você sugeriu, se der certo eu aviso.
    Se não der um continuo enchendo o saco de vocês, blz ??

  2. #22
    Alexandre_Catanduva
    Visitante

    Padrão Por favor, uma ajudinha a iniciante !

    Sérgio, blz ?
    Seguinte, segui suas intruções de testar regra a regra e achei onde está travando. Abaixo segue o trecho em que as estações param de navegar:

    --------------------------- Inicio regras -----------------------------------------
    ##### Chain FORWARD #####
    ## Permite redirecionamento de conexoes entre as interfaces locais. ##
    ## Qualquer trafego vindo/indo para outras interfaces serah bloqueada ##
    iptables -A FORWARD -d 192.168.1.0/24 -i eth0 -o eth2 -j ACCEPT
    iptables -A FORWARD -d 192.168.1.0/24 -i eth2 -o eth0 -j ACCEPT
    iptables -A FORWARD -d 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT
    iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT

    iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
    iptables -A FORWARD -j DROP
    ----------------------------- Fim regras ------------------------------------------

    O comando em negrito é que está travando a navegação nas estações.
    Ele é necessário ou posso excluir ele das minhas regras ?? Se eu exclui-lo pode dar algum problema futuramente ?? Qual seria ?

    O que você sugere que eu faça ?

    Para deixar o firewall funcionando eu comentei essa linha...



  3. #23

    Padrão Por favor, uma ajudinha a iniciante !

    tenta essa

    iptables -A INPUT -i ppp0 -s ip-do-resolv.conf -p udp -j ACCEPT


    como aqui eh velox, eu coloquei o -i e o ppp0,

    e o -s vc coloca o ip do que ta no arquivo que eh /etc/resolv.conf que o ip do dns de fora

    espero ter ajudado!!

  4. #24

    Padrão Politicas

    Você não precisa da regra iptables -A FORWARD -j DROP já que definiu no começo do firewall a Politica do FORWARD para DROP ( iptables -P FORWARD -j DROP ), seguinte eu não vi declarado as chains syn-chain e ping-chain, eu particularmente não crio novas chains , as que tem já são suficiente, outro coisa suas regras de PREROUTING com ação de SNAT não são necessárias já que vc está com a regra iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE, que por sinal não precisa por -s 192.168.0.0/24 se for pra colocar coloque -s 192.168.0.0/16 por causa das duas redes, outra -i 200.x.x.x não está correto, deveria ser -d 200.x.x.x, tire também das regras de FORWARD os -i e -o, depois que estiver funcionando ai você testa, definir interface de entrada e saida é bom depois que vc logo todo trafego e ve por onde sai e entra e por fim vou dar uma olhada melhor
    OBS: tente usar o /etc/sysctl.conf para definir as opções de ip_forward e rp_filter é mais fácil.
    Um abraço.
    josiel



  5. #25
    Alexandre_Catanduva
    Visitante

    Padrão Por favor, uma ajudinha a iniciante !

    Valeu ai pra todo mundo que de alguma maneira contribuiu para sanar as minhas dúvidas (Sergio, felco, Brenno, josiel, etc), brigadão galera!!

    O firewall está aparentemente funcionando.. agora preciso testar o direcionamento das portas 80 e 53 pro meu server http/dns...

    Vamos ver.. hehehehe.. se eu enroscar eu continuo enchendo o saco de vocês blz ?

  6. #26
    Alexandre_Catanduva
    Visitante

    Padrão Por favor, uma ajudinha a iniciante !

    Pessoal, é o seguinte, acho que as regras que criei para direcionar requisições 80/53 para outra maquina não está funcionando corretamente.

    No log não diz nada relevante para que possamos dizer que é aqui ou ali que está dando problema.

    A regra está assim:
    -------------------------------- Inicio da regra ----------------------------------
    ## Direciona conexoes para WebServer e DNS (portas 80/53) ##
    iptables -t nat -A PREROUTING -i 200.x.x.x -p tcp --dport 80 -j DNAT --to 192.168.1.1:80
    iptables -t nat -A PREROUTING -i 200.x.x.x -p udp --dport 53 -j DNAT --to 192.168.1.1:53

    iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.0/24 --sport 80 -j SNAT --to 200.x.x.x
    iptables -t nat -A POSTROUTING -p udp -s 192.168.1.0/24 --sport 53 -j SNAT --to 200.x.x.x
    ---------------------------------- Fim da regra ----------------------------------

    Vejam se estou certo, nas duas primeiras regras usando a opção ( -i ) eu não deveria estar usando eth0 ao invés do IP ?? Ou nesse caso seria melhor usar ( -s ) como foi feito nas duas regras seguintes ??

    Por favor, quem puder analisar e me dar uma força eu agradeço !!

    PS: Se não for muita folga.. hehehe.. se der pra explicar o funcionamento da regra agradeço.



  7. #27
    Alexandre_Catanduva
    Visitante

    Padrão Por favor, uma ajudinha a iniciante !

    Pessoal, mudei minha regra para :
    ----------------------------- Inicio da regra --------------------------------------
    iptables -t nat -A PREROUTING -p tcp -d 200.x.x.x --dport 80 -j DNAT --to 192.168.1.1:80
    iptables -t nat -A PREROUTING -p udp -d 200.x.x.x --dport 53 -j DNAT --to 192.168.1.1:53

    iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.1 --sport 80 -j SNAT --to 200.x.x.x
    iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.1 --sport 53 -j SNAT --to 200.x.x.x
    ------------------------------- Fim da regra --------------------------------------

    Mas mesmo assim digitando no meu browser nas estações o numero do meu IP da internet da "A página não pode ser exibida".
    E também quando tento configurar os meus dominios na fapesp da tempo esgotado.

    E agora hein ?? QQ eu faço ??

  8. #28
    Alexandre_Catanduva
    Visitante

    Padrão Por favor, uma ajudinha a iniciante !

    HELP GALERA !! hehehehe

    Tem como eu saber se a requisição http e dns (80/53) passaram pelo meu firewall e chegaram até o servidor correto ??

    Tem como eu saber se ele respondeu a requisição e repassou as informações para o firewall entregar a quem solicitou ??

    Não consigo acessar digitando "http://200.x.x.x/" e quando tento configurar na fapesp da "tempo esgotado".

    Será o firewall que ta bloqueando ou o servidor web/dns que não está respodendo ?



  9. #29
    Alexandre_Catanduva
    Visitante

    Padrão Por favor, uma ajudinha a iniciante !

    Humm... Outra coisa, será que pode ser esse trecho que não está permitindo que o firewall repasse para o server web/dns e vice-versa as requisições ??

    ----------------------------- Inicio da regra --------------------------------------
    ## Bloqueia qualquer tentativa de acesso de fora para essa maquina ##
    iptables -A internet -m state --state ! ESTABLISHED,RELATED -j LOG --log-prefix "FIREWALL: ppp-in "
    iptables -A internet -m state --state ! ESTABLISHED,RELATED -j DROP
    ----------------------------- Fim da regra ----------------------------------------

    No log não tem nenhuma entrada com a informação "FIREWALL: ppp-in "