+ Responder ao Tópico



  1. #1

    Padrão firewall enzicado

    Olá pessoal tenho um firewall aqui com controle de mac, está funcionando legal mas ele está bloqueando tudo, eu queria liberar algumas portas para o emule por exemplo mas não libera de jeito nenhum já tentei de tudo, vou colocar ele aqui pra vc me darem uma ajuda pra ver o que pode estar errado, a oprta do emule por exemplo eu libero mas sempre dá o mesmo erro na pagina de testes do emule:

    Vai aí quem puder ajudar:


    IPT=/usr/sbin/iptables
    #PROGRAMA=/bin/firewall
    NET_IFACE=eth0
    LAN_IFACE=eth1
    MACLIST=/etc/maclist
    #echo 1 > /proc/sys/net/ipv4/ip_forward
    case $1 in
    start)
    $IPT -F
    $IPT -t nat -F
    #$IPT -t filter -P FORWARD DROP
    $IPT -A INPUT -p tcp --syn --dport 22 -j ACCEPT
    $IPT -A INPUT -p tcp --syn --dport 25 -j ACCEPT
    $IPT -A INPUT -p tcp --syn --dport 53 -j ACCEPT
    $IPT -A INPUT -p tcp --syn --dport 80 -j ACCEPT
    $IPT -A INPUT -p tcp --syn --dport 21000 -j ACCEPT
    $IPT -A INPUT -p tcp --syn --dport 4662 -j ACCEPT > não funcionou
    $IPT -A INPUT -p tcp --syn --dport 4672 -j ACCEPT > não funcionou
    $IPT -A INPUT -p tcp --syn -j LOG
    $IPT -A INPUT -p tcp --syn -j DROP
    $IPT -A FORWARD -d 0/0 -s 10.10.11.0/24 -j ACCEPT
    $IPT -A INPUT -s 10.10.11.0/24 -d 0/0 -j ACCEPT
    $IPT -A OUTPUT -s 10.10.11.0/24 -d 0/0 -j ACCEPT
    $IPT -t nat -A POSTROUTING -s 10.10.11.0/24 -o $NET_IFACE -j MASQUERADE
    for i in `cat $MACLIST`; do
    STATUS=`echo $i | cut -d ';' -f 1`
    IPSOURCE=`echo $i | cut -d ';' -f 2`
    MACSOURCE=`echo $i | cut -d ';' -f 3`
    #Se status = a então eu libera a conexao
    if [ $STATUS = "a" ]; then
    $IPT -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
    $IPT -t filter -A FORWARD -d 0/0 -s $IPSOURCE -j ACCEPT
    $IPT -t filter -A FORWARD -d $IPSOURCE -s 0/0 -j ACCEPT
    $IPT -t nat -A POSTROUTING -s $IPSOURCE -o $NET_IFACE -j MASQUERADE
    $IPT -t filter -A INPUT -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
    $IPT -t filter -A INPUT -s $IPSOURCE -d 0/0 -j ACCEPT
    $IPT -t filter -A OUTPUT -s $IPSOURCE -d 0/0 -j ACCEPT

    # Se for = b então bloqueia o MAC
    else
    $IPT -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP
    $IPT -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP
    $IPT -t filter -A OUTPUT -m mac --mac-source $MACSOURCE -j DROP
    fi
    done
    $IPT -t nat -A POSTROUTING -s 172.1.1.0/255.255.255.0 -j MASQUERADE
    $IPT -t filter -A FORWARD -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
    $IPT -t filter -A FORWARD -d 172.1.1.0/255.255.255.0 -s 0/0 -j ACCEPT
    $IPT -t filter -A INPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
    $IPT -t filter -A OUTPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
    echo "FIREWALL ATIVADO SISTEMA PREPARADO"
    ;;
    stop)
    $IPT -F
    $IPT -Z
    $IPT -t nat -F
    $IPT -t filter -P FORWARD ACCEPT
    $IPT -t nat -A POSTROUTING -o $NET_IFACE -j MASQUERADE
    $IPT -A INPUT -p tcp --syn --dport 22 -j ACCEPT
    $IPT -A INPUT -p tcp --syn --dport 25 -j ACCEPT
    $IPT -A INPUT -p tcp --syn --dport 53 -j ACCEPT
    $IPT -A INPUT -p tcp --syn --dport 21000 -j ACCEPT
    $IPT -A INPUT -p tcp --syn --dport 3389 -j ACCEPT
    $IPT -A INPUT -p tcp --syn -j LOG
    $IPT -A INPUT -p tcp --syn -j DROP
    echo "FIREWALL DESCARREGADO SISTEMA LIBERADO"
    ;;
    esac

  2. #2

    Padrão firewall enzicado

    d uma olhada nessa dica:
    https://under-linux.org/noticia5290.html

    veja como funcionam as regras elementares...

    nao comece usando firewalls prontos... crie o seu... mesmo q seja simples...

    implemente regra por regra... dae, quando sua rede bloquear o q vc precsia usar, vc sabe q aquela regra nao se encaixa nas suas necessidades

    []'s

  3. #3

    Padrão firewall enzicado

    eu queria descobrir o que está errado com esse, tem algumas coisas nele que eu não entendi, pq não fui eu quem fiz, e eu queria umas idéias, por exemplo, eu tenho um ip válido na eth0 meus clientes estão na eth1 com uma faixa inválida 10.10.10.x e eth2 com outra faixa inválida 20.20.20.x e tem ainda os clientes que tem ip válidos que entram pela mesma eth0 só que aí é que está o problema, eles entram e o gw tá mascarando os ips válidos também aí eles saem com o ip do meu gateway e eu não entendi nada nessa parte principalmente:
    $IPT -A FORWARD -d 0/0 -s 10.10.11.0/24 -j ACCEPT
    $IPT -A INPUT -s 10.10.11.0/24 -d 0/0 -j ACCEPT
    $IPT -A OUTPUT -s 10.10.11.0/24 -d 0/0 -j ACCEPT
    $IPT -t nat -A POSTROUTING -s 10.10.11.0/24 -o $NET_IFACE -j MASQUERADE

    Outra coisa não consigo direcionar a porta do emule por exemplo para os meus clientes e esse firewall já ta rodando eu vou ter que mexer nele mesmo.

  4. #4

    Padrão firewall enzicado

    Citação Postado originalmente por jrctec
    eu queria descobrir o que está errado com esse, tem algumas coisas nele que eu não entendi, pq não fui eu quem fiz, e eu queria umas idéias, por exemplo, eu tenho um ip válido na eth0 meus clientes estão na eth1 com uma faixa inválida 10.10.10.x e eth2 com outra faixa inválida 20.20.20.x e tem ainda os clientes que tem ip válidos que entram pela mesma eth0 só que aí é que está o problema, eles entram e o gw tá mascarando os ips válidos também aí eles saem com o ip do meu gateway e eu não entendi nada nessa parte principalmente:
    $IPT -A FORWARD -d 0/0 -s 10.10.11.0/24 -j ACCEPT
    $IPT -A INPUT -s 10.10.11.0/24 -d 0/0 -j ACCEPT
    $IPT -A OUTPUT -s 10.10.11.0/24 -d 0/0 -j ACCEPT
    $IPT -t nat -A POSTROUTING -s 10.10.11.0/24 -o $NET_IFACE -j MASQUERADE

    Outra coisa não consigo direcionar a porta do emule por exemplo para os meus clientes e esse firewall já ta rodando eu vou ter que mexer nele mesmo.
    alguém pode me ajudar gente?

  5. #5

    Padrão firewall enzicado

    tente fazer o q eu disse antes...

    leia sobre iptables... e aprenda como funciona...

    depois va incluindo regra por regra da sua script no bash... e veja como o sistema se comporta...

    nao tem melhor maneira d aprender q esta...

    []'s

  6. #6

    Padrão firewall enzicado

    Citação Postado originalmente por demiurgo
    tente fazer o q eu disse antes...

    leia sobre iptables... e aprenda como funciona...

    depois va incluindo regra por regra da sua script no bash... e veja como o sistema se comporta...

    nao tem melhor maneira d aprender q esta...

    []'s
    vc leu minha mensagem privada que eu mandei pra vc?
    eu li e realmente estou pedindo ajuda de algumas coisas que eu não entendi nesse firewall e ele está rodando, eu queria entender como esse está funcionando e pq tá tendo esses problemas que eu mencionei acima.

  7. #7
    wrochal
    Visitante

    Padrão firewall enzicado

    Caro,

    Teste sem a sintaxe: --syn

    Falou,

  8. #8

    Padrão firewall enzicado

    também não deu certo :toim: :toim: :toim: :toim:
    O teste de portas no emule sempre dá falha, eu fiz um teste com ele sem passar pelo firewall e ele passa normalmente.

  9. #9
    felco
    Visitante

    Padrão firewall enzicado

    Citação Postado originalmente por demiurgo
    tente fazer o q eu disse antes...

    leia sobre iptables... e aprenda como funciona...

    depois va incluindo regra por regra da sua script no bash... e veja como o sistema se comporta...

    nao tem melhor maneira d aprender q esta...

    []'s
    Concordo, alias eu to evitando responde sobre iptables.