Página 1 de 5 12345 ÚltimoÚltimo
+ Responder ao Tópico



  1. Por favor, já li varios e varios tutoriais mas nao sei o que esta errado.
    Configuracao :

    Slackware 10.1
    eth0 : 192.168.254.1/24 ( ligado ao router velox 192.168.254.254 )
    eth1 : 10.0.10.254/24 ( ligado a rede interna )
    gateway do servidor : 192.168.254.254
    em resolv.conf coloquei nameserver 200.149.55.142 / 200.165.132.154
    O roteamento ip_forward esta ativado já na inicializacao ( rc.inet2 )
    fiz um script 'simples assim'para o firewall :
    iptables -P INPUT ACCEPT
    iptables -F INPUT
    iptables -P OUTPUT ACCEPT
    iptables -F OUTPUT
    iptables -P FORWARD DROP
    iptables -F FORWARD
    iptables -t nat -F
    iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
    iptables -A FORWARD -j LOG
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    No servidor consigo pingar as duas redes. As estacoes da rede interna sao windows e coloquei assim :
    IP : 10.0.10.n ( <> 254 ) mask : 255.255.255.0
    Gateway : 10.0.10.254 DNS : os mesmos do servidor , tentei tambem com 192.168.254.254

    O que ocorre : ao abrir o navegador e digitar qualquer site aparece na barra de status que o site foi encontrado e fica tentando indefinidamente abrir o site mas nao aparece nada.
    Ao pingar www.cade.com.br aparece como resposta o ip do cade mas há uma grande perda de pacotes. Alterei o script para :
    iptables -F
    iptables -t nat -F
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    e tambem assim fica igual ao descrito acima, também tentei
    iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.254.1 e também nao funciona . alguma luz ??? Por favor

  2. #2
    maverick_cba
    Amigo o problema está bem claro, você está tentando fazer um acesso mas não liberou as portas necessárias.

    Quando você digitou:
    iptables -P FORWARD DROP

    você bloqueou todo o acesso que passe pelo firewall
    daí para funcionar algo você tem que liberar primeiro.

    Experimenta trocar o código mostrado acima por:

    iptables -P FORWARD ACCEPT

    Falows



  3. ja fiz isso e tb nao funciona

  4. #4
    Th3Cr0w
    alimasilva,

    Tenta utilizar o seguinte script:

    #!/bin/bash
    #######################################
    # Configuracao das variaveis
    IPC=/usr/sbin/iptables
    # INTER (Interface para Internet) - INTRA (Interface Rede Local)
    INTER=eth0
    INTRA=eth1

    ## Habilitacao do iptables no kernel ##
    ## Substitua os 1s por 0s para desabilitar alguma opcao ##

    # source address verification
    if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
    then
    echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
    fi

    # syn cookies protection
    if [ -e /proc/sys/net/ipv4/tcp_syncookies ]
    then
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    fi

    # handle dynamic IP masquerading
    if [ -e /proc/sys/net/ipv4/ip_dynaddr ]
    then
    echo 1 > /proc/sys/net/ipv4/ip_dynaddr
    fi

    # packet forwarding
    if [ -e /proc/sys/net/ipv4/ip_forward ]
    then
    echo 1 > /proc/sys/net/ipv4/ip_forward
    fi

    # Flushing all
    $IPC -F
    $IPC -X
    $IPC -Z
    $IPC -t nat -F
    $IPC -t nat -X
    $IPC -t nat -Z


    ## Esta secao define "logging" ##
    $IPC -N LDROP
    $IPC -A LDROP -p tcp -j LOG --log-level 3 --log-prefix "DROP"
    $IPC -A LDROP -p udp -j LOG --log-level 3 --log-prefix "DROP"
    $IPC -A LDROP -p icmp -j LOG --log-level 3 --log-prefix "DROP"
    $IPC -A LDROP -f -j LOG --log-level 3 --log-prefix "DROP"
    $IPC -A LDROP -j DROP

    $IPC -N LREJECT
    $IPC -A LREJECT -p tcp -j LOG --log-level 3 --log-prefix "REJECT"
    $IPC -A LREJECT -p udp -j LOG --log-level 3 --log-prefix "REJECT"
    $IPC -A LREJECT -p icmp -j LOG --log-level 3 --log-prefix "REJECT"
    $IPC -A LREJECT -f -j LOG --log-level 3 --log-prefix "REJECT"
    $IPC -A LREJECT -j REJECT

    $IPC -N LACCEPT
    $IPC -A LACCEPT -p tcp -j LOG --log-level 3 --log-prefix "ACCEPT"
    $IPC -A LACCEPT -p udp -j LOG --log-level 3 --log-prefix "ACCEPT"
    $IPC -A LACCEPT -p icmp -j LOG --log-level 3 --log-prefix "ACCEPT"
    $IPC -A LACCEPT -f -j LOG --log-level 3 --log-prefix "ACCEPT"
    $IPC -A LACCEPT -j ACCEPT

    $IPC -N TREJECT
    $IPC -A TREJECT -p tcp -j REJECT --reject-with tcp-reset
    $IPC -A TREJECT -p ! tcp -j REJECT --reject-with icmp-port-unreachable
    $IPC -A TREJECT -j REJECT

    $IPC -N LTREJECT
    $IPC -A LTREJECT -p tcp -j REJECT --reject-with tcp-reset
    $IPC -A LTREJECT -p ! tcp -j REJECT --reject-with icmp-port-unreachable
    $IPC -A LTREJECT -p tcp -j LOG --log-level 3 --log-prefix "REJECT "
    $IPC -A LTREJECT -p udp -j LOG --log-level 3 --log-prefix "REJECT "
    $IPC -A LTREJECT -p icmp -j LOG --log-level 3 --log-prefix "REJECT "
    $IPC -A LTREJECT -f -j LOG --log-level 3 --log-prefix "REJECT "
    $IPC -A LTREJECT -p tcp -j REJECT --reject-with tcp-reset
    $IPC -A LTREJECT -p ! tcp -j REJECT --reject-with icmp-port-unreachable
    $IPC -A LTREJECT -j REJECT


    ## Esta eh a parte magica do router ##
    # Setup the actual connection sharing
    $IPC -t nat -A POSTROUTING -o $INTER -j MASQUERADE
    $IPC -A FORWARD -i $INTRA -j LACCEPT
    $IPC -A FORWARD -m state --state ESTABLISHED,RELATED -j LACCEPT
    $IPC -A FORWARD -m limit --limit 60/minute --limit-burst 60


    ## Secao para lidar com port forwarding ##
    # Caso queira redirecionar a porta 80 (webserver) para outra maquina
    #$IPC -t nat -A PREROUTING -i $INTER -p tcp -d $INTER --dport 80 -j DNAT --to <IP_WEBSERVER>


    ## Esta secao define o que ira passar pelo firewall ##
    # Define a regra de OUTPUT padrao para ACCEPT.
    $IPC -P OUTPUT ACCEPT

    # Permite o trafego na interface lo (loopback)
    $IPC -I INPUT -i lo -j ACCEPT
    $IPC -I OUTPUT -o lo -j ACCEPT
    $IPC -I INPUT -i ! lo -s 127.0.0.0/255.0.0.0 -j ACCEPT

    # Permite a conexao de certos IPs para certos servicos.
    # Apenas descomente a linha e adicione as informacoes requeridas.
    # Para adicionar mais regras: copia e cole e depois altere :P.
    #$IPC -A INPUT -p tcp -s IP_TO_GIVE_ACCESS_TO/NETMASK -i $INTER --dport PORT_NUMBER -j LACCEPT

    # Permite conexoes BitTorrent
    $IPC -A INPUT -p tcp -s 0/0 -i $INTER --dport 6881:6889 -j LACCEPT

    # Permite conexoes com bit set ack.
    # (They are from an established connections)
    $IPC -A INPUT -p tcp ! --syn -i $INTER -j LACCEPT

    # Abre as portas para as conexoes estabelecidas
    $IPC -A INPUT -m state --state ESTABLISHED -j LACCEPT
    $IPC -A INPUT -m state --state RELATED -j LACCEPT

    # ICMP rules, permite somente o essencial. Todo request de Ping
    # e bloqueado
    $IPC -A INPUT -p icmp --icmp-type echo-reply -s 0/0 -i $INTER -j LACCEPT
    $IPC -A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 -i $INTER -j LACCEPT
    $IPC -A INPUT -p icmp --icmp-type time-exceeded -s 0/0 -i $INTER -j LACCEPT
    $IPC -A INPUT -p icmp -i $INTER -j LDROP
    $IPC -A OUTPUT -p icmp -o $INTER -j LACCEPT

    # Define telnet, www, smtp, pop3 e FTP para um minimo de delay
    $IPC -t mangle -A OUTPUT -p tcp --dport 21 -j TOS --set-tos Minimize-Delay
    $IPC -t mangle -A OUTPUT -p tcp --dport 22 -j TOS --set-tos Minimize-Delay
    $IPC -t mangle -A OUTPUT -p tcp --dport 23 -j TOS --set-tos Minimize-Delay
    $IPC -t mangle -A OUTPUT -p tcp --dport 25 -j TOS --set-tos Minimize-Delay
    $IPC -t mangle -A OUTPUT -p tcp --dport 80 -j TOS --set-tos Minimize-Delay
    $IPC -t mangle -A OUTPUT -p tcp --dport 110 -j TOS --set-tos Minimize-Delay


    ## Esta secao lida com os bloqueios ##

    # Block nonroutable IPs
    # Note that you might want to comment in one of these if your I-Net provider is
    # using one of them (for my Road Runner I would have to comment in the 10.*)
    $IPC -A INPUT -s 10.0.0.0/8 -i $INTER -j LDROP
    $IPC -A INPUT -s 127.0.0.0/8 -i $INTER -j LDROP
    $IPC -A INPUT -s 172.16.0.0/12 -i $INTER -j LDROP
    $IPC -A INPUT -s 192.168.0.0/16 -i $INTER -j LDROP

    # Block Multicast
    $IPC -A INPUT -s 224.0.0.0/8 -d 0/0 -j LDROP
    $IPC -A INPUT -s 0/0 -d 224.0.0.0/8 -j LDROP

    # Block Back Orifice
    $IPC -A INPUT -p tcp -i $INTER --dport 31337 -j LDROP
    $IPC -A INPUT -p udp -i $INTER --dport 31337 -j LDROP

    # Block NetBus
    $IPC -A INPUT -p tcp -i $INTER --dport 12345:12346 -j LDROP
    $IPC -A INPUT -p udp -i $INTER --dport 12345:12346 -j LDROP

    # Block Trin00
    $IPC -A INPUT -p tcp -i $INTER --dport 1524 -j LDROP
    $IPC -A INPUT -p tcp -i $INTER --dport 27665 -j LDROP
    $IPC -A INPUT -p udp -i $INTER --dport 27444 -j LDROP
    $IPC -A INPUT -p udp -i $INTER --dport 31335 -j LDROP

    # Droping and logging ident requests. Note that some irc servers might not
    # like that very much
    $IPC -A INPUT -p tcp -i $INTER --dport 113 -j LDROP
    $IPC -A INPUT -p udp -i $INTER --dport 113 -j LDROP

    #Blocking access to the X Server ports.
    $IPC -A INPUT -p tcp -i $INTER --dport 5999:6003 -j LDROP
    $IPC -A INPUT -p udp -i $INTER --dport 5999:6003 -j LDROP
    $IPC -A INPUT -p tcp -i $INTER --dport 7100 -j LDROP
    $IPC -A INPUT -p tcp -i $INTER --dport 6000 -j LDROP

    #Block access to printer(lpd) and netbios-ssn.
    $IPC -A INPUT -p tcp -i $INTER --dport 139 -j LDROP
    $IPC -A INPUT -p tcp -i $INTER --dport 515 -j LDROP

    #DROP everything else
    $IPC -A INPUT -i $INTER -j LDROP




    Espero que te ajude.

    []'s

    Luis Falcão



  5. #5
    maverick_cba
    Então você está com problemas de rotas. Posta aí o retorno do comando route -n.






Tópicos Similares

  1. Respostas: 3
    Último Post: 08-12-2015, 13:14
  2. Alguem por favor poderia me ajudar com o squid....
    Por fisiconuclear18 no fórum Servidores de Rede
    Respostas: 8
    Último Post: 28-12-2005, 09:54
  3. Por favor alguém me ajuda com meu dhcp?
    Por fisiconuclear18 no fórum Servidores de Rede
    Respostas: 5
    Último Post: 28-10-2005, 08:38
  4. Por Favor estou a ponto de surtar !!!
    Por Germano_Silva no fórum Servidores de Rede
    Respostas: 1
    Último Post: 30-10-2003, 21:55
  5. Respostas: 1
    Último Post: 12-09-2003, 07:36

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L