Como posso verificar o status do meu firewall? "iptable

frugoni · 07-01-2006, 00:30

Estou compartilhando a internet pelo squid e notei que no access.log ele ta bloqueando ip´s da internet, mas essa era a função do iptables.....qeuria saber se existe algum comando que eu posso digitar para verificar se o firewall ta ativo...e como eu devo proceder para corrigir este problema...seu que existem alguns topicos aqui...mas ele tava funcionando e agora parou tipo libero!!!! que que eu faço galera

**mbyte** · 07-01-2006, 09:57

ipfw show

07-01-2006, 10:12

iptables -L >> mostra regras da tabela filter
iptables -t nat -L >> mostra regras de nat

cat /proc/sys/net/ipv4/ip_forward (se tiver 1 ta com forward ativo)

frugoni · 07-01-2006, 11:38

Obtive o seguinte resultado sigitando no console ou via ssh

ipfw show

bash: ipfw: command not found

cat /proc/sys/net/ipv4/ip_forward (se tiver 1 ta com forward ativo)

1

Então deve ser alguma regra errada

Vejam os resultados

iptables -L

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

iptables -t nat -L

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:www redir ports 3128
REDIRECT tcp -- anywhere anywhere tcp dpt:www redir ports 3128

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Vlw...até aqui pelas dicas e cooperação estou começando em Linux
e ainda não consigo interpretar muito bem mas vamos estudando... alguem poderia me ajudar?

frugoni · 07-01-2006, 19:51

Então pessoal

Fiz um teste Ativei o Firewall via grafico através do script do kurumin 5.0..
pra minha alegria e tristesa...
quando ativei
ele bloqueou...inclusive a rede interna....muito estranho tudu isso preciso de uma ajudinha mesmo!!!

[/quote]

Avenger · 08-01-2006, 12:55

Parece que você rodou alguma coisa que 'limpou' o firewall...

(pelo menos, se você falou que tinha regras prá bloquear alguns IPs, e isso não pertence mais ao IPtables que você colou!)

Provavelmente as regras de proxy transparente tenham antes de serem inseridas, 'limpado' o firewall, tenta colocar o firewall prá iniciar depois do proxy transparente; ou então, se foi você mesmo que colocou as regras do proxy transparente, tire as linhas que contenham iptables -F ou iptables -F -t nat. Prá listar as regras e ver quantas vezes elas foram utilizadas, faça iptables -nvL ; iptables -nvL -t nat.

Espero que ajude!..

frugoni · 08-01-2006, 15:43

Bem como eu não entendo muito estou aprendendo ...vou postar o arquivo que que o kurumin firewall

#!/bin/bash

# Script de configuração do iptables gerado pelo configurador do Kurumin
# Este script pode ser usado em outras distribuições Linux que utilizam o Kernel 2.4 em diante
# Por Carlos E. Morimoto

firewall_start(){

# Abre para uma faixa de endereços da rede local
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.0.0/24

# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --destination-port 4040 -j ACCEPT

# Ignora pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Proteção contra IP spoofing
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

# Proteção contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP

# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -N VALID_CHECK
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP

# Abre para a interface de loopback.
# Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

# Fecha as portas udp de 1 a 1024, abre para o localhost
iptables -A INPUT -p udp -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -p udp --dport 1:1024 -j DROP
iptables -A INPUT -p udp --dport 59229 -j DROP

iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.0.0/24

# Esta regra é o coração do firewall do Kurumin,
# ela bloqueia qualquer conexão que não tenha sido permitida acima, justamente por isso ela é a última da cadeia.
iptables -A INPUT -p tcp --syn -j DROP

/etc/skel-fix/firewall-msg

}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
}

case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "O kurumin-firewall está sendo desativado"
sleep 2
echo "ok."
;;
"restart")
echo "O kurumin-firewall está sendo desativado"
sleep 1
echo "ok."
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac

**gatoseco** · 08-01-2006, 23:03

ipfw=FREEBSD nao linux

/proc/sys/net/ipv4/ip_forward =1 roteamento dos pacotes via kernel ativo

Resultados vc apenas esta redirecionado as requisiçoes da porta 80 para a do squid 3128 e fazendo o nat !!!

Posta o teu script completo pra podermos ver melhor !!!

Valeu !!!

**mbyte** · 09-01-2006, 07:39

Postado originalmente por gatoseco

ipfw=FREEBSD nao linux

ops: desculpa !!

**xstefanox** · 09-01-2006, 11:23

Bom cara, se eu realmente entendi a sua pergunta, o certo seria fazer o relay do Squid ficar somente para a sua rede interna. Para isso, altere a tag http_port:

Código :

http_port 3128

Para

Código :

http_port 192.168.1.1:3128

Abraços!

frugoni · 09-01-2006, 23:25

Bom cara, se eu realmente entendi a sua pergunta, o certo seria fazer o relay do Squid ficar somente para a sua rede interna. Para isso, altere a tag http_port:

Código:
http_port 3128

Para

Código:
http_port 192.168.1.1:3128

Abraços!

Então o proxy tá até bloqueando acesso pela internet nesse proxy...ele nao navega e mostra a a pagina de bloqueio...somente a rede interna é que consegue navegar...uma coisa que eu quero é que meu firewall bloqueie acesso provindos da internet e nem consigam enxergar o firewall
...
por exemplo pra rede interna hj conseguir acessar...tenho que desativar o firewall através do script do kurumin se não niguem acessa...mas se meu firewall ta destivado como é que a regra de proxy transparente ta funcionando?

frugoni · 09-01-2006, 23:26

ipfw=FREEBSD nao linux

/proc/sys/net/ipv4/ip_forward =1 roteamento dos pacotes via kernel ativo

Resultados vc apenas esta redirecionado as requisiçoes da porta 80 para a do squid 3128 e fazendo o nat !!!

Posta o teu script completo pra podermos ver melhor !!!

Valeu !!!

Então o script é do kurumin 5.0...onde é que eu pego isso?

**mbyte** · 10-01-2006, 07:27

no arquivo: /etc/init.d/kurumin-firewall

**gatoseco** · 10-01-2006, 09:26

mbyte sem problemas amigo nao se precisa se preocupar todo mundo se engana !!!

Abraçao

frugoni · 10-01-2006, 19:49

#!/bin/bash

# Script de configuração do iptables gerado pelo configurador do Kurumin
# Este script pode ser usado em outras distribuições Linux que utilizam o Kernel 2.4 em diante
# Por Carlos E. Morimoto

firewall_start(){

# Abre para uma faixa de endereços da rede local
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.0.0/24

# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --destination-port 4040 -j ACCEPT

# Ignora pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Proteção contra IP spoofing
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

# Proteção contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP

# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -N VALID_CHECK
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP

# Abre para a interface de loopback.
# Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

# Fecha as portas udp de 1 a 1024, abre para o localhost
iptables -A INPUT -p udp -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -p udp --dport 1:1024 -j DROP
iptables -A INPUT -p udp --dport 59229 -j DROP

iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.0.0/24

# Esta regra é o coração do firewall do Kurumin,
# ela bloqueia qualquer conexão que não tenha sido permitida acima, justamente por isso ela é a última da cadeia.
iptables -A INPUT -p tcp --syn -j DROP

/etc/skel-fix/firewall-msg

}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
}

case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "O kurumin-firewall está sendo desativado"
sleep 2
echo "ok."
;;
"restart")
echo "O kurumin-firewall está sendo desativado"
sleep 1
echo "ok."
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac

frugoni · 12-01-2006, 09:20

Pois então devido ao problema que tivemos no servidor...ai do under....perdi a postagem que tava aqui...mas vamos la!

Tava pensando eu desativei o firewall pelo script do kurumin em tese ele deveria estar aberto porém quando executo o comando

cat /proc/sys/net/ipv4/ip_forward

o resultado é 1 então meu firewall ta ativo?
acho que não porque como já disse quando ativo o firewall pelo script do kurumin ele impede a rede local de navegar!

Como posso verificar o status do meu firewall? "iptable

Ferramentas de Tópicos