Firewall

[salcam]

# Ativa suporte ao NAT
echo 1 > /proc/sys/net/ipv4/ip_forward

# Ativa Suporte ao FTP no NAT
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Limpa regras anteriores
iptables -F -t nat
iptables -F

# Determina politica padrao
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# Libera placa loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Acesso Web e Servidor Web
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT

# NAT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Controle de Pacotes
iptables -A FORWARD -o eth0 -m state --state NEW,INVALID -j ACCEPT
iptables -A FORWARD -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Libera Proxy e Proxy transparente
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

#orkut
iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -A INPUT -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j DROP
iptables -A INPUT -d orkut.com -p tcp --dport 443 -j DROP

#Gmail
iptables -A FORWARD -d www.gmail.com -p tcp --dport 443 -j DROP
iptables -A INPUT -d www.gmail.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d gmail.com -p tcp --dport 443 -j DROP
#iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
#iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT

#Msn
iptables -t nat -A PREROUTING -p tcp --dport 1863 -j REDIRECT --to-port 3128

#terminal Service
#iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
#iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
#iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 3389 -j DNAT --to 1.0.0.24:3398

iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 3389 -j DNAT --to-destination 1.0.0.24


# Libera servidor mail
iptables -A INPUT -p tcp --dport 25 -j ACCEPT

#Aim
iptables -A INPUT -p tcp --dport 9898 -j ACCEPT
iptables -A FORWARD -p tcp --dport 9898 -j ACCEPT
iptables -A INPUT -p tcp --dport 5190 -j ACCEPT
#email
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT

# Libera Servidor IMAP
iptables -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -A FORWARD -p tcp --dport 143 -j ACCEPT

# Libera Servidor IMAPS
iptables -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -A FORWARD -p tcp --dport 993 -j ACCEPT

#Libera SSL
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

# Libera Servidor Webmin
iptables -A INPUT -p tcp --dport 10000 -j ACCEPT
iptables -A FORWARD -p tcp --dport 10000 -j ACCEPT

# Libera DNS
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT

# Libera Spamassassin
iptables -A INPUT -p tcp --dport 783 -j ACCEPT
iptables -A FORWARD -p tcp --dport 783 -j ACCEPT

# Libera Servidor SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

# Libera Servidor FTP
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT

#Programa da Sms
iptables -A INPUT -p tcp --dport 10001 -j ACCEPT
iptables -A FORWARD -p tcp --dport 10001 -j ACCEPT
iptables -A INPUT -p tcp --dport 10002 -j ACCEPT
iptables -A FORWARD -p tcp --dport 10002 -j ACCEPT
iptables -A INPUT -p tcp --dport 8500 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8500 -j ACCEPT




Galera é o seguinte existe algum erro nesse firewal pq so consigo fazer o terminal service funcionar se ele estiver aberto totalmente se eu coloco drop naum consigo
tem como quando for bloqueado orkut e gmail aparecer uma mensagem da empresa igual eu coloquei quando redireciona para o proxy

[demiurgo]

nao entendi a sua duvida sobre TS....

vc nao consegue se conectar a TS remotos ou receber conexoes de TS remotos??

pq as suas linhas d TS estao comentadas??

vc reparou q no final dessa linha: #iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 3389 -j DNAT --to 1.0.0.24:3398

a porta de destino eh 3398?? eh essa porta mesmo??

[]'s

[felco]

iptables -A FORWARD -o eth0 -m state --state NEW,INVALID -j ACCEPT

Te recomento tirar o INVALID dessa regra

[salcam]

pq retirar o invalid?
naum consigo nem receber e nem mandar ts,

[spyderlinux]

A porta que você precisa liberar no firewall para o TS funcionar é a 3389

iptables -A FORWARD -p tcp -s $LAN_RANGE --dport 3389 -j ACCEPT

Sendo que $LAN_RANGE = sua rede/24 -> 192.168.0.0/24

Espero ter ajudado.
Tenho 3 TS no meu trampo e todos funcionam normalmente

[rafael filipe]

E ae...blz?
sou novo aqui e não sei se estou postando no local certo.
Estou tendo problemas para enviar torpedos para os celulares Claro pelo programa Coolsms.
Precisa liberar a porta 5005..
como resolver o problema???
Desde já...mto obrigado.

[spyderlinux]

(1) iptables -t filer -A FORWARD -p tcp --dport 5005 -s 192.168.0.0/24 -j ACCEPT
(2) iptables -t filer -A FORWARD -p udp --dport 5005 -s 192.168.0.0/24 -j ACCEPT

(3) iptables -t filer -A FORWARD -p tcp --sport 5005 -d 192.168.0.0/24 -j ACCEPT
(4) iptables -t filer -A FORWARD -p udp --sport 5005 -d 192.168.0.0/24 -j ACCEPT

Tendo como sua rede sendo 192.168.0.0/24 ou seja 192.168.0.0/255.255.255.0


Acredito que dessa forma dará certo.
Teste somente a regra (1) e (2) se não der certo adicione a (3) e (4)

[felco]

Bom, pra que aceitar pacotes considerados INVALIDOS?