Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Estranho... bem... eu não sou usuário de Slackware, mas no Debian os módulos do IPTables ficam em /lib/modules/`uname -r`/kernel/net/ipv4/netfilter. Isso na versão 2.6 do kernel, mas acho que não muda para a 2.4. Dá uma olhada dentro do diretório e procura o arquivo chamado ipt_iprange.o. Se você não encontrar, muito provavelmente o seu kernel não foi compilado com suporte à ele.


    Abraços!

  2. Valeu cara vo da uma olhada!
    Brigado!!!



  3. Magina... mas se não tiver compilado, tu pode adicionar IP por IP também... claro que é mais trabalhoso, mas também dá certo.

  4. Você também pode deixar o NAT(MASQUERADE) para todos:
    iptables -t nat -A POSTROUTING -o eth_net -j MASQUERADE

    E bloquear o resto na FORWARD.
    Eu pelo menos uso assim.

    De uma olhada nesse script e ve se te ajuda...
    eth1 -> a rede local
    eth0 -> internet

    # Lembrando que a output e input são somente para o que sai ou entra da maquina firewall, as estações se enquadram apenas na chain FORWARD!
    # OUTPUT
    # Liberando a rede interna
    iptables -A OUTPUT -o eth1 -d 192.168.0.0/24 -j ACCEPT
    # Acessos para o squid
    iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
    iptables -A OUTPUT -o eth0 -p tcp --dport 443 -j ACCEPT
    iptables -A OUTPUT -o eth0 -p tcp --dport 20 -j ACCEPT
    iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
    iptables -A OUTPUT -o eth0 -p tcp --dport ! 1:1024 -j ACCEPT
    # Resolver nomes
    iptables -A OUTPUT -o eth0 -d dns-primario -p tcp --dport 53 -j ACCEPT
    iptables -A OUTPUT -o eth0 -d dns-primario -p udp --dport 53 -j ACCEPT
    iptables -A OUTPUT -o eth0 -d dns-secundario -p tcp --dport 53 -j ACCEPT
    iptables -A OUTPUT -o eth0 -d dns-secundario -p udp --dport 53 -j ACCEPT
    # Detalhe, eu liberei a rede interna para tudo, mas se for o caso vc poderia liberar apenas a porta do squid (por padrao 3128) pois os outros acessos como ja disse se enquadrarao na FORWARD.

    #INPUT
    iptables -A INPUT -i eth1 -d rede_interna -m state --state ESTABLISHED,RELATED -j ACCEPT
    # Essa seria uma forma mais simples de liberar o retorno dos pacotes, porém essas flags de pacotes podem ser burladas... e como o iptables nao tem recursos como keep state tem que ser assim mesmo
    # Mas eu te recomendo fazer uma regra de retorno para cada regra de saida com base na porta de destino da saida, entendeu? por exemplo:
    para a saida com destino a porta 80 vc faria o retorno assim:
    iptables -A INPUT -i eth0 -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT

    # por fim a FORWARD
    # aqui vc tem que fazer a ida e volta dos acessos de todas as estaçoes
    Que o básico seria acessos na 25 e 110 (smtp e pop3) e também 53 tcp e udp se você nao tiver um server dns tb no seu firewall.
    Fora isso, vao te aparecer problemas relacionados a aplicativos que usam portas especificas assim como servidores especificos, seria o caso daqueles programas da caixa federal, alguns internet banking e etc, mas ai cabe a vc verificar a necessidade do cliente e conceder apenas os acessos necessários.

    Vou te dar um exemplo para a porta smtp e o resto seria igual:
    iptables -A FORWARD -o eth0 -s 192.168.0.0/24 -d provedor -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -i eth0 -d 192.168.0.0/24 -s provedor -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

    Bom, espero ter ajudado....
    Um abraço.
    Fernando.



  5. Beleza cara, com certeza vai me ajudar!!!
    Abraço e obrigado!






Tópicos Similares

  1. Como Liberar QOS somente para uma Classe de Ip
    Por fwsolutions no fórum Redes
    Respostas: 3
    Último Post: 27-06-2011, 15:51
  2. Liberar Ip para uma lista de Mac's
    Por rndrama no fórum Servidores de Rede
    Respostas: 7
    Último Post: 20-05-2009, 16:37
  3. Respostas: 1
    Último Post: 08-01-2009, 09:43
  4. Liberar MSN para uma lista de IP's
    Por Eduardo_Alves no fórum Servidores de Rede
    Respostas: 1
    Último Post: 27-02-2008, 16:25
  5. Liberar nat para uma maquina para suporte com NetMeeting
    Por maneirobh no fórum Servidores de Rede
    Respostas: 1
    Último Post: 05-11-2002, 15:46

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L