KaZaZ continua mesmo com iptables
Esse é um exemplo de inconsistencia de regras.. se a sua estiver parecida com isso.. é pq tem regra sobrescrevendo as outras..
# Libera todas as portas INT_NET --> EXT_IP
$IPTABLES -A FORWARD -p tcp -s $INT_NET -i $INT_IF -d 0/0 -j ACCEPT
# Fecha KaZaa
$IPTABLES -A FORWARD -p tcp -s $INT_NET -i $INT_IF -o $EXT_IF --dport 1214 -j DROP
Perceba, que foi liberado todas as portas na 1º regra, e depois foi trancado a porta 1214 na segunda regra.. porem.. como a 1º regra ja permitiu o acesso a qualquer porta .. a 2º regra será descartada pelo firewall..
Dica, é aconselhavel deixar todas as portas fechadas e abrir conforme necessario.. aqui eu uso assim e nao tem problema nenhum com Kazaa, Imesh.. etc. nenhum P2P <IMG SRC="images/forum/icons/icon_smile.gif">
[ Esta mensagem foi editada por: Danilo_Montagna em 28-01-2003 17:35 ]
KaZaZ continua mesmo com iptables
Realmente parece ser isso mesmo.
Mas o problema eh que ao que parece eu dependo desse FORWARD liberado para
usar o NAT para o meu MTA, POP3.
Pelo menos quando dei um DROP na FORWARD o e-mail parou de rola.
Segue o trecho das regras de FORWARD
#####################
# Regras de FORWARD #
#####################
$IPTABLES -P FORWARD ACCEPT
# Negando IPs Reservados
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -d $ANY -j MASQUERADE
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
#echo "Regras de FORWARD"
Tenho como leberar esse nat apenas para acessar determinados serviços no meu outro servidor?
Caso seja necessario mais info me avise.
[]´s
Mateus Reis
KaZaZ continua mesmo com iptables
Claro amigo, o email nao funcionou mais pq sua politica padrao de FORWARD esta em ACCEPT, ou seja, mesmo vc fazendo qualquer regra par atrancar qualquer coisa... o default de uso do firewall esta sendo esse ACCEPT que vc esta usando na regra default da chain..
faz o seguinte, deixa a politica padrao do seu forward em DROP e depois libera o necesasrio por regra de -A FORWARD.. ou seja, apendando uma regra em ACCEPT para a politica padrao que é DROP.
para o seu email funciona usando a chain forward em DROP faça isso aqui..
# Chain de FORWARD - Politica Padrao
$IPTABLES -P FORWARD DROP
# Abre acesso aos emails
$IPTABLES -A FORWARD -p tcp -i $EXT_IF -d 10.0.0.1 --dport 25 -j ACCEPT
onde for 10.0.0.1 vc aletra pelo ip interno do seu servidor de mail.
espero que tenha entendido o conceito..
falow
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-01-29 16:56, Anonymous wrote:
Realmente parece ser isso mesmo.
Mas o problema eh que ao que parece eu dependo desse FORWARD liberado para
usar o NAT para o meu MTA, POP3.
Pelo menos quando dei um DROP na FORWARD o e-mail parou de rola.
Segue o trecho das regras de FORWARD
#####################
# Regras de FORWARD #
#####################
$IPTABLES -P FORWARD ACCEPT
# Negando IPs Reservados
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -d $ANY -j MASQUERADE
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
#echo "Regras de FORWARD"
Tenho como leberar esse nat apenas para acessar determinados serviços no meu outro servidor?
Caso seja necessario mais info me avise.
[]´s
Mateus Reis
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
KaZaZ continua mesmo com iptables
A mensagem acima foi minha, só depois que vi que nao tava logado...
[]´s
Danilo Montagna
KaZaZ continua mesmo com iptables
Que tal quando voce por a default rule como DROP
voce liberar a porta no forward? deixa como ta e acrescenta
# SMTP / MTA
$IPTABLES -A FORWARD -p tcp -s $SOURCE_NET/IP --dport 25 -j ACCEPT
# POP 3
$IPTABLES -A FORWARD -p tcp -s $SOURCE_NET/IP --dport 110 -j ACCEPT
Imagino que isso resolva (Eu creio que sim, se for isso que eu tou pensando) <IMG SRC="images/forum/icons/icon21.gif">