FireWall não compartilha a conexão....Ajudem
Este abaixo é meu Firewal tem o nome de rc.firewall e está no etc/rc.d com uma linha no rc.local assim: etc/rc.d/rc.firewall só q ele não compartilha a internet...o FW navega mas as maquinas da rede não...onde eu errei?????
OBS: eth0=Rede local e eth1=Internet
Me ajudem Grato desde já
#!/bin/bash
#Carregando iptables
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_MASQUERADE
#limpando tabelas
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
#Setando Drop
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i eth1 -j DROP
#liberando loopback
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT
iptables -A FORWARD -s 127.0.0.1 -j ACCEPT
# Compartilha a conexao
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#liberando acesso interno da rede
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A OUTPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Proteção Contra IP Spoofing
iptables -A INPUT -j DROP -s 10.0.0.0/8 -i eth1
iptables -A INPUT -j DROP -s 127.0.0.0/8 -i eth1
iptables -A INPUT -j DROP -s 172.16.0.0/12 -i eth1
iptables -A INPUT -j DROP -s 192.168.1.0/16 -i eth1
# Bloqueando Multicast
iptables -A INPUT -s 224.0.0.0/8 -d 0/0 -j DROP
iptables -A INPUT -s 0/0 -d 224.0.0.0/8 -j DROP
#Bloqueando Back Orifice
iptables -A INPUT -p tcp -i eth1 --dport 31337 -j LDROP
iptables -A INPUT -p udp -i eth1 --dport 31337 -j LDROP
#Bloqueando NetBus
iptables -A INPUT -p tcp -i eth1 --dport 12345:123456 -j LDROP
iptables -A INPUT -p udp -i eth1 --dport 12345:123456 -j LDROP
#Bloqueando Trin00
iptables -A INPUT -p tcp -i eth1 --dport 1524 -j LDROP
iptables -A INPUT -p tcp -i eth1 --dport 27665 -j LDROP
iptables -A INPUT -p udp -i eth1 --dport 27444 -j LDROP
iptables -A INPUT -p udp -i eth1 --dport 31335 -j LDROP
#Rejeitando ident requeridos(Não aceitos)
iptables -A INPUT -p tcp -i eth1 --dport 113 -j TREJECT
iptables -A INPUT -p udp -i eth1 --dport 113 -j TREJECT
#Bloqueando acesso ao X Server
iptables -A INPUT -p tcp -i eth1 --dport 5999:6003 -j LDROP
iptables -A INPUT -p udp -i eth1 --dport 5999:6003 -j LDROP
iptables -A INPUT -p tcp -i eth1 --dport 7100 -j LDROP
#Setando www, smtp, pop3 e ssh para pouco delay
iptables -t mangle -A PREROUTING -p tcp --sport 80 -j TOS --set-tos 16
iptables -t mangle -A PREROUTING -p tcp --sport 22 -j TOS --set-tos 16
# Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP
# Protecao contra port scanners ocultos
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p icmp -j DROP
#Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -p tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
#Ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Porta Wincrash
iptables -A INPUT -p tcp --dport 5042 -j LOG --log-prefix "Serviço: Wincrash"
# Fecha o resto
iptables -A FORWARD -j DROP
iptables -A INPUT -j DROP
#Lacier Dias
FireWall não compartilha a conexão....Ajudem
Ate que ta legal... mas pelo que eu vi voce veio do ipchains neh ? voce faz as regras de um jeito estranho :)
altos drop ao inves de uma default policy de DROP
mas bom, voce deveria comecar a logar para ver onde o seu firewall ta bloqueando porque TEORICAMENTE ta certinho as coisas, voce so prescisa do ip_forward, do masquerade e deixar passar.
de uma lida em iptables.under-linux.org
pode dar uma ajuda.
so um exemplo de como voce pode minizar essa regrsa todas eh:
Citação:
#liberando loopback
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT
iptables -A FORWARD -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
loopback so eh usado em input ...
FireWall não compartilha a conexão....Ajudem
NA verdade as suas regras de firewall poderiam ser mais simples
abre tudo o que vc deseja abrir
e no final vc dá um
iptables -A INPUT -j DROP
assim ele bloqueia tudo o que vc não abriu.
Eu tive um problema semelhante ao seu, e só descobri pq o ice me ensinou, as regras de bloqueio (DROP reject) devem ser no final do seu script
FireWall não compartilha a conexão....Ajudem
Citação:
Postado originalmente por mistymst
Ate que ta legal... mas pelo que eu vi voce veio do ipchains neh ? voce faz as regras de um jeito estranho :)
altos drop ao inves de uma default policy de DROP
mas bom, voce deveria comecar a logar para ver onde o seu firewall ta bloqueando porque TEORICAMENTE ta certinho as coisas, voce so prescisa do ip_forward, do masquerade e deixar passar.
de uma lida em iptables.under-linux.org
pode dar uma ajuda.
so um exemplo de como voce pode minizar essa regrsa todas eh:
Citação:
#liberando loopback
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT
iptables -A FORWARD -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
loopback so eh usado em input ...
Mano me socorre oq mudo alem do loopback.....to na merda aqui...
Grato
FireWall não compartilha a conexão....Ajudem
Alem das regras de firewall...
Como anda a sua tabela de roteamento?
Vc pode ver atraves do comendo: (route -n)
Existe definicao correta de redes... nos respetivos devices?
Existe gateway definido na sua tabela de roteamento?
Execute o comando acima (route -n) e poste aqui.
Abracos,
mson77
FireWall não compartilha a conexão....Ajudem
Citação:
Postado originalmente por mson77
Alem das regras de firewall...
Como anda a sua tabela de roteamento?
Vc pode ver atraves do comendo: (route -n)
Existe definicao correta de redes... nos respetivos devices?
Existe gateway definido na sua tabela de roteamento?
Execute o comando acima (route -n) e poste aqui.
Abracos,
mson77
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 10.1.1.1 0.0.0.0 UG 0 0 0 eth1
qndo chamo ele no braço aparece isso:
[root@fw root]# rc.firewall
iptables v1.2.7a: Couldn't load target `LDROP':/lib/iptables/libipt_LDROP.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: Couldn't load target `LDROP':/lib/iptables/libipt_LDROP.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: invalid TCP port/service `123456' specified
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: invalid UDP port/service `123456' specified
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: Couldn't load target `LDROP':/lib/iptables/libipt_LDROP.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: Couldn't load target `LDROP':/lib/iptables/libipt_LDROP.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: Couldn't load target `LDROP':/lib/iptables/libipt_LDROP.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: Couldn't load target `LDROP':/lib/iptables/libipt_LDROP.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: Couldn't load target `TREJECT':/lib/iptables/libipt_TREJECT.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: Couldn't load target `TREJECT':/lib/iptables/libipt_TREJECT.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: Couldn't load target `LDROP':/lib/iptables/libipt_LDROP.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: Couldn't load target `LDROP':/lib/iptables/libipt_LDROP.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: Couldn't load target `LDROP':/lib/iptables/libipt_LDROP.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
Oq é isso????
FireWall não compartilha a conexão....Ajudem
Cara tem alguma coisa de errado com os seus comandos do iptables...
aparentemente ele está fechando tudo e não está executando as suas operações de abertura das portas...
Dei uma olhada no man do iptables, e não achei nenhum LDROP...
Pra que é que você está usando esta opção?
FireWall não compartilha a conexão....Ajudem
Citação:
Postado originalmente por vonlinkerstain
Cara tem alguma coisa de errado com os seus comandos do iptables...
aparentemente ele está fechando tudo e não está executando as suas operações de abertura das portas...
Dei uma olhada no man do iptables, e não achei nenhum LDROP...
Pra que é que você está usando esta opção?
Mano já mudei para DROP li isso em um livro...to ficando doido já...rsrsr
Acho q tirando isso agora rola....assim q descobrir eu posto aqui mas se vcs tiverem alguma observação nas regras por favor coloqueas aqui isso me ajudaria muito....como exemplo o nosso amigo "mistymst" falando do loopback...
Agradeço a todos a atenção
FireWall não compartilha a conexão....Ajudem
Caro lacierdias,
A sua tabela de roteamento:
= = = = = = = = = = = = = = = = = = =
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 10.1.1.1 0.0.0.0 UG 0 0 0 eth1
= = = = = = = = = = = = = = = = = = =
Vc disse: eth0=rede local; eth1=internet ....
Mas a tabela acima não mostra isso...
[size=18px]Realmente o escoamento se realiza pela eth1, porem a eth1 nao está com endereço válido na internet.[/size]
Acredito que ESSE deva ser o seu problema.
Corrija os IPs da eth1 (internet) e gateway.
Abracos,
mson77
FireWall não compartilha a conexão....Ajudem
Citação:
Postado originalmente por mson77
Caro lacierdias,
A sua tabela de roteamento:
= = = = = = = = = = = = = = = = = = =
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 10.1.1.1 0.0.0.0 UG 0 0 0 eth1
= = = = = = = = = = = = = = = = = = =
Vc disse: eth0=rede local; eth1=internet ....
Minha rede local é 192.168.0.x e minha internet vem deste ip 10.1.1.1 q é o ip do meu modem adsl por isso minha placa de rede não tem ip valido meu modem q disca para o provedor não uso pppoe o modem faz tudo...
Mas a tabela acima não mostra isso...
[size=18px]Realmente o escoamento se realiza pela eth1, porem a eth1 nao está com endereço válido na internet.[/size]
Acredito que ESSE deva ser o seu problema.
Corrija os IPs da eth1 (internet) e gateway.
Abracos,
mson77
FireWall não compartilha a conexão....Ajudem
Caro lacierdas,
Entao vc ja testou e comprovou que se:
No lugar do seu linux_firewall,... SE vc colocar um micro comum com IP fixo (10.x.x.x) e gw=10.1.1.1 ... seu micro navega? (colocando o DNS)
Faço essa colocação para separar: se o problema é de rota ou se é de regras.
Outra colocacao:
Vc consegue pingar um host internet via nome? (a partir do seu linux_fw)
Vc consegue pingar seu gateway (10.1.1.1)?
Se vc consegue fazer tudo isso, o problema é de regras do firewall. Dai poderemos rever suas regras e analisar as msg de erros de LDROP que vc apresentou.
Abracos,
mson77
FireWall não compartilha a conexão....Ajudem
Citação:
Postado originalmente por mson77
Caro lacierdas,
Entao vc ja testou e comprovou que se:
No lugar do seu linux_firewall,... SE vc colocar um micro comum com IP fixo (10.x.x.x) e gw=10.1.1.1 ... seu micro navega? (colocando o DNS)
Faço essa colocação para separar: se o problema é de rota ou se é de regras.
Outra colocacao:
Vc consegue pingar um host internet via nome? (a partir do seu linux_fw)
Vc consegue pingar seu gateway (10.1.1.1)?
Se vc consegue fazer tudo isso, o problema é de regras do firewall. Dai poderemos rever suas regras e analisar as msg de erros de LDROP que vc apresentou.
Abracos,
mson77
Mano a minha situação é:
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
Isso direto no rc.local....
navego de boa com todas as maquinas da rede (linux e Win) e meu DNS ainda é meu proprio server.
os usuário ficando assim:
IP: 192.168.0.x
mascara: 255.255.255.0
GW: 192.168.0.1
DNS: 192.168.0.1
Todos pingam o modem (10.1.1.1) e a segunda placa de rede do server (10.1.1.5) com estas configurações q estão agora.
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
com o firewall nem funciona....rsrsrsr
Será q não tem nada errado no script do FW????
Grato pela atenção
FireWall não compartilha a conexão....Ajudem
issu ta virando uma bola de neve, vamos fazer uma coisa do 0 quer eh mto melhor,
primerio passe os seguintes dados:
1 - sua rede interna
2 - qual interface interna e qual eh a externa
3 - q servicos vc vai querer deixar aberto no seu servidor
FireWall não compartilha a conexão....Ajudem
bom as 2 primeiras informacoes eu jah tenho :) tava nos posts, falta a terceira mas jah da pra te adiantar:
LIMPE TODAS AS REGRAS EXISTENTES
iptables -F
iptables -t nat -F
depois vc soh vai precisar destas simples regras:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -P INPUT DROP
com isso vc vai ter somente ssh aberto externamente e todo o resto ta bloqueado
FireWall não compartilha a conexão....Ajudem
Citação:
Postado originalmente por 1c3_m4n
bom as 2 primeiras informacoes eu jah tenho :) tava nos posts, falta a terceira mas jah da pra te adiantar:
LIMPE TODAS AS REGRAS EXISTENTES
iptables -F
iptables -t nat -F
depois vc soh vai precisar destas simples regras:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -P INPUT DROP
com isso vc vai ter somente ssh aberto externamente e todo o resto ta bloqueado
Vc é crânio mesmo..rsrsr... demorou mas apareceu para me ajudar....
Mandou muito bem mano... era isso q queria....
Os serviço é só o ssh mesmo..... é uma internet q tenho na minha rua recebo o ADSL e divido com 2 Vizinhos só isso...
Agora com estes comando eu me livro de Ping da morte, IP Spoofing, Multicast, Back Orifice, tracertroute, port scanners ocultos e etc....
Se não..posso usar as regras do meu FW mesmo ou vc teria mas alguma carta na manga.. :D :D ....
Se poder usar as regras do meu FW aonde as coloco??
Mano muito grato pela sua ajuda e a dos demais tb...Valeu pessoal....
FireWall não compartilha a conexão....Ajudem
Citação:
Postado originalmente por 1c3_m4n
bom as 2 primeiras informacoes eu jah tenho :) tava nos posts, falta a terceira mas jah da pra te adiantar:
LIMPE TODAS AS REGRAS EXISTENTES
iptables -F
iptables -t nat -F
depois vc soh vai precisar destas simples regras:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -P INPUT DROP
com isso vc vai ter somente ssh aberto externamente e todo o resto ta bloqueado
Responde ae ice.....
FireWall não compartilha a conexão....Ajudem
pra deixar tudo bloqueado eh soh usar essas regras q eu passei num precisa + nda, agora se vc quer bloquear esses trojans pra num acessarem seus clientes vc precisa adicionar
iptables -A FORWARD -p tcp --dport 31337 -d 0/0 -j DROP
ae faz isso com todas as portas q vc quiser
FireWall não compartilha a conexão....Ajudem
Citação:
Postado originalmente por 1c3_m4n
pra deixar tudo bloqueado eh soh usar essas regras q eu passei num precisa + nda, agora se vc quer bloquear esses trojans pra num acessarem seus clientes vc precisa adicionar
iptables -A FORWARD -p tcp --dport 31337 -d 0/0 -j DROP
ae faz isso com todas as portas q vc quiser
Valeu irmão....Grato por tudo