Por favor, uma ajudinha a iniciante !
Fala Sergio, blz ?
Seguinte, alterei o masquerade como você sugeriu e não funcionou. Do jeito que você falou nem do próprio firewall não consegui pingar pra fora (ping www.uol.com.br).
Sobre o comentário no synflood e ping da morte eu dei bobeira, ainda bem que você viu ... Já acertei.
Quando coloco esse script pra rodar olha o que grava no meu log:
Feb 17 13:32:19 tubarao kernel: FIREWALL: FORWARD IN=eth2 OUT=eth0 SRC=192.168.1.51 DST=200.204.0.138 LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=25500 PROTO=UDP SPT=1048 DPT=53 LEN=36
Feb 17 13:32:19 tubarao kernel: FIREWALL: FORWARD IN=eth2 OUT=eth0 SRC=192.168.1.50 DST=64.12.161.153 LEN=1052 TOS=0x00 PREC=0x00 TTL=127 ID=57053 PROTO=UDP SPT=4238 DPT=5140 LEN=1032
Feb 17 13:32:19 tubarao kernel: FIREWALL: FORWARD IN=eth2 OUT=eth0 SRC=192.168.1.50 DST=200.204.0.138 LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=57054 PROTO=UDP SPT=4221 DPT=53 LEN=36
Feb 17 13:32:20 tubarao kernel: FIREWALL: FORWARD IN=eth2 OUT=eth0 SRC=192.168.1.51 DST=200.204.0.138 LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=25501 PROTO=UDP SPT=1048 DPT=53 LEN=36
Feb 17 13:32:20 tubarao kernel: FIREWALL: ppp-in IN=eth0 OUT= MAC=00:0d:87:a8:52:ce:00:90:96:81:79:1d:08:00 SRC=205.188.8.188 DST=200.161.24.93 LEN=1202 TOS=0x00 PREC=0x00 TTL=105 ID=20896 DF PROTO=TCP SPT=5190 DPT=1333 WINDOW=16384 RES=0x00 ACK PSH URGP=0
Feb 17 13:32:20 tubarao kernel: FIREWALL: FORWARD IN=eth2 OUT=eth0 SRC=192.168.1.50 DST=200.204.0.138 LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=57055 PROTO=UDP SPT=4221 DPT=53 LEN=36
Feb 17 13:32:21 tubarao kernel: FIREWALL: FORWARD IN=eth2 OUT=eth0 SRC=192.168.1.51 DST=200.204.0.138 LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=25503 PROTO=UDP SPT=1048 DPT=53 LEN=36
Feb 17 13:32:21 tubarao kernel: FIREWALL: FORWARD IN=eth2 OUT=eth0 SRC=192.168.1.50 DST=200.204.0.138 LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=57057 PROTO=UDP SPT=4221 DPT=53 LEN=36
Pelo o que está gravando me parece que é a regra do chain FORWARD da tabela filter... acho que o pau tá nesse trecho:
##### Chain FORWARD #####
## Permite redirecionamento de conexoes entre as interfaces locais. ##
## Qualquer trafego vindo/indo para outras interfaces serah bloqueada ##
iptables -A FORWARD -d 192.168.1.0/24 -i eth0 -o eth2 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -i eth2 -o eth0 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
iptables -A FORWARD -j DROP
------------------------- Fim do script --------------------------------------
O que é mais estranho é que eu comentei esse trecho todo e mesmo assim não consegui acessar sites através das estações (winXP).
Com o trecho comentado as linhas que postei do LOG não são gravadas.
Por favor, uma ajudinha a iniciante !
Citação:
iptables -t nat -P POSTROUTING DROP
Tira isso coloca ACCEPT e sobre o registro.br vc pode usar um endereco do tipo no-ip.org redirecionando pro seu IP real (do speedy) ja que no registro.br vc tera algo assim:
DNS primario:
ns1.dominio.com.br
IP: 200.x.y.z
DNS secundario:
ns2dominio.no-ip.org
IP: desnecessario
O no-ip.org ja tem um DNS respondendo por ele logo vc nao precisa especificar o IP, eh como o IP do dominio no-ip.org eh diferente nao vai dar conflito... boa sorte!
Isso funcionava antes eu usei por muito tempo assim, nao sei se agora ainda funciona mas se nao funcionar, existem dezenas de DNS server pub pra vc colocar o registro do seu dominio de graca.
Por favor, uma ajudinha a iniciante !
E ai felco ?
Testei a mudança que você sugeriu e ainda assim não estou conseguindo acessar das estações.
Das estações consigo pingar todas as maquinas da rede inclusive o firewall pelo IP fixo 200.x.x.x
Mas quando tento acessar algum site ou pingar algum site não tenho resposta.
Minha configuração de rede das estações está assim:
IP : 192.168.1.x
Mask: 255.255.255.0
Gw : 192.168.1.254 (ip que está configurado na eth2 do firewall)
DNS: 200.204.0.138 (dns do terra)
Será que alterei no lugar certo ??
Eu alterei a linha:
##### Definicao de politicas #####
## Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING DROP
É isso mesmo ??se for, infelizmente não deu certo!
Do firewall eu consigo pingar sites externos (Ex: ping www.uol.com.br) mas quando tento o mesmo das estações não funciona.
Por favor, uma ajudinha a iniciante !
na verdade vc tem dois pontos de DROP que estao vindo antes das regras de ACCEPT e isso nao funciona... ve ae:
##### Definicao de politicas #####
## Tabela filter
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
## Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING DROP
muda o DROP para ACCEPT, principalmente da tabela filter e ve se rola...
Por favor, uma ajudinha a iniciante !
Esse forward eu nao tinha visto mas deve mudar tambem