firewall não starta, e da erro de bad iptables

Ola amigos, eu instalei o Conectiva 10 e reeditei o arq. chamando de Myfirewall, ou seja só aproveitei o nome dele, estarei colocando o arq, logo abaixo, para vcs analizarem, este arq. funcionou muito bem no Fedora, mais agora me da umas messagem de bad iptables, se eu desabilitar linha por linha, hora eu executo ele e não fala nada se esta ok, ou se falhou , ou quando eu abilito algumas linhas, ele da a messagem de erro, bad iptables, por favor me ajude, arq. logo a baixo. Obrigado
OBS: é um firewall, com varias opções, algumas esta comentadas, para que no futuro não precisa-se reescreve-lo. o Arq. não ficou organizado fora de equandramento, pois quando eu copiei e colei aqui, ele perdeu todo o seu alinhamento.

#!/bin/bash

# limpando todas chais de totas as tabelas
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
# mudando a politica padrão da tabela filter
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# ativar roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward
# ativar mascaramento
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# proteção para ping of death
iptables -A FORWARD -m limit --limit 1/s -p icmp -j ACCEPT
#proteção contra pacotes syn flood
iptables -A FORWARD -m limit --limit 1/s -p tcp --syn -j ACCEPT
#serviço spf liberando pelo estado do pacote
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# habilitando a rede local p/acessar paginas da web ida e volta com protocolo tcp
#iptables -A FORWARD -i eth1 -o eth0 -s 10.0.0.0/8 -p tcp --dport 80 -j ACCEPT
#iptables -A FORWARD -i eth0 -o eth1 -d 10.0.0.0/8 -p tcp --sport 80 -j ACCEPT
# habilitando multiplas portas para internet
iptables -A FORWARD -i eth1 -o eth0 -s 10.0.0.0/8 -p tcp -m multiport --dport 25,110,143,443,1863 -j ACCEPT
#iptables -A FORWARD -i eth0 -o eth1 -d 10.0.0.0/8 -p tcp -m multiport --sport 25,110,143,443,1863 -j ACCEPT
# habilitando a rede local p/acessar paginas da web ida e volta com protocolo udp
iptables -A FORWARD -i eth1 -o eth0 -s 10.0.0.0/8 -p udp --dport 53 -j ACCEPT
#iptables -A FORWARD -i eth0 -o eth1 -d 10.0.0.0/8 -p udp --sport 53 -j ACCEPT
# gerando logs
iptables -A FORWARD -i eth1 -o eth0 -m limit --limit 1/m -j LOG
#regras para vpn
#iptables -A FORWARD -p udp --dport 500 -j ACCEPT
#iptables -A FORWARD -p 50 -j ACCEPT
#iptables -A FORWARD -p 51 -j ACCEPT
#liberando a porta na input e output para o serviço proxy
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m multiport --sport 80,21,443,110,25 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
#redirecinando para proxy transparente
#iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p tcp --dport 80 -j REDIRECT --to-port 3128
#regras para vpn
#iptables -A INPUT -p udp --dport 500 -j ACCEPT
#iptables -A INPUT -p 50 -j ACCEPT
#iptables -A INPUT -p 51 -j ACCEPT

acho mais facil vc mostrar em qual regra q ta dando erro, olhar o fw inteiro assim as vezes passa o detalhe q ta errado despercebido

o erro que da é este na hora que eu tento startar o firewall

iptables v1.2.9:bad state
try iptables -h


se mostra-se em que linha estava o erro com certeza ficaria mais facil. obrigado

issu jah serve, comenta soh essas linhas e tenta iniciar o fw

iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Cara, de onde vc tirou isso?
Testei seu código sai dando erro de Bad Policy Name

Código :

---

 iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F

---

Tenta mudar para:

Código :

---

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t nat

---

Não sei se esta certo pois estou iniciando, ,sei que lá no curso o instrutor passou esta politicas, desta tabela, mais vou fazer o que vc mandou., obrigado, mais lembrando que esta arq. eu copiei e mandei para o meu email, dela cdo curso, e lá esta funcionando muito bem no fedora, apesar de eu ester aberto ele aqui no bloco de notas do ruidows, será que ate nisto o winsdows atrapalha!!?? RSRSRSRS, Obrigado

eu fiz a alteração, que vc pediu e comentei a linha que vc questionou e adcionei a que vc sujeriu, mais ainda esta dando o mesmo erro, arrespeito daquela linha que vc idagou, serve para limpar todas a chais!! é o que foi explicado, obrigado meu rei!! mais ainda esta osso!! :toim:

vc copiou o arquivo no bloco de notas e agora ta tentando executar as regras a partir desse arquivo, eh isso?

jah tive problemas com isso, o fim de linha no win eh diferente do linux, roda o dos2unix nesse arquivo e tenta executar denovo

Iceman , fiz aquele comentario naquelas linhas, que vc mandou, q. era sobre a liberação do pacote pelo seu estado, so que agora eu caiu no outro problema, aquele que eu tinha falado, logo no inicil, que quando eu faço alguns comentario em alguma linha, o firewall não da o erro de Bad State, mais Tambem , não diz se esta esta startado ou funcionando, ou se esta parado, eu starto ele, e vou ver o status dele e não tenho resposta. é como se eu execulta-se nada. :help:

roda o dos2unix no arquivo do firewall, ele nao deve ta reconhecendo o fim de linha

nao se funfa, mas tenta ai isso tb

cat firewal.txt > firewall_novo.txt
e tenta executar o novo

:( , eu dei um rm no aquivo myfireall que eu tinha feito pensando que a copia que eu fiz da forma que vc falou iria da r certo, mais é errando que se aprende, a copia que eu fiz, agora não executa, ela fica em branco e os restante dos arq. do init.d ficam verdes, e agora me da a mensagem de pemissão negada , mesmo eu estando logado como root, e eu executei o dos2unix. descupa o transtorno!! :oops: :roll: ;)

pro arquivo ficar como executavel vc tem q fazer chmod +x arquivo
ou entaum executar ele como sh arquivo

eu dei o comando chmod 770, para dar pemissão, ao arq. mais agora continua com aquele problema, eu executo e não me fala nada, não fala se falhou ou se está OK , eu dou um Status, e não me fala nada mesmo :toim: vc tem algum arq. para que possa fazer um deste?? ME MANDA pelo email [email protected]

obrigado, professor!! :D

regra de iptables soh vai "falar" alguma coisa se estiver errado, se estiver certo eh assim mesmo, não mostra nada

pra ver se as regras estão ativas eh soh rodar
iptables -L

mais quando vc dar o comando
#./firewall restart ou stop ou status ele não deveria dar uma resposta tipo assim (oK) ou fw parado ??? Ou algo assim, pois no fedora dava, no conectina eu já não sei??
obrigado 8)

Ola, me desculpem! mas sou argentino e nao falo portugues muito bem ainda...

Tentou olhar a configuracao do kernel?, em algumas distribucoes, é precisso fazer duas coisas antes de usar iptables

1 - Apagar todas as regras que tenham a ver com ipchains (forma antiga de construir firewalls)
2 - Configurar o kernel para que aceite iptables.

no Fedora, o kernel já vem configurado com essa característica,.Tal vez no Conectiva nao.

qual é a solucao?, nesse caso, nao tem outra chance, tem que configurar e recompilar o kernel.

Desculpas! naum tenho a cedilha nem o til no meu teclado, e desculpas pelo meu portugues ruim!

Os OKs ou FAILED são dos scripts de inicializacao dos servicos, tipo eu criei um script aki assim:

Código :

---

. /etc/sysconfig/rc
. $rc_functions
 
case "$1" in
        start)
                /usr/sbin/firewall start
                echo_ok
                ;;
 
        stop)
                /usr/sbin/firewall stop
                echo_ok
                ;;
 
        restart)
                $0 stop
                sleep 1
                $0 start
                ;;
 
        status)
                /usr/bin/iptables -L -nv        
                ;;
 
        *)
                echo "Usage: $0 {start|stop|restart|status}"
                exit 1
                ;;
esac

---

mas atencao, issu eh pra minha distro, na sua pode ser um pouco diferente...