IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS

Eu coloquei no meu script o padrao do FORWARD em DROP, para tentar bloquear tudo e liberar apenas o nescessario. entao eu coloco regras para ACCEPT na 110 na 25 e na 80, nao funciona de jeito nenhum, fica tudo bloqueado. vou mostrar meu script. OBS: nao adianta colocar aqueles tutoriais de bloquear p2p daki da under nem da linuxit que nenhum deles funcionam.

#!/bin/sh

iptables -F
iptables -t nat -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

#REGRAS PADRAO

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT

#iptables -A FORWARD -p tcp --dport 1214 -j DROP
#iptables -A FORWARD -p TCP --dport 1300:3500 -j DROP
#iptables -A FORWARD -s 0/0 -d 0/0 -j DROP


Nao sei pq esta assim me ajudem! <IMG SRC="images/forum/icons/icon27.gif">

[ReiserFS]

tava logoff eu que postei.

[Kernel_Panic]

Assim não adianta vc não faz regras de NAT ? ? ?

Cade suas regras de NAT

[ReiserFS]

As regras de NAT estavam OK

o prob eh no FOWARD MESMO

iptables -t nat -A POSTROUTING -s 192.168.82.0/26 -j MASQUERADE

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -j MASQUERADE

eu fiz uma solução usando redirecionamento de portas com o prerouting e o postrouting, funcionou mais eu quero saber como faz colocando o DROP em padrao no FOWARD e ir abilitando as que eu quero.

[ghenri]

Coloque esta regra no final. É para as requisições feitas da sua rede interna possam voltar...

/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Espero ter ajudado.
[]´s,
Gustavo

[ReiserFS]

/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


essa regra funciona, mas fica tudo aberto ainda hehehe do tipo:
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


Eu queria que somente 110, 53 e 80 pudessem passar. mas tudo passa ainda. <IMG SRC="images/forum/icons/icon27.gif">

help me!

[Fernando]

-j DROP

[ReiserFS]

coloco nessa regra do mstat o DROP?

[ReiserFS]

ME ajudem plis!!!

Segue anexo todo meu rc.firewall

------------------------
#!/bin/sh

# Limpando as tabelas do iptables

iptables -F
iptables -t nat -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

echo "1" > /proc/sys/net/ipv4/ip_forward
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr

#REGRAS PADRAO

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# Regras TCP liberando portas para loopback

iptables -A INPUT -p tcp -s 127.0.0.1/255.0.0.0 -d 0/0 -j ACCEPT

# Regras TCP/UDP liberando portas para rede local 192.168.
#TCP
iptables -A INPUT -p tcp -s 192.168.82.0/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.82.64/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.82.128/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.82.192/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.79.0/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.79.64/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/30 -d 0/0 -j ACCEPT
#UDP
iptables -A INPUT -p udp -s 192.168.82.0/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.82.64/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.82.128/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.82.192/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.79.0/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.79.64/26 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.0.0/30 -d 0/0 -j ACCEPT

# Regras TCP/UDP liberando portas para rede 200.199.140.184/29

#TCP
iptables -A INPUT -p tcp -s 200.199.95.0/24 -d 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 200.199.88.0/24 -d 0/0 --dport 22 -j ACCEPT

# Regras TCP/UDP bloqueando portas

iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 22 -j DROP
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 515 -j DROP
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 6000 -j DROP
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 3306 -j DROP
#iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 80 -j DROP
#iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 25 -j DROP
#iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 110 -j DROP
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 139 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 22 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 53 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 953 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 5454 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 515 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 6000 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 3306 -j DROP
#iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 80 -j DROP
#iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 25 -j DROP
#iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 110 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 137 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 138 -j DROP
iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 161 -j DROP
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 143 -j DROP
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 993 -j DROP

#CONTROLE
#iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
#iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#PROTECAO
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -s 10.0.0.0/8 -i eth2 -j DROP
iptables -A INPUT -s 172.16.0.0/16 -i eth2 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -i eth2 -j DROP


#NAT

iptables -A POSTROUTING -t nat -s 192.168.80.0/24 -o eth2 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.0.0/30 -o eth2 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.82.0/26 -o eth2 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.82.64/26 -o eth2 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.82.128/26 -o eth2 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.82.192/26 -o eth2 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.79.0/26 -o eth2 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 192.168.79.64/26 -o eth2 -j MASQUERADE

# SNAT

iptables -t nat -A PREROUTING -p tcp -d 192.168.82.1 --dport 110 -j DNAT --to 200.185.109.50
iptables -t nat -A POSTROUTING -p tcp -s 200.185.109.50 --sport 110 -j SNAT --to 192.168.82.1
iptables -t nat -A PREROUTING -p tcp -d 192.168.82.2 --dport 110 -j DNAT --to 200.221.4.75
iptables -t nat -A POSTROUTING -p tcp -s 200.221.4.75 --sport 110 -j SNAT --to 192.168.82.1
iptables -t nat -A PREROUTING -p tcp -d 192.168.82.2 --dport 25 -j DNAT --to 200.221.4.40
iptables -t nat -A POSTROUTING -p tcp -s 200.221.4.40 --sport 25 -j SNAT --to 192.168.82.1
--to 192.168.82.4

echo "++++++++++++++++++++++++++++++++"
echo "+ FIREWALL CONFIGURADO +"
echo "++++++++++++++++++++++++++++++++"


Colocando o padrao do FOWARD em DROP nada passa, colocando aquela regra:
"iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT"
tudo passa :/ eu queria que só passe pela rede 110 25 e 53. <IMG SRC="images/forum/icons/icon27.gif">


alguem ai ja conseguiu fazer isso???

[Fernando]

Apague a regra que deixa tudo passar e faca assim:

iptables -A FORWARD -p tcp -s sua_rede --dport porta -j ACCEPT

por exemplo:

iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 80 -j ACCEPT

[Danilo_Montagna]

ReiserFS

nao sei se vc percebeu.. mais essa regra aqui de protecao..

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

isso deixa qualquer porta sobre o protocolo tcp seja aceita.. porem a unica coisa que ela ira fazer é limitar as aberturas de conexao em 1 vez por segundo..

tire essa regra que o resto ira funcionar como vc quer..

vc tem que saber como usar essas protecoes.. no seu script essa regra vai atrapalhar.. pois ele nao limita portas.. apenas aberturas de conexoes..

[ReiserFS]

humm beleza vou tentar mas creio que nao vai pegar pq ja testei tirando essas protecoes ai. e colocando o que o psy falou, tipo antes estava assim com voce falou e tabem nao pegava, mas vou tentar

tipo mudar dakilo que voce falou psy para como esta agora
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
acho q nao muda muito mas vou tentar
vlw ai

[ReiserFS]

pow nao rolou ainda,eu tentei algo diferente mas tb nao rolou saca isso:

colokei pra logar o foward e ver oq ta acontecendo:

iptables -A FORWARD -j LOG --log-prefix "FORWARD PACKETS:"

depois criei umas regras assim:
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT

bom depois vi que eu tinha que liberar portas do src para comunicacao
iptables -A FORWARD -p tcp --sport 1:9999 -j ACCEPT

depois fechei o resto:
iptables -A FORWARD -p tcp --dport 1:24 -j DROP
iptables -A FORWARD -p tcp --dport 26:52 -j DROP
iptables -A FORWARD -p tcp --dport 54:109 -j DROP
iptables -A FORWARD -p tcp --dport 111:9999 -j DROP

o padrao do FORWARD em drop. iptables -P FORWARD DROP

bom ai eu fui testar em um pc cliente

WEB - Usa proxy do server OK
EMAIL - Usa SMTP do SERVER e o POP e um ip do server redirecionado para o pop na net OK
DNS - Nao resolve nome, mas nao tem pro pq o squid resolve.
MSN - KAZAA - Infelizmente essas bostas funcionaram.

colocando o FORWARD com padrao em ACCEPT o DNS funciona. mas nao vem em conta.

bom e no log mostra com ha conexoes nas portas que eu bloquiei! look:

May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth0 OUT=eth2 SRC=192.168.82.18 DST=64.247.112.101 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=8062 DF PROTO=TCP SPT=1439 DPT=1972 WINDOW=17520 RES=0x00 ACK FIN URGP=0
May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth2 OUT=eth0 SRC=64.247.112.101 DST=192.168.82.18 LEN=1500 TOS=0x00 PREC=0x00 TTL=105 ID=11857 DF PROTO=TCP SPT=1972 DPT=1439 WINDOW=17110 RES=0x00 ACK URGP=0
May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth0 OUT=eth2 SRC=192.168.82.18 DST=64.247.112.101 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=8063 DF PROTO=TCP SPT=1439 DPT=1972 WINDOW=17520 RES=0x00 ACK URGP=0
May 27 19:07:15 fw kernel: FORWARD PACKETS:IN=eth2 OUT=eth0 SRC=64.247.112.101 DST=192.168.82.18 LEN=1500 TOS=0x00 PREC=0x00 TTL=105 ID=11859 DF PROTO=TCP SPT=1972 DPT=1439 WINDOW=17110 RES=0x00 ACK URGP=0


algo assim. nao aguento mais alguem me de uma luz de como bloquear esse kazaa lite filho de uma vaca!!!

[Speed]

ReiserFS,

Desculpa, mas na sua primeira pergunta vc falou q ñ adinta passar aqueles tutoriais para bloquear p2p. Deixa eu apenas lhe perguntar, vc já tentou essas regras para o Kaazar e o MSN:

Bloquear KaZaA:
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT

Bloquear MSN Messenger:
iptables -A FORWARD -p TCP --dport 1863 -j REJECT
iptables -A FORWARD -d 64.4.13.0/24 -j REJECT

Espero ter ajudado!!!! <IMG SRC="images/forum/icons/icon_smile.gif">

[Danilo_Montagna]

cara.. eu aidna acho que tem alguam coisa de errado em alguma regra que vc ta fazendo..

eu nao aconselho a usar regras de SRC no forward... utilize-se de regras de stado de conexao.. sao bem mais seguras..

outra coisa... nao existe a necessidade de se DROPAR alguma coisa em uma politica padrao que o default já e DROP.. eu acho que ae esta o seu erro..

deve estar havendo inconsistencia de regras...

eu tenho um client que usa um esquema parecido com esse que vc quer manter.. e te garanto que nao passsa nada de P2P.. porem.. meu sistema de firewall usa conceitos diferentes...

[ReiserFS]

pow manda ae tuas config do teu firewall pro meu e-mail. ou posta ai! [email protected]

plis!

[ReiserFS]

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-05-27 19:29, Speed wrote:
ReiserFS,

Desculpa, mas na sua primeira pergunta vc falou q ñ adinta passar aqueles tutoriais para bloquear p2p. Deixa eu apenas lhe perguntar, vc já tentou essas regras para o Kaazar e o MSN:

Bloquear KaZaA:
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT

Bloquear MSN Messenger:
iptables -A FORWARD -p TCP --dport 1863 -j REJECT
iptables -A FORWARD -d 64.4.13.0/24 -j REJECT

Espero ter ajudado!!!! <IMG SRC="images/forum/icons/icon_smile.gif">
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

ja cara mas kazaa lite nao rola com essa regra <IMG SRC="images/forum/icons/icon27.gif">