como liberar acesso a porta 80 do firewall??

dB · 19-11-2004, 18:51

Caros nao estou conseguindo navegar, estou no propria maquina firewall...

Minha regra ta a seguinte, ja tentei de quase td...:

Código :

#!/bin/bash
#insmod ip_conntrack_ftp
#insmod ip_nat_ftp
 
# Limpa tabela
iptables -F
 
# Fecha tudo
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
# Proteção contra ping suspeito
iptables -A FORWARD -m unclean -j DROP
 
# Contra ping
iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
 
# Contra ping of death
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
 
# Contra syn-floods
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
 
# Contra port scanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 1/s -j ACCEPT
 
# Mascaramento
iptables -t nat -A POSTROUTING -o eth+ -p tcp --dport 80 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
 
# Liberando portas
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p udp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

O que esta errado??

karfax · 20-11-2004, 02:28

A ordem.
Coloque as regras de mascaramento por último no script.

Sds,

dB · 20-11-2004, 09:36

Postado originalmente por karfax

A ordem.
Coloque as regras de mascaramento por último no script.

Sds,

Ainda assim nao consigo navegar da maquina firewall, as estações estao OK, é a maquina firewall q nao navega...

Caro me explica uma coisa, no q esta regra de mascaramento implica na ordem??

Grato

**bauer** · 20-11-2004, 10:03

Ola....

Deixe a política OUTPUT como:

iptables -P OUTPUT ACCEPT

que são os pacotes partindo do seu pc firewall

t+

dB · 20-11-2004, 10:08

Postado originalmente por bauer

Ola....

Deixe a política OUTPUT como:

iptables -P OUTPUT ACCEPT

que são os pacotes partindo do seu pc firewall

t+

caro nao tem outra forma de liberar só a porta?

dB · 20-11-2004, 10:12

Postado originalmente por dB

Postado originalmente por bauer

Ola....

Deixe a política OUTPUT como:

iptables -P OUTPUT ACCEPT

que são os pacotes partindo do seu pc firewall

t+

caro nao tem outra forma de liberar só a porta?

Ah, acabei de tentar como vc havia escrito mas não navegou, só funciona INPUT ACCEPT e OUTPUT ACCEPT, mas eu gostaria de liberar somente as portas q eu usarei...

Grato

bouncer · 20-11-2004, 10:19

coloca essa regra aqui no seu firewall

#Liberando HTTP
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT

**bauer** · 20-11-2004, 10:21

Ola

Deixe a politica OUTPUT como ACCEPT... e inclua nas suas politicas de INPUT a seguinte linha:

iptables -A INPUT -i lo -j ACCEPT

t+

**bauer** · 20-11-2004, 10:26

Postado originalmente por bouncer

coloca essa regra aqui no seu firewall

#Liberando HTTP
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT

Com esta regra vai liberar a porta acesso na porta 80 do seu server....

faça:

iptables -A INPUT -i lo -j ACCEPT

vai liberar o INPUT para o loopback apenas e vai resolver o seu problema... naum comprometendo seu firewall... o OUTPUT o padrão geralmente utilizado é o ACCEPT mesmo...

dB · 20-11-2004, 11:53

Caros fiz o seguinte e deu certo...

Código :

# Fecha tudo
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
# Aceita os pacotes que realmente devem entrar
iptables -A INPUT -i ! eth0 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

Obrigado pelas dicas...

dB · 20-11-2004, 12:18

Tenho mais uma dúvida, como faço pra bloquear sites tanto partindo do firewall como passando por ele, por exemplo...

http://www.qualquercoisa.com.br/sei-...isa/index.html
www.site.com.br

Grato

20-11-2004, 13:12

Tem que usar um Proxy, pois o Firewall não "olha" os dados do pacote.

O pessoal usa Bastante o Squid, que nada mais é do que um Firewall de Aplicação.

Funciona Mto Bem.

silmar · 22-11-2004, 09:21

proxy transparente mais sarg ...

aee sim você consegue ver o que a turma acessa e bloquear

dB · 22-11-2004, 19:28

ah, sim sobre o squid eu ja uso, e sei q é mais eficiente, mas eu gostaria de saber se tem como bloquear sites pelo firewall acessados apartir da maquina firewall...

grato...

**xstefanox** · 22-11-2004, 20:24

Assim:

Código :

# iptables -A FORWARD -d [url]www.uol.com.br[/url] -j DROP
# iptables -A OUTPUT -d [url]www.uol.com.br[/url] -j DROP

Resolve teu problema. A linha de cima bloqueia para os usuários das estações e a linha debaixo para a máquina servidor, mas definitivamente filtrar isso pelo Squid é melhor...

Abraços!

dB · 23-11-2004, 18:58

Postado originalmente por xstefanox

Assim:

Código :

# iptables -A FORWARD -d [url]www.uol.com.br[/url] -j DROP
# iptables -A OUTPUT -d [url]www.uol.com.br[/url] -j DROP

Resolve teu problema. A linha de cima bloqueia para os usuários das estações e a linha debaixo para a máquina servidor, mas definitivamente filtrar isso pelo Squid é melhor...

Abraços!

Quanto ao squid com certeza é melhor... Obrigado....

dB · 23-11-2004, 19:00

Ah, mais uma duvida, e subpaginas tais com www.uol.com.br/sexo por exemplo

**Fernando** · 23-11-2004, 19:23

Pra subpaginas usa proxy. (squid)

Quanto a ordem das regras que voce perguntou, se voce bloqueia tudo, e embaixo poem uma regra pra liberar, a que vai valer é a de cima, e ficara tudo bloqueado, portanto se voce quiser liberar alguma coisa, ponha a regra no topo do script.

**LinuxKids** · 24-11-2004, 01:08

Caro colega coloque as regras de acesso, e o nat primeiro, e depois vc fecha o que você não quer, sacou, ou seja verifique a ordem da sua regra.

Postado originalmente por dB

Caros nao estou conseguindo navegar, estou no propria maquina firewall...

Minha regra ta a seguinte, ja tentei de quase td...:

Código :

#!/bin/bash
#insmod ip_conntrack_ftp
#insmod ip_nat_ftp
 
# Limpa tabela
iptables -F
 
# Fecha tudo
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
# Proteção contra ping suspeito
iptables -A FORWARD -m unclean -j DROP
 
# Contra ping
iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
 
# Contra ping of death
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
 
# Contra syn-floods
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
 
# Contra port scanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 1/s -j ACCEPT
 
# Mascaramento
iptables -t nat -A POSTROUTING -o eth+ -p tcp --dport 80 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
 
# Liberando portas
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p udp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

O que esta errado??

como liberar acesso a porta 80 do firewall??

Ferramentas de Tópicos