+ Responder ao Tópico



  1. #1

    Padrão IPTABLES

    Eai galerinha experta!!
    Como estamos hoje, ow o negócio é o seguinte. Tenho um server linux que é proxy e Firewall, só que do linux eu pingo tipo www.uol.com.br e ele responde, mas quando vou em uma extação ruindows ela chega a transformar o endereço www.uol.com.br [200.221.2.45]......
    Mas dá tempo limite esgotado.
    Acho que deve ser alguma regra do iptables o que vc`s me dizem disso, ah minha configuração do iptables é a default do RH 9.0.

    Grato!
    SPECTRUM
    _____________________________________________________________
    Ninguém é tão grande que não possa aprender e nem tão pequeno que não possa ensinar!!! :?:

  2. #2

    Padrão IPTABLES

    Posta as regras que facilita par te auxiliar :!: :wink:

  3. #3

    Padrão respondendo

    no outlook da o seguinte erro:

    Não foi possível conectar-se ao servidor. Conta: 'pop3.uol.com.br', Servidor: 'pop3.uol.com.br', Protocolo: POP3, Porta: 110, Segura (SSL): Não, Erro de soquete: 10060, Nº do erro: 0x800CCC0E

    no ping pop3.uol.com.br da:


    Disparando contra pop3.uol.com.br [200.221.4.19] com 32 bytes de dados:

    Esgotado o tempo limite do pedido.
    Esgotado o tempo limite do pedido.
    Esgotado o tempo limite do pedido.
    Esgotado o tempo limite do pedido.

    Estatísticas do Ping para 200.221.4.19:
    Pacotes: Enviados = 4, Recebidos = 0, Perdidos = 4 (100% de perda),
    Tempos aproximados de ida e volta em milissegundos:
    Mínimo = 0ms, Máximo = 0ms, Média = 0ms

    as regras são:

    Chain INPUT (policy ACCEPT)
    target prot opt source destination

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination

    está nulo.... vou ter de começar do zero!!

    Mesmo parando o iptables naum consegui pingar continua os mesmos dados de cimaa no ping

  4. #4

    Padrão IPTABLES

    Calma, dá uma olhada nas configurações dessa máquina Windows e veja se ela consegue ao menos navegar. Pode ser que você não está conseguindo puxar e-mails dos clientes Windows pelo fato de você não estar com uma regra de NAT erguia.


    Abraços!

  5. #5
    marceloedrei
    Visitante

    Padrão IPTABLES

    Voce ja habilitou o ip_forward???

    echo "1" > /proc/sys/net/ipv4/ip_forward

  6. #6

    Padrão desculpem

    Quanto a navegação está OK!
    estou navegando por ela!
    As regras são as seguintes errei no postar!
    Chain INPUT (policy DROP)
    target prot opt source destination
    ACCEPT all -- anywhere anywhere
    ACCEPT tcp -- anywhere anywhere tcp flags:ACK/ACK
    ACCEPT all -- anywhere anywhere state ESTABLISHED
    ACCEPT all -- anywhere anywhere state RELATED
    ACCEPT udp -- anywhere anywhere udp spt:domain dpts:1024:65535
    ACCEPT icmp -- anywhere anywhere icmp echo-reply
    ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
    ACCEPT icmp -- anywhere anywhere icmp source-quench
    ACCEPT icmp -- anywhere anywhere icmp time-exceeded
    ACCEPT icmp -- anywhere anywhere icmp parameter-problem
    ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
    ACCEPT tcp -- anywhere anywhere tcp dpt: 00000
    ACCEPT udp -- anywhere anywhere udp dpt:domain
    ACCEPT tcp -- anywhere anywhere tcp dpt:domain
    ACCEPT udp -- anywhere anywhere udp dpt:isakmp
    ACCEPT tcp -- anywhere anywhere tcp dpt:re-mail-ck
    ACCEPT tcp -- anywhere anywhere tcp dpt:00

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination

    E QUANTO AO IP_FORWARD JÁ ESTÁ HABILITADO!

  7. #7

    Padrão IPTABLES

    Digite os comandos abaixo

    iptables -F
    Apaga todas as regras sem alterar a política

    iptables -P FORWARD ACCEPT
    Estabelece uma política de proibição inicial de passagem de pacotes entre sub-redes.

    Isso abre seu Firewall depois crie as regras de bloquio desejadas

  8. #8

    Padrão mas eu não vou perder as minhas regras?

    QUANDO eu fizer isso não perderei minhas regras????


    Citação Postado originalmente por maurogbs
    Digite os comandos abaixo

    iptables -F
    Apaga todas as regras sem alterar a política

    iptables -P FORWARD ACCEPT
    Estabelece uma política de proibição inicial de passagem de pacotes entre sub-redes.

    Isso abre seu Firewall depois crie as regras de bloquio desejadas

  9. #9

    Padrão IPTABLES

    Sim, isso limpara suas regras.
    Mas como disse o maurogbs, faça isso apenas para teste. Se funfar, coloque as regras de bloqueio na mão. :twisted:
    [/b]

  10. #10

    Padrão fazer um backup

    Como faço o backup desse arquivo??? que contem minhas regras?

    Citação Postado originalmente por Lituano
    Sim, isso limpara suas regras.
    Mas como disse o maurogbs, faça isso apenas para teste. Se funfar, coloque as regras de bloqueio na mão. :twisted:
    [/b]

  11. #11
    guardian_metal
    Visitante

    Padrão IPTABLES

    Pra salvar:

    #iptables-save > nomedoarquivo

    Pra restaurar:

    #iptables-restore < nomedoarquivo

  12. #12

    Padrão olha so

    fiz essa bagaça aqui é naum funfou continuou a mesma coisa:

    Citação Postado originalmente por maurogbs
    Digite os comandos abaixo

    iptables -F
    Apaga todas as regras sem alterar a política

    iptables -P FORWARD ACCEPT
    Estabelece uma política de proibição inicial de passagem de pacotes entre sub-redes.

    Isso abre seu Firewall depois crie as regras de bloquio desejadas
    Minhas regras são ::
    Chain INPUT (policy DROP)
    target prot opt source destination
    ACCEPT all -- anywhere anywhere
    ACCEPT tcp -- anywhere anywhere tcp flags:ACK/ACK
    ACCEPT all -- anywhere anywhere state ESTABLISHED
    ACCEPT all -- anywhere anywhere state RELATED
    ACCEPT udp -- anywhere anywhere udp spt:domain dpts:1024:65535
    ACCEPT icmp -- anywhere anywhere icmp echo-reply
    ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
    ACCEPT icmp -- anywhere anywhere icmp source-quench
    ACCEPT icmp -- anywhere anywhere icmp time-exceeded
    ACCEPT icmp -- anywhere anywhere icmp parameter-problem
    ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
    ACCEPT tcp -- anywhere anywhere tcp dpt: 00000
    ACCEPT udp -- anywhere anywhere udp dpt:domain
    ACCEPT tcp -- anywhere anywhere tcp dpt:domain
    ACCEPT udp -- anywhere anywhere udp dpt:isakmp
    ACCEPT tcp -- anywhere anywhere tcp dpt:re-mail-ck
    ACCEPT tcp -- anywhere anywhere tcp dpt:00

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination



    Tem algo errado??

    no windows com dns e gatway apontados para essa maquina dá o seguinte:

    Disparando contra www.uol.com.br [200.221.2.45] com 32 bytes de dados:

    Esgotado o tempo limite do pedido.
    Esgotado o tempo limite do pedido.
    Esgotado o tempo limite do pedido.
    Esgotado o tempo limite do pedido.

    Estatísticas do Ping para 200.221.2.45:
    Pacotes: Enviados = 4, Recebidos = 0, Perdidos = 4 (100% de perda),
    Tempos aproximados de ida e volta em milissegundos:
    Mínimo = 0ms, Máximo = 0ms, Média = 0ms

  13. #13

    Padrão stive pensando

    pode ser alguma conf da minha eth1 que faz a rede interna???

  14. #14

    Padrão IPTABLES

    Para zerar o firewal totalmente, liberando as CHAINS INPUT, FORWARD e ACCEPT:

    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT


    Limpando as regras existentes:

    iptables -F

    echo "1" > /proc/sys/net/ipv4/ip_forward

    iptables -t nat -A POSTROUTING -s <ip_da_sua_rede/mascara> -o <placa_ethernet_da_internet> -j MASQUERADE


    Configura o DNS nas estações e manda bronca :!:

    Com isso, foram limpas todas as regras e as Chains todas setadas para o padrão de aceitar todos os pacotes, assim não havendo nenhum bloqueio, apenas para você certificar que todas as estações estão acesando sem problemas. A partir dai, você vai configurando as suas regras manualmente. Espero que lhe ajude, cara.

    []´s

  15. #15
    pflamellas
    Visitante

    Padrão IPTABLES

    Kra, coloca essas regras que se e-mail vai funfar.... e as máqiuinas vão pingar para fora......
    ######
    iptables -A INPUT -p udp -s 200.xxx.xxx.xxx --sport 53 -d $WAN -j ACCEPT
    iptables -A INPUT -p udp -s 200.xxx.xxx.xxx --sport 53 -d $WAN -j ACCEPT
    iptables -A FORWARD -p udp -s 200.xxx.xxx.xxx -d $LAN --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp -s 200.xxx.xxx.xxx -d $LAN --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp -s $LAN -d 200.xxx.xxx.xxx --sport 53 -j ACCEPT
    iptables -A FORWARD -p udp -s $LAN -d 200.xxx.xxx.xxx --sport 53 -j ACCEPT
    iptables -A FORWARD -p tcp -s $LAN --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
    iptables -A FORWARD -p tcp -s $LAN --dport 110 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type echo-reply -s 0/0 -i $WAN -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 -i $WAN -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type time-exceeded -s 0/0 -i $WAN -j ACCEPT
    iptables -A OUTPUT -p icmp -o $WAN -j ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p icmp -j MASQUERADE
    ######
    espero que te ajude....
    $LAN -> ip da rede interna
    $WAN -> eth na internete
    200.xxx.xxx.xxx -> endereço do DNS do ISP
    um abraço
    Paulo Fernando Lamellas