+ Responder ao Tópico



  1. #1
    W@rl0ck
    Visitante

    Padrão Problemas com o iptables

    Eu tenho uma maquina que tem o speed (ip fixo) com proxy (squid) o problema é que tem um servidor web tambem, na rede interna funfa tudo blz mas quando eu tento acessar a rede externa nao funfa nada, eu nem sei mais o que fazer
    preciso de ajuda

  2. #2
    gmlinux
    Visitante

    Padrão Re: Problemas com o iptables

    Citação Postado originalmente por W@rl0ck
    Eu tenho uma maquina que tem o speed (ip fixo) com proxy (squid) o problema é que tem um servidor web tambem, na rede interna funfa tudo blz mas quando eu tento acessar a rede externa nao funfa nada, eu nem sei mais o que fazer
    preciso de ajuda
    Não entendi direito: "...o problema é que tem um servidor web tambem,.." significaria um servidor web dentro da sua rede? ou seria um rodando nesta máquina que recebe o ip fixo?

    O que significa isto: "...na rede interna funfa tudo blz mas quando eu tento acessar a rede externa nao funfa nada..." muito vago sobre o que é "tudo"...

  3. #3
    W@rl0ck
    Visitante

    Padrão Problemas com o iptables

    é ele esta na maquina q recebe o ip real (speed)

    ela tem duas placas de rede uma 192.168.2.xx (rede interna) e a outra 200.171.3.xx na outra (speed) da rede interna eu acesso o apache mas da rede externa(de outro local qq) eu nao consigo
    vc sabe o q poderia ser ?

  4. #4
    mmarinho
    Visitante

    Padrão Regras

    Quais as suas regras atuais ?

    Voce tem alguma regra de INPUT que permita www a partir da placa Externa?

    Precisamos de mais informações , ok ?

    :good:

  5. #5
    W@rl0ck
    Visitante

    Padrão Problemas com o iptables

    olha o meu iptables


    Código :
    IPTABLES="/sbin/iptables"
    INTERNAL_INTERFACE="eth1"
    EXTERNAL_INTERFACE_1="eth0"
    EXTERNAL_INTERFACE_2="eth1"
    LAN="192.168.2.1/24"
     
    echo "1" > /proc/sys/net/ipv4/ip_forward
     
    # -=- [ Carrega o Modulos ] -=-
     
    modprobe ip_tables
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    modprobe iptable_nat
    modprobe iptable_filter
    modprobe ip_conntrack
    modprobe ipt_LOG
    modprobe ipt_state
    modprobe ipt_MASQUERADE
     
    # -=- [ Apaga todas as resgras do Firewall ] -=-
    $IPTABLES -F
    $IPTABLES -Z
    $IPTABLES -X
    $IPTABLES -t nat -F
    $IPTABLES -t nat -X
    $IPTABLES -t mangle -F
    $IPTABLES -t mangle -X
     
    # -=- [ Regras Gerais do Firewall ] -=-
    echo "Regras Gerais o Firewall"
    $IPTABLES -P INPUT DROP
    $IPTABLES -P OUTPUT ACCEPT
    $IPTABLES -P FORWARD DROP
    $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A INPUT -m state --state NEW -i $INTERNAL_INTERFACE -j ACCEPT
    $IPTABLES -A INPUT -i $EXTERNAL_INTERFACE_1 -s 0/0 -p tcp --dport 2000 -j ACCEPT
    $IPTABLES -t nat -A POSTROUTING -o $EXTERNAL_INTERFACE_1 -s 192.168.2.1/24 -j MASQUERADE   
    $IPTABLES -A INPUT -i $EXTERNAL_INTERFACE_1 -s 0/0 -p tcp --dport 21 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.1/24 --dport 25 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.1/24 --dport 110 -j ACCEPT
     
     
    #Jogo de xadres sussel
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.19 --dport 5000 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.20 --dport 5000 -j ACCEPT
    #skype rose e do cezar
    echo "Portas para o Skype do Cezar e da Rose"
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.43 --dport 56188 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.40 --dport 28196 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -s 192.168.2.40 --dport 28196 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.27 --dport 28196 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -s 192.168.2.27 --dport 28196 -j ACCEPT
     
    echo "Portas para acesso ao banco de dados na fema"
    #para o leonardo eo sussel  acessar o banco de dados lá na fema
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.19 --dport 5432 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.21 --dport 5432 -j ACCEPT
     
    echo "Portas para o ftp"
    #libera porta do ftp
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.21  --dport 21 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.63  --dport 21 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.19  --dport 21 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.43  --dport 21 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.37  --dport 21 -j ACCEPT
     
     
    #Portas do fabio
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.47  --dport 21 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.47  --dport 26013 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.47  --dport 32656 -j ACCEPT
     
     
    #libera net local
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.18  --dport 27 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.19  --dport 27 -j ACCEPT
     
     
    #$IPTABLES -A INPUT -i eth0 -s 0/0 -p tcp --dport 22 -j ACCEPT
     
    $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    $IPTABLES -t mangle -A INPUT -p tcp --dport 22 -j TOS --set-to Minimize-Delay
     
    #libera porta do ssh
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.19 --dport 1080 -j ACCEPT 
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.19 --dport 22 -j ACCEPT 
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.21 --dport 22 -j ACCEPT 
    $IPTABLES -A FORWARD -p tcp -s 192.168.2.47  --dport 22 -j ACCEPT
     
     
     
    echo "FIREWALL CONFIGURADO COM SUCESSO" 
    echo "DUVIDAS FALAR COM RAFAEL SUSSEL DECLEVA"
    echo "email:[email protected]"

    valeu me ajudem ai

  6. #6
    whinston
    Visitante

    Padrão redirecionamento

    acho que vc ta redirecionando todo tráfego na 80 pro proxy transparente. isto este errado!

    vc deve redirecionar apenas o tráfego vindo da rede interna para o proxy, senão o pessoal de fora da sua rede vai tentar acessar o proxy e não o apache.

    LAN = 192.168.0.0/24
    ETH0 = INTERFACE DA LAN

    $iptables -t nat -A PREROUTING -p tcp -i eth0 -s $lan -d ! $lan --dport 80 -j REDIRECT --to-port 3128
    $iptables -t nat -A PREROUTING -p udp -i eth0 -s $lan -d ! $lan --dport 80 -j REDIRECT --to-port 3128

  7. #7
    W@rl0ck
    Visitante

    Padrão Problemas com o iptables

    Eu agradeço a todos pela ajuda eu consegui resolver o problema estava faltando a regra no iptables

    $IPT -A INPUT -p tcp -s 0.0.0.0/0 --dport 80 -j ACCEPT
    para deixar entrar conexao na porta 80 agora funfou legal

    mais uma vez obrigado pela ajuda
    Sem mais
    Rafael Sussel

  8. #8
    mmarinho
    Visitante

    Padrão Problemas com o iptables

    :clap:

    Beleza !!!

  9. #9
    mmarinho
    Visitante

    Padrão Alerta

    Acredito que as instruções do nosso colega Whinston valem a pena serem seguidas.


    As regrs que ele coloca são mais claras que abrir o INPUT para porta 80.

    Tome cuidado, ok

  10. #10
    W@rl0ck
    Visitante

    Padrão Problemas com o iptables

    eu testei a forma com q ele me passou e não funfou, mas vou dar uma olhada novamente ,, valeu

  11. #11

    Padrão Problemas com o iptables

    Citação Postado originalmente por W@rl0ck
    eu testei a forma com q ele me passou e não funfou, mas vou dar uma olhada novamente ,, valeu
    Sei q a pane já foi resolvida mas não pude deixar de observar q vc colocou seu FW com as portas de banco de dados de clientes, portas de FTP, portas de SSH....tudo declaradas... Cuidado ao fazer isso pois vc pode achar muita ajuda aqui mas tb tem uns imbecis de plantão..
    Abração :good: :good: :good: :good:

  12. #12
    W@rl0ck
    Visitante

    Padrão Problemas com o iptables

    Vixi deu um problema aqui
    como eu disse eu coloquei a seguinte regra
    $IPT -A INPUT -p tcp -s 0.0.0.0/0 --dport 80 -j ACCEPT
    porem agora qq browser acessa a internet nem precisa passar pelo squid
    o q q eu faco agora

    alguem tem uma dica

    pois se eu arranco essa regra ninguem consegue acessar os sites que estao no servidor

  13. #13

    Padrão Problemas com o iptables

    Citação Postado originalmente por W@rl0ck
    Vixi deu um problema aqui
    como eu disse eu coloquei a seguinte regra
    $IPT -A INPUT -p tcp -s 0.0.0.0/0 --dport 80 -j ACCEPT
    porem agora qq browser acessa a internet nem precisa passar pelo squid
    o q q eu faco agora

    alguem tem uma dica

    pois se eu arranco essa regra ninguem consegue acessar os sites que estao no servidor

    Indica a eth q vc quer q passe pelo squid e qual vc quer q acesse direto