Firewall-SpeedyHome-Servidor Web

Heitor Mauricio Mon, 11 Apr 2005 08:53:18 -0700

Olá Lista !!
Tenho uma rede doméstica (2 micros) com a seguinte configuração:
--> CL10 (Servidor Web, SSH) c/ kernel 2.6.10 (CL) com endereço
192.168.0.1 (gateway) compartilhando a conexão com a estação.
--> Debian Sarge (Estação) c/ kernel 2.6.8 no endereço 192.168.0.2
 Até dois dias atrás, as portas 22, 8090 (web) e outras estavam
abertas segundo o grc.com/... com o seguinte script de firewall:


# Interface to the internet
EXTIF=ppp+

IPTABLES=/usr/sbin/iptables

# load some modules
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_irc

$IPTABLES -F
$IPTABLES -X

# abrir portas
$IPTABLES -A INPUT -p tcp --dport 8090 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
# liberar portas para a estação (tirado do Guia do Hardware livros)
$IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 6881:6889 -j
DNAT --to-dest 192.168.0.2
$IPTABLES -A FORWARD -p tcp -i ppp0 --dport 6881:6889 -d 192.168.0.2 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i ppp0 -p udp --dport 6881:6889 -j
DNAT --to-dest 192.168.0.2
$IPTABLES -A FORWARD -p udp -i ppp0 --dport 6881:6889 -d 192.168.0.2 -j ACCEPT
# liberar enemy-territory (é necessário??)
$IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 27960:27962 -j
DNAT --to-dest 192.168.0.2
$IPTABLES -A FORWARD -p tcp -i ppp0 --dport 27960:27962 -d 192.168.0.2 -j ACCEPT
# liberar emule para a estação (copiei as regras acima)
$IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 4662 -j DNAT
--to-dest 192.168.0.2
$IPTABLES -A FORWARD -p tcp -i ppp0 --dport 4662 -d 192.168.0.2 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i ppp0 -p udp --dport 4672 -j DNAT
--to-dest 192.168.0.2
$IPTABLES -A FORWARD -p udp -i ppp0 --dport 4672 -d 192.168.0.2 -j ACCEPT


$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

$IPTABLES -N drop_log
$IPTABLES -A drop_log -j LOG --log-prefix "drop_log "
$IPTABLES -A drop_log -j DROP

$IPTABLES -N spoof_drop_log
$IPTABLES -A spoof_drop_log -j LOG --log-prefix "spoof_drop_log "
$IPTABLES -A spoof_drop_log -j DROP

$IPTABLES -N spoof_check
$IPTABLES -A spoof_check -s 192.168.0.0/16 -j spoof_drop_log
$IPTABLES -A spoof_check -s 10.0.0.0/8 -j spoof_drop_log
$IPTABLES -A spoof_check -s 172.16.0.0/12 -j spoof_drop_log
$IPTABLES -A spoof_check -s 127.0.0.0/8 -j spoof_drop_log

$IPTABLES -A INPUT -i ! $EXTIF -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -j spoof_check
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -j drop_log

$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$IPTABLES -A OUTPUT -j drop_log

$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$IPTABLES -A FORWARD -j drop_log

# enable forwarding
/sbin/sysctl -w net.ipv4.ip_forward=1 > /dev/null

Tudo estava OK, pois acessava meu servidor de fora via SSH e podia ver
minha página web hospedada no servidor (Uso o www.zoneedit.com para
rotear meu endereço de domínio registrado para o ip dinâmico do
Speedy). Sem problemas.
Acontece que nesse fim de semana fui jogar Enemy-Territory e o
programa não conseguiu listar os servidores da internet.
Fui no grc.com/... pra ver se alguma porta estava bloqueada e eis que
me deparo com meu IP totalmente STEALTH, BLOQUEADO !!
Não estou entendendo o por quê disso agora, ou melhor, é possível que
a Telefônica tenha bloqueado todas as portas??
Sei que ela bloqueia a 80 por exemplo e por isso tive que rodar o
Apache na 8090.
É possível??
Obrigado

Firewall-SpeedyHome-Servidor Web

Responder a