Re: Script de firewall não funciona, pq ?
Olá, Entrei na conversa agora, então me desculpe se estiver repetindo alguma coisa. Com seu firewall configurado, execute iptables-save para ver o que realmente está configurado e quais as regras em cada tabela, dando então para analisar um pacote, não esqueça de verificar suas rotas com route e interfaces com ifconfig. Use iptables -t tabela -L -v para ver quantos pacotes estão morrendo em cada regra e quais regras não estão sendo atingidas. Uma dica para iniciar é começar com o bloqueio do INPUT e FORWARD na filter, fazer a regra do FORWARD para rede local nos dois sentidos, na nat fazer o MASQUERADE além do echo 1 /proc/sys/net/ipv4/ip_forward, se isso estiver funcionando, vai colocando as regras pertinentes e depois automatize isso por script, assim dá para entender melhor regra por regra e se alguma está afetando o andamento do firewall. []'s Junior Polegato -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bfbcb42.1040...@juniorpolegato.com.br
Script de firewall não funciona, pq ?
Olá pessoal, será que seria possivel uma mãozinha aqui : Estou desenvolvendo um script para firewall que bloqueia/libera portas, dá acesso transparente a alguns ips, etc... O script funciona perfeitamente no servidor onde coloco, porém quando vou a uma estação e ponho tal servidor como gateway simplesmente não funciona. Sei que tá funcionando porque faço um ssh neste servidor e as regras alí estão funcionando sem problemas, além disso, coloquei até um proxy lá e com o proxy tá funcionando. Vou colar aqui o script, só em suas regras e se alguem for ninja em iptables e puder me dizer qual é o problema, eu seria muito grato. Gostaria de dizer que comentei todas as linhas para depurar e mesmo que eu dê um : $IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE para mascarar tudo, não adianta. Falha com DNS estão descartados. Qualquer ajuda será bem vinda. # # Inicio do Script # # Declaração de variaveis IPTABLES=/sbin/iptables FWDIR=$FIREWALL/config # criando arquivos importantes para servirem de samples . /home/servidor/fw-scripts/firewall.files # Interfaces de Rede # Se precisar mudar a ordem das placas fisicamente, entao # edite o arquivo : # /etc/udev/rules.d/70-persistent-net.rules LAN=eth1 WAN=eth0 REDE_INTERNA=192.168.0.0/16 # Os diversos módulos do iptables são chamdos através do modprobe modprobe ip_tables modprobe iptable_nat modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ipt_LOG modprobe ipt_REJECT modprobe ipt_MASQUERADE modprobe ipt_state modprobe ipt_multiport modprobe iptable_mangle modprobe ipt_tos modprobe ipt_limit modprobe ipt_mark modprobe ipt_MARK # Mensagem de inicialização do script echo echo # Script de Firewall - v2010.05 by Hamacker# echo $IPTABLES -F $IPTABLES -F INPUT $IPTABLES -F OUTPUT $IPTABLES -F FORWARD $IPTABLES -t mangle -F $IPTABLES -t nat -F $IPTABLES -X $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP echo Ativando o redirecionamento entre as placas de rede (ip_forward) echo 1 /proc/sys/net/ipv4/ip_forward echo Ativando entrada/saida da interface de loopback $IPTABLES -I INPUT -i lo -j ACCEPT $IPTABLES -I OUTPUT -o lo -j ACCEPT echo Liberando portas do servidor ($WAN): while read LINHA ; do PORTA=`semremarks $LINHA` if [ $PORTA != ] ; then echo -e \tPorta : $PORTA $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT fi done $LISTA_PORTAS_LIBERADAS $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT $IPTABLES -I INPUT -p icmp -j ACCEPT echo Redirecionando portas ($WAN) a outros servidores : while read LINHA ; do i=`semremarks $LINHA` if [ $i != ] ; then REDIPROTO=`echo $i | cut -d ';' -f 1` #recebe o protocolo a ser redirecionado REDIPORTA=`echo $i | cut -d ';' -f 2` #recebe a porta a ser redirecionado REDIP=`echo $i | cut -d ';' -f 3` #recebe o ip a ser redirecionado REDISERVICO=`echo $i | cut -d ';' -f 4` #recebe o nome do serviço REDIHOST=`echo $i | cut -d ';' -f 5` #recebe o nome do host echo -e \t$WAN:$REDIPORTA($REDISERVICO) -$REDIP($REDIHOST) $IPTABLES -A FORWARD -p $REDIPROTO --dport $REDIPORTA -j ACCEPT $IPTABLES -t nat -A PREROUTING -p $REDIPROTO -i $WAN --dport $REDIPORTA -j DNAT --to $REDIP fi done $LISTA_REDIRECIONAMENTOS echo Bloqueando MacAddr da lista $LISTA_MACLIST_BLOQUEADOS : echo (este bloqueio precede outras permissoes) while read LINHA ; do MACSOURCE=`semremarks $LINHA` if [ $MACSOURCE != ] ; then echo -e \tBloqueado MacAddr:$LINHA $IPTABLES -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP $IPTABLES -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP #$IPTABLES -t filter -A PREROUTING -m mac --mac-source $MACSOURCE -j DROP fi done $LISTA_MACLIST_BLOQUEADOS echo Liberando IPs/Sites com acesso transparente e direito while read LINHA ; do LIBERAR_SITE=`semremarks $LINHA` if [ $LIBERAR_SITE != ] ; then echo -e \tSite transparente : $LINHA $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -d $LIBERAR_SITE -j MASQUERADE fi done $SQUIDACL/sites_diretos.txt echo Liberando IPs transparentes fixos a partir de $LISTA_IP_TRANSPARENTES_FIXO while read LINHA ; do LIBERAR_IP=`semremarks $LINHA` if [ $LIBERAR_IP != ] ; then echo -e \tIP transparente [fixo] : $LINHA $IPTABLES -t nat -A POSTROUTING -s $LIBERAR_IP -j MASQUERADE fi done $LISTA_IP_TRANSPARENTES_FIXO echo Liberando IPs transparentes temporarios a partir de $LISTA_IP_TRANSPARENTES_TEMP while read LINHA ; do LIBERAR_IP=`semremarks $LINHA` if [ $LIBERAR_IP != ] ; then echo -e \tIP transparente [temp] : $LINHA $IPTABLES -t nat -A POSTROUTING -s $LIBERAR_IP -j MASQUERADE fi done
Re: Script de firewall não funciona, pq ?
Olá hamacker. Não li todo seu script, mas antes disso faça um teste. Quando eu escrevi um script iptables pro meu roteador, tive que criar uma nova chain e inserir nessa nova chain as chains INPUT e FORWARD, como: $iptables -N FIREWALL $iptables -A INPUT -j FIREWALL $iptables -A FORWARD -j FIREWALL E todas as regras você escreve pra chain FIREWALL. Dá uma tentada nisso antes de darmos mais um passo. Atenciosamente, Allan Carvalho Em 24 de maio de 2010 11:23, hamacker sirhamac...@gmail.com escreveu: Olá pessoal, será que seria possivel uma mãozinha aqui : Estou desenvolvendo um script para firewall que bloqueia/libera portas, dá acesso transparente a alguns ips, etc... O script funciona perfeitamente no servidor onde coloco, porém quando vou a uma estação e ponho tal servidor como gateway simplesmente não funciona. Sei que tá funcionando porque faço um ssh neste servidor e as regras alí estão funcionando sem problemas, além disso, coloquei até um proxy lá e com o proxy tá funcionando. Vou colar aqui o script, só em suas regras e se alguem for ninja em iptables e puder me dizer qual é o problema, eu seria muito grato. Gostaria de dizer que comentei todas as linhas para depurar e mesmo que eu dê um : $IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE para mascarar tudo, não adianta. Falha com DNS estão descartados. Qualquer ajuda será bem vinda. # # Inicio do Script # # Declaração de variaveis IPTABLES=/sbin/iptables FWDIR=$FIREWALL/config # criando arquivos importantes para servirem de samples . /home/servidor/fw-scripts/firewall.files # Interfaces de Rede # Se precisar mudar a ordem das placas fisicamente, entao # edite o arquivo : # /etc/udev/rules.d/70-persistent-net.rules LAN=eth1 WAN=eth0 REDE_INTERNA=192.168.0.0/16 # Os diversos módulos do iptables são chamdos através do modprobe modprobe ip_tables modprobe iptable_nat modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ipt_LOG modprobe ipt_REJECT modprobe ipt_MASQUERADE modprobe ipt_state modprobe ipt_multiport modprobe iptable_mangle modprobe ipt_tos modprobe ipt_limit modprobe ipt_mark modprobe ipt_MARK # Mensagem de inicialização do script echo echo # Script de Firewall - v2010.05 by Hamacker # echo $IPTABLES -F $IPTABLES -F INPUT $IPTABLES -F OUTPUT $IPTABLES -F FORWARD $IPTABLES -t mangle -F $IPTABLES -t nat -F $IPTABLES -X $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP echo Ativando o redirecionamento entre as placas de rede (ip_forward) echo 1 /proc/sys/net/ipv4/ip_forward echo Ativando entrada/saida da interface de loopback $IPTABLES -I INPUT -i lo -j ACCEPT $IPTABLES -I OUTPUT -o lo -j ACCEPT echo Liberando portas do servidor ($WAN): while read LINHA ; do PORTA=`semremarks $LINHA` if [ $PORTA != ] ; then echo -e \tPorta : $PORTA $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT fi done $LISTA_PORTAS_LIBERADAS $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT $IPTABLES -I INPUT -p icmp -j ACCEPT echo Redirecionando portas ($WAN) a outros servidores : while read LINHA ; do i=`semremarks $LINHA` if [ $i != ] ; then REDIPROTO=`echo $i | cut -d ';' -f 1` #recebe o protocolo a ser redirecionado REDIPORTA=`echo $i | cut -d ';' -f 2` #recebe a porta a ser redirecionado REDIP=`echo $i | cut -d ';' -f 3` #recebe o ip a ser redirecionado REDISERVICO=`echo $i | cut -d ';' -f 4` #recebe o nome do serviço REDIHOST=`echo $i | cut -d ';' -f 5` #recebe o nome do host echo -e \t$WAN:$REDIPORTA($REDISERVICO) -$REDIP($REDIHOST) $IPTABLES -A FORWARD -p $REDIPROTO --dport $REDIPORTA -j ACCEPT $IPTABLES -t nat -A PREROUTING -p $REDIPROTO -i $WAN --dport $REDIPORTA -j DNAT --to $REDIP fi done $LISTA_REDIRECIONAMENTOS echo Bloqueando MacAddr da lista $LISTA_MACLIST_BLOQUEADOS : echo (este bloqueio precede outras permissoes) while read LINHA ; do MACSOURCE=`semremarks $LINHA` if [ $MACSOURCE != ] ; then echo -e \tBloqueado MacAddr:$LINHA $IPTABLES -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP $IPTABLES -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP #$IPTABLES -t filter -A PREROUTING -m mac --mac-source $MACSOURCE -j DROP fi done $LISTA_MACLIST_BLOQUEADOS echo Liberando IPs/Sites com acesso transparente e direito while read LINHA ; do LIBERAR_SITE=`semremarks $LINHA` if [ $LIBERAR_SITE != ] ; then echo -e \tSite transparente : $LINHA $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -d $LIBERAR_SITE -j MASQUERADE fi done $SQUIDACL/sites_diretos.txt echo Liberando IPs
Res: Script de firewall não funciona, pq ?
Velho se inscreve nessa lista. Ela trabalha somente com IpTables: iptables...@yahoogrupos.com.br. Boa sorte. - Mensagem original De: hamacker sirhamac...@gmail.com Para: Lista Debian debian-user-portuguese@lists.debian.org Enviadas: Segunda-feira, 24 de Maio de 2010 10:23:13 Assunto: Script de firewall não funciona, pq ? Olá pessoal, será que seria possivel uma mãozinha aqui : Estou desenvolvendo um script para firewall que bloqueia/libera portas, dá acesso transparente a alguns ips, etc... O script funciona perfeitamente no servidor onde coloco, porém quando vou a uma estação e ponho tal servidor como gateway simplesmente não funciona. Sei que tá funcionando porque faço um ssh neste servidor e as regras alí estão funcionando sem problemas, além disso, coloquei até um proxy lá e com o proxy tá funcionando. Vou colar aqui o script, só em suas regras e se alguem for ninja em iptables e puder me dizer qual é o problema, eu seria muito grato. Gostaria de dizer que comentei todas as linhas para depurar e mesmo que eu dê um : $IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE para mascarar tudo, não adianta. Falha com DNS estão descartados. Qualquer ajuda será bem vinda. # # Inicio do Script # # Declaração de variaveis IPTABLES=/sbin/iptables FWDIR=$FIREWALL/config # criando arquivos importantes para servirem de samples . /home/servidor/fw-scripts/firewall.files # Interfaces de Rede # Se precisar mudar a ordem das placas fisicamente, entao # edite o arquivo : # /etc/udev/rules.d/70-persistent-net.rules LAN=eth1 WAN=eth0 REDE_INTERNA=192.168.0.0/16 # Os diversos módulos do iptables são chamdos através do modprobe modprobe ip_tables modprobe iptable_nat modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ipt_LOG modprobe ipt_REJECT modprobe ipt_MASQUERADE modprobe ipt_state modprobe ipt_multiport modprobe iptable_mangle modprobe ipt_tos modprobe ipt_limit modprobe ipt_mark modprobe ipt_MARK # Mensagem de inicialização do script echo echo # Script de Firewall - v2010.05 by Hamacker# echo $IPTABLES -F $IPTABLES -F INPUT $IPTABLES -F OUTPUT $IPTABLES -F FORWARD $IPTABLES -t mangle -F $IPTABLES -t nat -F $IPTABLES -X $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP echo Ativando o redirecionamento entre as placas de rede (ip_forward) echo 1 /proc/sys/net/ipv4/ip_forward echo Ativando entrada/saida da interface de loopback $IPTABLES -I INPUT -i lo -j ACCEPT $IPTABLES -I OUTPUT -o lo -j ACCEPT echo Liberando portas do servidor ($WAN): while read LINHA ; do PORTA=`semremarks $LINHA` if [ $PORTA != ] ; then echo -e \tPorta : $PORTA $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT fi done $LISTA_PORTAS_LIBERADAS $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT $IPTABLES -I INPUT -p icmp -j ACCEPT echo Redirecionando portas ($WAN) a outros servidores : while read LINHA ; do i=`semremarks $LINHA` if [ $i != ] ; then REDIPROTO=`echo $i | cut -d ';' -f 1` #recebe o protocolo a ser redirecionado REDIPORTA=`echo $i | cut -d ';' -f 2` #recebe a porta a ser redirecionado REDIP=`echo $i | cut -d ';' -f 3` #recebe o ip a ser redirecionado REDISERVICO=`echo $i | cut -d ';' -f 4` #recebe o nome do serviço REDIHOST=`echo $i | cut -d ';' -f 5` #recebe o nome do host echo -e \t$WAN:$REDIPORTA($REDISERVICO) -$REDIP($REDIHOST) $IPTABLES -A FORWARD -p $REDIPROTO --dport $REDIPORTA -j ACCEPT $IPTABLES -t nat -A PREROUTING -p $REDIPROTO -i $WAN --dport $REDIPORTA -j DNAT --to $REDIP fi done $LISTA_REDIRECIONAMENTOS echo Bloqueando MacAddr da lista $LISTA_MACLIST_BLOQUEADOS : echo (este bloqueio precede outras permissoes) while read LINHA ; do MACSOURCE=`semremarks $LINHA` if [ $MACSOURCE != ] ; then echo -e \tBloqueado MacAddr:$LINHA $IPTABLES -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP $IPTABLES -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP #$IPTABLES -t filter -A PREROUTING -m mac --mac-source $MACSOURCE -j DROP fi done $LISTA_MACLIST_BLOQUEADOS echo Liberando IPs/Sites com acesso transparente e direito while read LINHA ; do LIBERAR_SITE=`semremarks $LINHA` if [ $LIBERAR_SITE != ] ; then echo -e \tSite transparente : $LINHA $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -d $LIBERAR_SITE -j MASQUERADE fi done $SQUIDACL/sites_diretos.txt echo Liberando IPs transparentes fixos a partir de $LISTA_IP_TRANSPARENTES_FIXO while read LINHA ; do LIBERAR_IP=`semremarks $LINHA` if [ $LIBERAR_IP != ] ; then echo -e \tIP transparente [fixo] : $LINHA $IPTABLES -t nat -A POSTROUTING -s $LIBERAR_IP -j MASQUERADE fi done
Re: Script de firewall não funciona, pq ?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Você habilitou o forwarding de pacotes no kernel? Para ter certeza o comando deve retornar = 1 # sysctl net.ipv4.ip_forward (para ipv6: net.ipv6.conf.all.forwarding) Caso não tenha habilitado você pode setar esta configuração no arquivo /etc/sysctl.conf para persistir ao boot do sistema, e para não precisar reiniciar pode habilitá-la utilizando o comando sysctl também (ou da maneira tradicional através do sistema de arquivos proc) A[]'s Em 24/5/2010 11:23, hamacker escreveu: Olá pessoal, será que seria possivel uma mãozinha aqui : Estou desenvolvendo um script para firewall que bloqueia/libera portas, dá acesso transparente a alguns ips, etc... O script funciona perfeitamente no servidor onde coloco, porém quando vou a uma estação e ponho tal servidor como gateway simplesmente não funciona. Sei que tá funcionando porque faço um ssh neste servidor e as regras alí estão funcionando sem problemas, além disso, coloquei até um proxy lá e com o proxy tá funcionando. Vou colar aqui o script, só em suas regras e se alguem for ninja em iptables e puder me dizer qual é o problema, eu seria muito grato. Gostaria de dizer que comentei todas as linhas para depurar e mesmo que eu dê um : $IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE para mascarar tudo, não adianta. Falha com DNS estão descartados. Qualquer ajuda será bem vinda. # # Inicio do Script # # Declaração de variaveis IPTABLES=/sbin/iptables FWDIR=$FIREWALL/config # criando arquivos importantes para servirem de samples . /home/servidor/fw-scripts/firewall.files # Interfaces de Rede # Se precisar mudar a ordem das placas fisicamente, entao # edite o arquivo : # /etc/udev/rules.d/70-persistent-net.rules LAN=eth1 WAN=eth0 REDE_INTERNA=192.168.0.0/16 # Os diversos módulos do iptables são chamdos através do modprobe modprobe ip_tables modprobe iptable_nat modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ipt_LOG modprobe ipt_REJECT modprobe ipt_MASQUERADE modprobe ipt_state modprobe ipt_multiport modprobe iptable_mangle modprobe ipt_tos modprobe ipt_limit modprobe ipt_mark modprobe ipt_MARK # Mensagem de inicialização do script echo echo # Script de Firewall - v2010.05 by Hamacker# echo $IPTABLES -F $IPTABLES -F INPUT $IPTABLES -F OUTPUT $IPTABLES -F FORWARD $IPTABLES -t mangle -F $IPTABLES -t nat -F $IPTABLES -X $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP echo Ativando o redirecionamento entre as placas de rede (ip_forward) echo 1 /proc/sys/net/ipv4/ip_forward echo Ativando entrada/saida da interface de loopback $IPTABLES -I INPUT -i lo -j ACCEPT $IPTABLES -I OUTPUT -o lo -j ACCEPT echo Liberando portas do servidor ($WAN): while read LINHA ; do PORTA=`semremarks $LINHA` if [ $PORTA != ] ; then echo -e \tPorta : $PORTA $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT fi done $LISTA_PORTAS_LIBERADAS $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT $IPTABLES -I INPUT -p icmp -j ACCEPT echo Redirecionando portas ($WAN) a outros servidores : while read LINHA ; do i=`semremarks $LINHA` if [ $i != ] ; then REDIPROTO=`echo $i | cut -d ';' -f 1` #recebe o protocolo a ser redirecionado REDIPORTA=`echo $i | cut -d ';' -f 2` #recebe a porta a ser redirecionado REDIP=`echo $i | cut -d ';' -f 3` #recebe o ip a ser redirecionado REDISERVICO=`echo $i | cut -d ';' -f 4` #recebe o nome do serviço REDIHOST=`echo $i | cut -d ';' -f 5` #recebe o nome do host echo -e \t$WAN:$REDIPORTA($REDISERVICO) -$REDIP($REDIHOST) $IPTABLES -A FORWARD -p $REDIPROTO --dport $REDIPORTA -j ACCEPT $IPTABLES -t nat -A PREROUTING -p $REDIPROTO -i $WAN --dport $REDIPORTA -j DNAT --to $REDIP fi done $LISTA_REDIRECIONAMENTOS echo Bloqueando MacAddr da lista $LISTA_MACLIST_BLOQUEADOS : echo (este bloqueio precede outras permissoes) while read LINHA ; do MACSOURCE=`semremarks $LINHA` if [ $MACSOURCE != ] ; then echo -e \tBloqueado MacAddr:$LINHA $IPTABLES -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP $IPTABLES -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP #$IPTABLES -t filter -A PREROUTING -m mac --mac-source $MACSOURCE -j DROP fi done $LISTA_MACLIST_BLOQUEADOS echo Liberando IPs/Sites com acesso transparente e direito while read LINHA ; do LIBERAR_SITE=`semremarks $LINHA` if [ $LIBERAR_SITE != ] ; then echo -e \tSite transparente : $LINHA $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -d $LIBERAR_SITE -j MASQUERADE fi done
Re: Script de firewall não funciona, pq ?
--- Em seg, 24/5/10, Allison Vollmann allisonv...@yahoo.com.br escreveu: De: Allison Vollmann allisonv...@yahoo.com.br Assunto: Re: Script de firewall não funciona, pq ? Para: debian-user-portuguese@lists.debian.org Data: Segunda-feira, 24 de Maio de 2010, 15:01 -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Você habilitou o forwarding de pacotes no kernel? Para ter certeza o comando deve retornar = 1 # sysctl net.ipv4.ip_forward (para ipv6: net.ipv6.conf.all.forwarding) Caso não tenha habilitado você pode setar esta configuração no arquivo /etc/sysctl.conf para persistir ao boot do sistema, e para não precisar reiniciar pode habilitá-la utilizando o comando sysctl também (ou da maneira tradicional através do sistema de arquivos proc) A[]'s Em 24/5/2010 11:23, hamacker escreveu: Olá pessoal, será que seria possivel uma mãozinha aqui : Estou desenvolvendo um script para firewall que bloqueia/libera portas, dá acesso transparente a alguns ips, etc... O script funciona perfeitamente no servidor onde coloco, porém quando vou a uma estação e ponho tal servidor como gateway simplesmente não funciona. Sei que tá funcionando porque faço um ssh neste servidor e as regras alí estão funcionando sem problemas, além disso, coloquei até um proxy lá e com o proxy tá funcionando. Vou colar aqui o script, só em suas regras e se alguem for ninja em iptables e puder me dizer qual é o problema, eu seria muito grato. Gostaria de dizer que comentei todas as linhas para depurar e mesmo que eu dê um : $IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE para mascarar tudo, não adianta. Falha com DNS estão descartados. Qualquer ajuda será bem vinda. # # Inicio do Script # # Declaração de variaveis IPTABLES=/sbin/iptables FWDIR=$FIREWALL/config # criando arquivos importantes para servirem de samples . /home/servidor/fw-scripts/firewall.files # Interfaces de Rede # Se precisar mudar a ordem das placas fisicamente, entao # edite o arquivo : # /etc/udev/rules.d/70-persistent-net.rules LAN=eth1 WAN=eth0 REDE_INTERNA=192.168.0.0/16 # Os diversos módulos do iptables são chamdos através do modprobe modprobe ip_tables modprobe iptable_nat modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ipt_LOG modprobe ipt_REJECT modprobe ipt_MASQUERADE modprobe ipt_state modprobe ipt_multiport modprobe iptable_mangle modprobe ipt_tos modprobe ipt_limit modprobe ipt_mark modprobe ipt_MARK # Mensagem de inicialização do script echo echo # Script de Firewall - v2010.05 by Hamacker # echo $IPTABLES -F $IPTABLES -F INPUT $IPTABLES -F OUTPUT $IPTABLES -F FORWARD $IPTABLES -t mangle -F $IPTABLES -t nat -F $IPTABLES -X $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP echo Ativando o redirecionamento entre as placas de rede (ip_forward) echo 1 /proc/sys/net/ipv4/ip_forward echo Ativando entrada/saida da interface de loopback $IPTABLES -I INPUT -i lo -j ACCEPT $IPTABLES -I OUTPUT -o lo -j ACCEPT echo Liberando portas do servidor ($WAN): while read LINHA ; do PORTA=`semremarks $LINHA` if [ $PORTA != ] ; then echo -e \tPorta : $PORTA $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT fi done $LISTA_PORTAS_LIBERADAS $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT $IPTABLES -I INPUT -p icmp -j ACCEPT echo Redirecionando portas ($WAN) a outros servidores : while read LINHA ; do i=`semremarks $LINHA` if [ $i != ] ; then REDIPROTO=`echo $i | cut -d ';' -f 1` #recebe o protocolo a ser redirecionado REDIPORTA=`echo $i | cut -d ';' -f 2` #recebe a porta a ser redirecionado REDIP=`echo $i | cut -d ';' -f 3` #recebe o ip a ser redirecionado REDISERVICO=`echo $i | cut -d ';' -f 4` #recebe o nome do serviço REDIHOST=`echo $i | cut -d ';' -f 5` #recebe o nome do host echo -e \t$WAN:$REDIPORTA($REDISERVICO) -$REDIP($REDIHOST) $IPTABLES -A FORWARD -p $REDIPROTO --dport $REDIPORTA -j ACCEPT $IPTABLES -t nat -A PREROUTING -p $REDIPROTO -i $WAN --dport $REDIPORTA -j DNAT --to $REDIP fi done $LISTA_REDIRECIONAMENTOS echo Bloqueando MacAddr da lista $LISTA_MACLIST_BLOQUEADOS : echo (este bloqueio precede outras permissoes) while read LINHA ; do MACSOURCE=`semremarks $LINHA` if [ $MACSOURCE != ] ; then echo -e \tBloqueado MacAddr:$LINHA $IPTABLES -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP $IPTABLES -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP #$IPTABLES -t filter -A PREROUTING -m mac --mac-source $MACSOURCE -j DROP fi done $LISTA_MACLIST_BLOQUEADOS echo Liberando IPs/Sites com acesso
Re: Script de firewall não funciona, pq ?
--- Em seg, 24/5/10, hamacker sirhamac...@gmail.com escreveu: De: hamacker sirhamac...@gmail.com Assunto: Script de firewall não funciona, pq ? Para: Lista Debian debian-user-portuguese@lists.debian.org Data: Segunda-feira, 24 de Maio de 2010, 14:23 Olá pessoal, será que seria possivel uma mãozinha aqui : Estou desenvolvendo um script para firewall que bloqueia/libera portas, dá acesso transparente a alguns ips, etc... O script funciona perfeitamente no servidor onde coloco, porém quando vou a uma estação e ponho tal servidor como gateway simplesmente não funciona. Sei que tá funcionando porque faço um ssh neste servidor e as regras alí estão funcionando sem problemas, além disso, coloquei até um proxy lá e com o proxy tá funcionando. Vou colar aqui o script, só em suas regras e se alguem for ninja em iptables e puder me dizer qual é o problema, eu seria muito grato. (...) Hamacker, se a sua politica padrão é DROP, não faz sentido vc adicionar regras bloqueando algo, não é mesmo? Por padrão, no seu firewall tudo já se encontrará bloqueado. abraços Joel -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/209967.340...@web114513.mail.gq1.yahoo.com
Re: Script de firewall não funciona, pq ?
Na realidade, é um script que tento fazê-lo ser modular e flexivel, daí também as referencias em arquivos externos. Em 24 de maio de 2010 13:05, Joel A. Silva joelu...@yahoo.com.br escreveu: (...) Hamacker, se a sua politica padrão é DROP, não faz sentido vc adicionar regras bloqueando algo, não é mesmo? Por padrão, no seu firewall tudo já se encontrará bloqueado. abraços Joel -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktikgdhdjttxxhtscym__vrwurob_mip5rxy0j...@mail.gmail.com
Re: Script de firewall não funciona, pq ?
dentro do script já há um : echo 1 /proc/sys/net/ipv4/ip_forward Em 24 de maio de 2010 12:01, Allison Vollmann allisonv...@yahoo.com.br escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Você habilitou o forwarding de pacotes no kernel? Para ter certeza o comando deve retornar = 1 # sysctl net.ipv4.ip_forward (para ipv6: net.ipv6.conf.all.forwarding) Caso não tenha habilitado você pode setar esta configuração no arquivo /etc/sysctl.conf para persistir ao boot do sistema, e para não precisar reiniciar pode habilitá-la utilizando o comando sysctl também (ou da maneira tradicional através do sistema de arquivos proc) A[]'s Em 24/5/2010 11:23, hamacker escreveu: Olá pessoal, será que seria possivel uma mãozinha aqui : Estou desenvolvendo um script para firewall que bloqueia/libera portas, dá acesso transparente a alguns ips, etc... O script funciona perfeitamente no servidor onde coloco, porém quando vou a uma estação e ponho tal servidor como gateway simplesmente não funciona. Sei que tá funcionando porque faço um ssh neste servidor e as regras alí estão funcionando sem problemas, além disso, coloquei até um proxy lá e com o proxy tá funcionando. Vou colar aqui o script, só em suas regras e se alguem for ninja em iptables e puder me dizer qual é o problema, eu seria muito grato. Gostaria de dizer que comentei todas as linhas para depurar e mesmo que eu dê um : $IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE para mascarar tudo, não adianta. Falha com DNS estão descartados. Qualquer ajuda será bem vinda. # # Inicio do Script # # Declaração de variaveis IPTABLES=/sbin/iptables FWDIR=$FIREWALL/config # criando arquivos importantes para servirem de samples . /home/servidor/fw-scripts/firewall.files # Interfaces de Rede # Se precisar mudar a ordem das placas fisicamente, entao # edite o arquivo : # /etc/udev/rules.d/70-persistent-net.rules LAN=eth1 WAN=eth0 REDE_INTERNA=192.168.0.0/16 # Os diversos módulos do iptables são chamdos através do modprobe modprobe ip_tables modprobe iptable_nat modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ipt_LOG modprobe ipt_REJECT modprobe ipt_MASQUERADE modprobe ipt_state modprobe ipt_multiport modprobe iptable_mangle modprobe ipt_tos modprobe ipt_limit modprobe ipt_mark modprobe ipt_MARK # Mensagem de inicialização do script echo echo # Script de Firewall - v2010.05 by Hamacker # echo $IPTABLES -F $IPTABLES -F INPUT $IPTABLES -F OUTPUT $IPTABLES -F FORWARD $IPTABLES -t mangle -F $IPTABLES -t nat -F $IPTABLES -X $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP echo Ativando o redirecionamento entre as placas de rede (ip_forward) echo 1 /proc/sys/net/ipv4/ip_forward echo Ativando entrada/saida da interface de loopback $IPTABLES -I INPUT -i lo -j ACCEPT $IPTABLES -I OUTPUT -o lo -j ACCEPT echo Liberando portas do servidor ($WAN): while read LINHA ; do PORTA=`semremarks $LINHA` if [ $PORTA != ] ; then echo -e \tPorta : $PORTA $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT fi done $LISTA_PORTAS_LIBERADAS $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT $IPTABLES -I INPUT -p icmp -j ACCEPT echo Redirecionando portas ($WAN) a outros servidores : while read LINHA ; do i=`semremarks $LINHA` if [ $i != ] ; then REDIPROTO=`echo $i | cut -d ';' -f 1` #recebe o protocolo a ser redirecionado REDIPORTA=`echo $i | cut -d ';' -f 2` #recebe a porta a ser redirecionado REDIP=`echo $i | cut -d ';' -f 3` #recebe o ip a ser redirecionado REDISERVICO=`echo $i | cut -d ';' -f 4` #recebe o nome do serviço REDIHOST=`echo $i | cut -d ';' -f 5` #recebe o nome do host echo -e \t$WAN:$REDIPORTA($REDISERVICO) -$REDIP($REDIHOST) $IPTABLES -A FORWARD -p $REDIPROTO --dport $REDIPORTA -j ACCEPT $IPTABLES -t nat -A PREROUTING -p $REDIPROTO -i $WAN --dport $REDIPORTA -j DNAT --to $REDIP fi done $LISTA_REDIRECIONAMENTOS echo Bloqueando MacAddr da lista $LISTA_MACLIST_BLOQUEADOS : echo (este bloqueio precede outras permissoes) while read LINHA ; do MACSOURCE=`semremarks $LINHA` if [ $MACSOURCE != ] ; then echo -e \tBloqueado MacAddr:$LINHA $IPTABLES -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP $IPTABLES -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP #$IPTABLES -t filter -A PREROUTING -m mac --mac-source $MACSOURCE -j DROP fi done $LISTA_MACLIST_BLOQUEADOS echo Liberando IPs/Sites com acesso transparente e direito while read LINHA ; do LIBERAR_SITE=`semremarks $LINHA` if [ $LIBERAR_SITE
Re: Script de firewall não funciona, pq ?
2010/5/24 hamacker sirhamac...@gmail.com echo Liberando portas do servidor ($WAN): while read LINHA ; do PORTA=`semremarks $LINHA` if [ $PORTA != ] ; then echo -e \tPorta : $PORTA $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT fi done $LISTA_PORTAS_LIBERADAS $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT $IPTABLES -I INPUT -p icmp -j ACCEPT Olá Hamacker Experimente colocar as seguintes regras logo após estas acima: $IPTABLES -I FORWARD -i $LAN -j ACCEPT $IPTABLES -I FORWARD -i $LAN -o $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT
Re: Script de firewall não funciona, pq ?
nada. 2010/5/24 Anderson Silva abnerd...@gmail.com: 2010/5/24 hamacker sirhamac...@gmail.com echo Liberando portas do servidor ($WAN): while read LINHA ; do PORTA=`semremarks $LINHA` if [ $PORTA != ] ; then echo -e \tPorta : $PORTA $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT fi done $LISTA_PORTAS_LIBERADAS $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT $IPTABLES -I INPUT -p icmp -j ACCEPT Olá Hamacker Experimente colocar as seguintes regras logo após estas acima: $IPTABLES -I FORWARD -i $LAN -j ACCEPT $IPTABLES -I FORWARD -i $LAN -o $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktincrrky3wiivn9pd10gfefmrfs9m3wemnl7z...@mail.gmail.com
Re: Script de firewall não funciona, pq ?
Hamacker, você criou a nova chain como recomendei? Atenciosamente, Allan carvalho 2010/5/24 hamacker sirhamac...@gmail.com: nada. 2010/5/24 Anderson Silva abnerd...@gmail.com: 2010/5/24 hamacker sirhamac...@gmail.com echo Liberando portas do servidor ($WAN): while read LINHA ; do PORTA=`semremarks $LINHA` if [ $PORTA != ] ; then echo -e \tPorta : $PORTA $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT fi done $LISTA_PORTAS_LIBERADAS $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT $IPTABLES -I INPUT -p icmp -j ACCEPT Olá Hamacker Experimente colocar as seguintes regras logo após estas acima: $IPTABLES -I FORWARD -i $LAN -j ACCEPT $IPTABLES -I FORWARD -i $LAN -o $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktincrrky3wiivn9pd10gfefmrfs9m3wemnl7z...@mail.gmail.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktinffhzbz4fav5u7cwmif8scn04g5szlbunrt...@mail.gmail.com
Re: Script de firewall não funciona, pq ?
Pois é, é outros também fizeram algumas sugestões. Gostaria, se for possivel, que você pudesse acessar este link : http://pastebin.com/A4hQSrLu E fizesse as modificações sugeridas. Daí já testo o efeito delas. 2010/5/24 Allan Carvalho alla...@gmail.com: Hamacker, você criou a nova chain como recomendei? Atenciosamente, Allan carvalho 2010/5/24 hamacker sirhamac...@gmail.com: nada. 2010/5/24 Anderson Silva abnerd...@gmail.com: 2010/5/24 hamacker sirhamac...@gmail.com echo Liberando portas do servidor ($WAN): while read LINHA ; do PORTA=`semremarks $LINHA` if [ $PORTA != ] ; then echo -e \tPorta : $PORTA $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT fi done $LISTA_PORTAS_LIBERADAS $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT $IPTABLES -I INPUT -p icmp -j ACCEPT Olá Hamacker Experimente colocar as seguintes regras logo após estas acima: $IPTABLES -I FORWARD -i $LAN -j ACCEPT $IPTABLES -I FORWARD -i $LAN -o $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktincrrky3wiivn9pd10gfefmrfs9m3wemnl7z...@mail.gmail.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktikrsuvt6imyflxlc5vracs9i9ebzfxurggbi...@mail.gmail.com
Re: Problemas com script de Firewall
O lo é uma interface para teste local da sua máquina, ele não pode e não deve ser bloqueado. Tenho certeza que ocorreram outros problemas, mas pode não ter percebido por conta do Gnome. Em 18/06/07, Davi Vercillo Carneiro Garcia [EMAIL PROTECTED] escreveu: Boa noite, Realmente funcionou ! Muito obrigado ! Eu tinha me esquecido do lo mas nunca pensei que daria problemas no Gnome ! Qual seria a explicação pra isso !? On Sun, 2007-06-17 at 20:30 -0300, Rogério Ferreira wrote: Boa noite. Acrescente a seguinte linha no seu firewall e veja se soluciona seu problema: $IPTABLES -A INPUT -i lo -j ACCEPT Rogério Ferreira. === Difícil é aprender a ler, o resto está escrito. Autor desconhecido. === Seja livre, use Debian GNU/Linux! Davi Vercillo Carneiro Garcia escreveu: Fala pessoal, Meu nome é Davi Vercillo, sou estudante de Ciência da Computação na UFRJ. Atualmente estou no 2º período. Estou tentando implementar um script com umas regras básicas para o iptables e estou tendo problemas. Eu escrevo o script em /etc/init.d e uso a ferramenta rcconf para ativar para ser executada corretamente na inicialização. O iptables funciona como deveria, mas o Gnome não faz mais shutdown do PC. Quando clico em Desktop ShutDown e depois de confirmar para desligar, ele trava. Para o processo de shutdown continuar tenho que matar o X com Ctrl+Alt+Backspace. Isso só acontece quando o script esta carregado. Estou mandando abaixo o script que estou usando. =INICIO=== #!/bin/sh IPTABLES=/sbin/iptables PORTAS=9641 case $1 in start) echo Starting IPtables Rules: firewall $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT exit 0 ;; stop) echo Stopping IPtables Rules: firewall $IPTABLES -F $IPTABLES -P INPUT ACCEPT $IPTABLES -P FORWARD ACCEPT exit 0 ;; restart) $0 stop $0 start ;; status) $IPTABLES -L ;; *) echo Usage: /etc/init.d/firewall {start|stop|restart|status} exit 1 esac exit 0 =FIM= ___ Yahoo! Mail - Sempre a melhor opo para voc! Experimente j e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ -- Atenciosamente, Davi Vercillo Carneiro Garcia http://www.dcc.ufrj.br/~davivercillo GRIS - http://www.gris.dcc.ufrj.br DCC-IM/UFRJ - http://www.dcc.ufrj.br -- Administrador de Sistemas GNU/Linux HomePage: www.dias.eti.br Email: [EMAIL PROTECTED] A mente que se abre a uma nova idéia jamais voltará ao seu tamanho original (Albert Einstein)
Re: Problemas com script de Firewall
Davi Vercillo Carneiro Garcia escreveu: Boa noite, Realmente funcionou ! Muito obrigado ! Eu tinha me esquecido do lo mas nunca pensei que daria problemas no Gnome ! Qual seria a explicação pra isso !? On Sun, 2007-06-17 at 20:30 -0300, Rogério Ferreira wrote: Boa noite. Acrescente a seguinte linha no seu firewall e veja se soluciona seu problema: $IPTABLES -A INPUT -i lo -j ACCEPT Rogério Ferreira. === Difícil é aprender a ler, o resto está escrito. Autor desconhecido. === Seja livre, use Debian GNU/Linux! Davi Vercillo Carneiro Garcia escreveu: Fala pessoal, Meu nome é Davi Vercillo, sou estudante de Ciência da Computação na UFRJ. Atualmente estou no 2º período. Estou tentando implementar um script com umas regras básicas para o iptables e estou tendo problemas. Eu escrevo o script em /etc/init.d e uso a ferramenta rcconf para ativar para ser executada corretamente na inicialização. O iptables funciona como deveria, mas o Gnome não faz mais shutdown do PC. Quando clico em Desktop ShutDown e depois de confirmar para desligar, ele trava. Para o processo de shutdown continuar tenho que matar o X com Ctrl+Alt+Backspace. Isso só acontece quando o script esta carregado. Estou mandando abaixo o script que estou usando. =INICIO=== #!/bin/sh IPTABLES=/sbin/iptables PORTAS=9641 case $1 in start) echo Starting IPtables Rules: firewall $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT exit 0 ;; stop) echo Stopping IPtables Rules: firewall $IPTABLES -F $IPTABLES -P INPUT ACCEPT $IPTABLES -P FORWARD ACCEPT exit 0 ;; restart) $0 stop $0 start ;; status) $IPTABLES -L ;; *) echo Usage: /etc/init.d/firewall {start|stop|restart|status} exit 1 esac exit 0 =FIM= ___ Yahoo! Mail - Sempre a melhor opo para voc! Experimente j e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ Corrijam-me se eu estiver errado, mas o motivo é que os programas trabalham de forma cliente servidor com o X e para tanto necessitam ter acesso liberado a ele, utilizando para tal a interface lo. Então esta interface é utilizada pelos protocolos de comunicação destas aplicações como no caso o GNOME. Abraços! Diego Fabian -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Problemas com script de Firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Davi Vercillo Carneiro Garcia escreveu: Boa noite, Realmente funcionou ! Muito obrigado ! Eu tinha me esquecido do lo mas nunca pensei que daria problemas no Gnome ! Qual seria a explicação pra isso !? Boa tarde, Você já tentou dar um netstat -an e ver quais as portas locais que o gnome utiliza e ainda tem o XORG ou XFree86 - -- Márcio Luciano Donada mdonada at auroraalimentos dot com dot br Aurora Alimentos - Cooperativa Central Oeste Catarinense - Departamento de T.I. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFGdrtlyJq2hZEymxcRApaTAJ4ynrZ72n2VnOjJnKf68VylpZV+mgCglF03 TTOWs715kZ79gfd45orAiww= =0BzX -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Problemas com script de Firewall
Fala pessoal, Meu nome é Davi Vercillo, sou estudante de Ciência da Computação na UFRJ. Atualmente estou no 2º período. Estou tentando implementar um script com umas regras básicas para o iptables e estou tendo problemas. Eu escrevo o script em /etc/init.d e uso a ferramenta rcconf para ativar para ser executada corretamente na inicialização. O iptables funciona como deveria, mas o Gnome não faz mais shutdown do PC. Quando clico em Desktop ShutDown e depois de confirmar para desligar, ele trava. Para o processo de shutdown continuar tenho que matar o X com Ctrl+Alt+Backspace. Isso só acontece quando o script esta carregado. Estou mandando abaixo o script que estou usando. =INICIO=== #!/bin/sh IPTABLES=/sbin/iptables PORTAS=9641 case $1 in start) echo Starting IPtables Rules: firewall $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT exit 0 ;; stop) echo Stopping IPtables Rules: firewall $IPTABLES -F $IPTABLES -P INPUT ACCEPT $IPTABLES -P FORWARD ACCEPT exit 0 ;; restart) $0 stop $0 start ;; status) $IPTABLES -L ;; *) echo Usage: /etc/init.d/firewall {start|stop|restart|status} exit 1 esac exit 0 =FIM= -- Atenciosamente, Davi Vercillo Carneiro Garcia http://www.dcc.ufrj.br/~davivercillo GRIS - http://www.gris.dcc.ufrj.br DCC-IM/UFRJ - http://www.dcc.ufrj.br signature.asc Description: This is a digitally signed message part
Re: Problemas com script de Firewall
Boa noite. Acrescente a seguinte linha no seu firewall e veja se soluciona seu problema: $IPTABLES -A INPUT -i lo -j ACCEPT Rogério Ferreira. === DifÃcil é aprender a ler, o resto está escrito. Autor desconhecido. === Seja livre, use Debian GNU/Linux! Davi Vercillo Carneiro Garcia escreveu: Fala pessoal, Meu nome é Davi Vercillo, sou estudante de Ciência da Computação na UFRJ. Atualmente estou no 2º perÃodo. Estou tentando implementar um script com umas regras básicas para o iptables e estou tendo problemas. Eu escrevo o script em /etc/init.d e uso a ferramenta rcconf para ativar para ser executada corretamente na inicialização. O iptables funciona como deveria, mas o Gnome não faz mais shutdown do PC. Quando clico em Desktop ShutDown e depois de confirmar para desligar, ele trava. Para o processo de shutdown continuar tenho que matar o X com Ctrl+Alt+Backspace. Isso só acontece quando o script esta carregado. Estou mandando abaixo o script que estou usando. =INICIO=== #!/bin/sh IPTABLES=/sbin/iptables PORTAS=9641 case $1 in start) echo Starting IPtables Rules: firewall $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT exit 0 ;; stop) echo Stopping IPtables Rules: firewall $IPTABLES -F $IPTABLES -P INPUT ACCEPT $IPTABLES -P FORWARD ACCEPT exit 0 ;; restart) $0 stop $0 start ;; status) $IPTABLES -L ;; *) echo Usage: /etc/init.d/firewall {start|stop|restart|status} exit 1 esac exit 0 =FIM= ___ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Problemas com script de Firewall
Boa noite, Realmente funcionou ! Muito obrigado ! Eu tinha me esquecido do lo mas nunca pensei que daria problemas no Gnome ! Qual seria a explicação pra isso !? On Sun, 2007-06-17 at 20:30 -0300, Rogério Ferreira wrote: Boa noite. Acrescente a seguinte linha no seu firewall e veja se soluciona seu problema: $IPTABLES -A INPUT -i lo -j ACCEPT Rogério Ferreira. === Difícil é aprender a ler, o resto está escrito. Autor desconhecido. === Seja livre, use Debian GNU/Linux! Davi Vercillo Carneiro Garcia escreveu: Fala pessoal, Meu nome é Davi Vercillo, sou estudante de Ciência da Computação na UFRJ. Atualmente estou no 2º período. Estou tentando implementar um script com umas regras básicas para o iptables e estou tendo problemas. Eu escrevo o script em /etc/init.d e uso a ferramenta rcconf para ativar para ser executada corretamente na inicialização. O iptables funciona como deveria, mas o Gnome não faz mais shutdown do PC. Quando clico em Desktop ShutDown e depois de confirmar para desligar, ele trava. Para o processo de shutdown continuar tenho que matar o X com Ctrl+Alt+Backspace. Isso só acontece quando o script esta carregado. Estou mandando abaixo o script que estou usando. =INICIO=== #!/bin/sh IPTABLES=/sbin/iptables PORTAS=9641 case $1 in start) echo Starting IPtables Rules: firewall $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT exit 0 ;; stop) echo Stopping IPtables Rules: firewall $IPTABLES -F $IPTABLES -P INPUT ACCEPT $IPTABLES -P FORWARD ACCEPT exit 0 ;; restart) $0 stop $0 start ;; status) $IPTABLES -L ;; *) echo Usage: /etc/init.d/firewall {start|stop|restart|status} exit 1 esac exit 0 =FIM= ___ Yahoo! Mail - Sempre a melhor opo para voc! Experimente j e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ -- Atenciosamente, Davi Vercillo Carneiro Garcia http://www.dcc.ufrj.br/~davivercillo GRIS - http://www.gris.dcc.ufrj.br DCC-IM/UFRJ - http://www.dcc.ufrj.br signature.asc Description: This is a digitally signed message part
Re: Script de Firewall
* Silvino Silva ([EMAIL PROTECTED]) wrote: Olá Fiz um pequeno script de firewall, coloquei uma copia no etc/init.d/ e agora onde crio o link ? A seguir ao /etc/rcS.d/S40networking ? O *lugar cetro* é chamar o firewall no /etc/network/interfaces, pois ele entrará junto com a rede evitando uns segundos preciosos de delay. man interfaces para saber como! -- Existem muitas semelhanças entre a colonização eletrônica e o sistema colonial antigo. [...] O sistema colonial recruta elites locais para conseguir subjugar o resto da população. Ao fornecer cópias grátis de seus softwares, que não são livres, para escolas, a Microsoft está usando a escola para criar uma futura dependência tecnológica na sociedade. Richard Stallman
Fwd: Script de Firewall
ola pessoal estou com um problema que não entendo. é o seguinte: tenho um router wireless ligado ao debian pela ath0, está em modo bridge, como tal e para acerder a net foi criada uma interface ppp0. como isto funciona a ppp0 funciona sub a ath0 ? quando difinir uma regra na firewall da ath0 ela vai ser aplicada a ppp0 ? eu queria que o pessoal se ligasse pela debian a net ou seja vai ficar -restantes pcs wireless router ( ( ( (- ath0 - ppp0 o problema é que ath0 nem tem ip agora ... que confusão que fica ... sera que tenho de ter outra placa wireless para fazer o esquema router ) ath0--- pp0 ---debian --- ath1 restantes pcs
Re: Script de Firewall
On 2/7/07, Silvino Silva [EMAIL PROTECTED] wrote: tenho um router wireless ligado ao debian pela ath0, está em modo bridge, como tal e para acerder a net foi criada uma interface ppp0. como isto funciona a ppp0 funciona sub a ath0 ? quando difinir uma regra na firewall da ath0 ela vai ser aplicada a ppp0 ? Neste caso as tuas regras de firewall devem ser feitas para a ppp0 e não ath0. -- Maxwillian Miorim [EMAIL PROTECTED] Have you mooed today?
Re: Script de Firewall
Se voce é usuário ADSL Telefonica então o problema talvez não seja do seu script. Um script que sempre funcionou comigo (é gigante o arquivo) de uns tempos para cá venho presenciando uma lerdeza incrivel nos uploads, e coisa que antes fazia agora ficou pior, antes enquanto um upload ocorria a velocidade de download diminuia, mas não muito...agora um upload de 5,8M dá uma banda de 32Kps para download. Tentei até o trafficshaper, mas o download só aumentou um pouquinho. Já estou considerando aqui trocar o modelo e talvez partir para um outro modelo de acesso à internet ou separar speedy em linhas diferentes. []'s Em 07/02/07, Silvino Silva[EMAIL PROTECTED] escreveu: Olá Terminei o script de firewal, o problema é que agora os uploads ficaram muito lentos, mesmo definindo o TOS no OUTPUT da mangle. Aqui fica o script #!/bin/bash PATH=/sbin:$PATH #Inicialização: clear # Tabela filter iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # Tabela nat iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING DROP # Tabela mangle iptables -t mangle -P INPUT ACCEPT iptables -t mangle -P PREROUTING ACCEPT iptables -t mangle -P FORWARD ACCEPT iptables -t mangle -P POSTROUTING ACCEPT iptables -t mangle -P OUTPUT ACCEPT echo Cria nova cadeia #cria uma nova cadeia athinput iptables -N athinput echo inicia filter ##Cadeia Filter# #Aceita loopback iptables -A INPUT -i lo -j ACCEPT #Cria uma cadeia para as conexões da interenet chamada athinput iptables -A INPUT -i ath+ -j athinput #Tudo o resto é rejeitado e rejistado #iptables -A INPUT -j LOG iptables -A INPUT -j DROP echo inicia athinput ##Cadeia athinput# #Aceitas respostas de destino inatingível e ping com um limite de 2 por segundo iptables -A athinput -p icmp --icmp-type 0 -m limit --limit 2/s -j ACCEPT iptables -A athinput -p icmp --icmp-type 3 -m limit --limit 2/s -j ACCEPT #Serviço de MSN iptables -A athinput -p tcp --sport 1863 --dport 1024: -j ACCEPT #Nao aceita conecções para o apache iptables -A athinput -p tcp --dport 80 -j ACCEPT #Aceita serviço de HTML iptables -A athinput -p tcp --sport 80 --dport 1024: -j ACCEPT #Aceita HTTPs iptables -A athinput -p tcp --sport 443 --dport 1024: -j ACCEPT #Serviço de FTP, apenas upload iptables -A athinput -p tcp --sport 21 --dport 1024: -j ACCEPT iptables -A athinput -p tcp --sport 20 --dport 1024: -j ACCEPT #Aceita respostas udp dos servidores de DNS iptables -A athinput -p udp -s 195.22.0.136 --sport 53 --dport 1024: -j ACCEPT iptables -A athinput -p tcp -s 195.22.0.136 --sport 53 --dport 1024: -j ACCEPT ##Cadeia mangle# iptables -t mangle -A OUTPUT -o ath+ -p tcp --dport 21 -j TOS --set-tos 0x10 iptables -t mangle -A OUTPUT -o ath+ -p tcp --dport 23 -j TOS --set-tos 0x10 iptables -t mangle -A OUTPUT -o ath+ -p tcp --sport 80 -j TOS --set-tos 0x10 #tudo o resto é rejeitado iptables -A athinput -j DROP exit 0
Script de Firewall
Olá Fiz um pequeno script de firewall, coloquei uma copia no etc/init.d/ e agora onde crio o link ? A seguir ao /etc/rcS.d/S40networking ?
Re: Script de Firewall
Silvino Silva escreveu: Olá Fiz um pequeno script de firewall, coloquei uma copia no etc/init.d/ e agora onde crio o link ? A seguir ao /etc/rcS.d/S40networking ? Olá, Ali mesmo: # ln -s ../init.d/firewall /etc/rcS.d/S41firewall -- Atenciosamente, Junior Polegato Um peregrino de problemas; Um pergaminho de soluções! Página Profissional: http://www.juniorpolegato.com.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Script de Firewall
pode ser no rcS, mas eu normalmente prefiro o rc5 por ser mais comum. Poe logo depois do networking, no caso ficaria ln -s /etc/init.d/firewall /etc/rc5.d/S41firewall On 2/6/07, Silvino Silva [EMAIL PROTECTED] wrote: Olá Fiz um pequeno script de firewall, coloquei uma copia no etc/init.d/ e agora onde crio o link ? A seguir ao /etc/rcS.d/S40networking ? -- Rúben Lício Reis Linux Gamming Programming Linux user #433535
Fwd: Script de Firewall
Obrigado.
Re: Script de Firewall
O novo debian etch tem o arquivo /etc/rc.local Mas mesmo no sarge, eu já criava um link simbolico /etc/rc.local apontando para o rcS. Se seu script de firewall foi o último a ser carregado voce pode acrescentar um no final da linha, isso libera mais rápido o login de terminal. Em 06/02/07, Silvino Silva[EMAIL PROTECTED] escreveu: Olá Fiz um pequeno script de firewall, coloquei uma copia no etc/init.d/ e agora onde crio o link ? A seguir ao /etc/rcS.d/S40networking ?
Fwd: Script de Firewall
posta ai seu firewall !! pd ser ?? soh pra estudo sim mal o termine é que estou a ler e a escrever ;)
Fwd: Script de Firewall
Aqui esta ele para correcção :P #!/bin/bash PATH=/sbin:$PATH #Inicialização: clear iptables -X iptables -F # Tabela filter iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT ACCEPT iptables -t filter -P FORWARD DROP # Tabela nat iptables -t nat -P PREROUTING DROP iptables -t nat -P OUTPUT DROP iptables -t nat -P POSTROUTING DROP # Tabela mangle iptables -t mangle -P PREROUTING DROP iptables -t mangle -P OUTPUT DROP #Aceita loopback iptables -t filter -A INPUT -j ACCEPT -i lo #Aceita serviço de HTML iptables -t filter -A INPUT -j ACCEPT -i ath0 -p tcp --sport 80 --dport 1024: #Serviço de MSN iptables -t filter -A INPUT -j ACCEPT -i ath0 -p tcp --sport 1863 --dport 1024: #Aceita HTTPs iptables -t filter -A INPUT -j ACCEPT -i ath0 -p tcp --sport 443 --dport 1024: #Serviço de FTP, apemas upload iptables -t filter -A INPUT -j ACCEPT -i ath0 -p tcp --sport 21 --dport 1024: iptables -t filter -A INPUT -j ACCEPT -i ath0 -p tcp --sport 20 --dport 1024: #Aceita respostas udp dos servidores de DNS iptables -t filter -A INPUT -j ACCEPT -p udp -s ns.esoterica.pt --sport 53 --dport 1024: #Aceitas respostas de destino inatingível e ping iptables -t filter -A INPUT -j ACCEPT -p icmp --icmp-type 0 iptables -t filter -A INPUT -j ACCEPT -p icmp --icmp-type 3 #Tudo o resto é rejeitado e registado iptables -A INPUT -j LOG iptables -A INPUT -j DROP iptables -L exit 0
Fwd: Script de Firewall
peço desculpa pelo script que enviei é que esta completamente errado, fui prematuro... envio logo que consiga ter um que funcione :( ainda tenho muito que aprender
Re: Fwd: Script de Firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Silvino Silva escreveu: Aqui esta ele para correcção :P Faça o seguinte: - - copie o script para o diretório /etc/init.d - - execute o comando chmod +x /etc/init.d/script - - execute o comando sudo aptitude install sysv-rc-conf - - sudo sysv-rc-conf -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.3 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFyPKsLRsGAkXlGDoRArnAAJ9TATHogPqUvpofrLkdMz5Z8LC7dwCeNcBe FIITuPtpH6IR4L7cbV0ByjE= =fS+0 -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Script de Firewall
Olá Terminei o script de firewal, o problema é que agora os uploads ficaram muito lentos, mesmo definindo o TOS no OUTPUT da mangle. Aqui fica o script #!/bin/bash PATH=/sbin:$PATH #Inicialização: clear # Tabela filter iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # Tabela nat iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING DROP # Tabela mangle iptables -t mangle -P INPUT ACCEPT iptables -t mangle -P PREROUTING ACCEPT iptables -t mangle -P FORWARD ACCEPT iptables -t mangle -P POSTROUTING ACCEPT iptables -t mangle -P OUTPUT ACCEPT echo Cria nova cadeia #cria uma nova cadeia athinput iptables -N athinput echo inicia filter ##Cadeia Filter# #Aceita loopback iptables -A INPUT -i lo -j ACCEPT #Cria uma cadeia para as conexões da interenet chamada athinput iptables -A INPUT -i ath+ -j athinput #Tudo o resto é rejeitado e rejistado #iptables -A INPUT -j LOG iptables -A INPUT -j DROP echo inicia athinput ##Cadeia athinput# #Aceitas respostas de destino inatingível e ping com um limite de 2 por segundo iptables -A athinput -p icmp --icmp-type 0 -m limit --limit 2/s -j ACCEPT iptables -A athinput -p icmp --icmp-type 3 -m limit --limit 2/s -j ACCEPT #Serviço de MSN iptables -A athinput -p tcp --sport 1863 --dport 1024: -j ACCEPT #Nao aceita conecções para o apache iptables -A athinput -p tcp --dport 80 -j ACCEPT #Aceita serviço de HTML iptables -A athinput -p tcp --sport 80 --dport 1024: -j ACCEPT #Aceita HTTPs iptables -A athinput -p tcp --sport 443 --dport 1024: -j ACCEPT #Serviço de FTP, apenas upload iptables -A athinput -p tcp --sport 21 --dport 1024: -j ACCEPT iptables -A athinput -p tcp --sport 20 --dport 1024: -j ACCEPT #Aceita respostas udp dos servidores de DNS iptables -A athinput -p udp -s 195.22.0.136 --sport 53 --dport 1024: -j ACCEPT iptables -A athinput -p tcp -s 195.22.0.136 --sport 53 --dport 1024: -j ACCEPT ##Cadeia mangle# iptables -t mangle -A OUTPUT -o ath+ -p tcp --dport 21 -j TOS --set-tos 0x10 iptables -t mangle -A OUTPUT -o ath+ -p tcp --dport 23 -j TOS --set-tos 0x10 iptables -t mangle -A OUTPUT -o ath+ -p tcp --sport 80 -j TOS --set-tos 0x10 #tudo o resto é rejeitado iptables -A athinput -j DROP exit 0
Re: script de firewall
Frederico Martins escreveu: pode fazer assim também /etc/init.d/firewall chmod +x firewall cd /etc/rc2.d/ ln -s /etc/init.d/firewall /etc/rc2.d/S99firewall aqui em casa funciona desta maneira É outra forma, mas eu prefiro utilizar o aplicativo pois fica mais fácil de manipular os scripts. Mas é claro, eu lí um texto sobre o script de inicialização, como ele funciona e coisa e tal. -- .''`. Caio Abreu Ferreira : :' : GNU/Linux Debian `. `'` fingerprint 0B5 0357 B80C E53C 5EF6 9D58 2D1B 0602 45E5 183A `- Key ID 0x45E5183A Linux Couter 327834 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
script de firewall
BOM DIA no slack coloco no rc.d meu firewall agora estou mudando para o debian aonde devo coloca-lo e como por para inicia-lo Obrigado Carlos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: script de firewall
/etc/rc2.d/S99NOMEDOFIREWALL-- Frederico Martins Pedroso JuniorTimotéo - MGfrederico[at]olivenet.com.br - fredimm[at]gmail.com- Debian User -
Re: script de firewall
Bom , acho q a sua duvida se refere a outra .. rsrsr vc ja vai entender .. hehe Bom , o rc2.d estao localizado os Links para os escripts em /etc/init.d la vc tem os scripts propriamente dito , em rc?.d estao localizados links que serao acionados dependendo do numero em questao. por exemplo . ... ... ... runlevel 2 = rc2.d runlevel 3 = rc3.d ... ... ... como o debian trabalha com inicializao em runlevel 2 deve adicionar um link para o script que fica localizado em etc/init.d/script.sh ahh o link deve possuir o mesmos criterio dos que estao la , sinal K[num] mata servico, S[num] starta, eles sao interpretados conforme o indice [num] em ordem crescente. espero que tenha ajudado.. Marlos Sedrez Atendimento em Linux Linux User # 400480 Senior T.I. (47) 221-3300 ra - 513. [EMAIL PROTECTED] Em Seg, 2006-01-16 s 11:21 -0200, Frederico Martins escreveu: /etc/rc2.d/S99NOMEDOFIREWALL -- Frederico Martins Pedroso Junior Timoto - MG frederico[at]olivenet.com.br - fredimm[at]gmail.com - Debian User -
Re: script de firewall
debopen escreveu: BOM DIA no slack coloco no rc.d meu firewall agora estou mudando para o debian aonde devo coloca-lo e como por para inicia-lo 1 - copie o script de firewall para o diretório /etc/init.d/ 2 - torne o script executavel, chmod +x 3- instale o aplicativo sysv-rc-conf, apitude install sysv-rc-conf 3 - execute o aplicativo sysv-rc-conf. .''`. Caio Abreu Ferreira : :' : GNU/Linux Debian `. `'` fingerprint 0B5 0357 B80C E53C 5EF6 9D58 2D1B 0602 45E5 183A `- Key ID 0x45E5183A Linux Couter 327834 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: script de firewall
pode fazer assim também /etc/init.d/firewall chmod +x firewall cd /etc/rc2.d/ ln -s /etc/init.d/firewall /etc/rc2.d/S99firewall aqui em casa funciona desta maneira-- Frederico Martins Pedroso JuniorTimotéo - MGfrederico[at]olivenet.com.br - fredimm[at]gmail.com- Debian User -
Re: Script de Firewall
Cara, podes fazer assim, boota com o kurumin e gera o script de firewall conforme tuas necessidades, aí pega esse script e usa no sistema que tu quiser ;-) Na minha máquina desktop fiz isso, ainda o Morimoto deixou várias linhas comentadas com explicação, aí basta adaptar as tuas necessidades, não sei se é isso é uma forma interessante, mas pra servidores de rede não sei se seria uma boa solução. []´s -- Enviado por Moisés Jardim Pinheiro Fone: (53) 9107 8473 E-mail: [EMAIL PROTECTED] ICQ: 300539142 MSN: [EMAIL PROTECTED] Linux User #366875 Canguçu/RS Em 29/09/05, Augusto Hagiro Pascutti - TBON3[EMAIL PROTECTED] escreveu: Bom Dia, Não gostaria de reinventar a roda .. estou com um script de firewall, e já achei diversos na net ... gostaria de saber quais vcs usam .. e onde posso encontrá-lo ! Existem muitas fontes diferentes .. isso dificulta muito a tarefa. Agradeço desde já a ajuda de todos -- []'s Augusto
Re: Script de Firewall
Em 29/09/05, Moisés Jardim Pinheiro [EMAIL PROTECTED] escreveu: Cara, podes fazer assim, boota com o kurumin e gera o script defirewall conforme tuas necessidades, aí pega esse script e usa no sistema que tu quiser ;-)Na minha máquina desktop fiz isso, ainda o Morimoto deixou váriaslinhas comentadas com explicação, aí basta adaptar as tuasnecessidades, não sei se é isso é uma forma interessante, mas pra servidores de rede não sei se seria uma boa solução.[]´s--Enviado por Moisés Jardim PinheiroFone: (53) 9107 8473E-mail: [EMAIL PROTECTED] ICQ: 300539142MSN: [EMAIL PROTECTED]Linux User #366875Canguçu/RSEm 29/09/05, Augusto Hagiro Pascutti - TBON3 [EMAIL PROTECTED] escreveu: Bom Dia, Não gostaria de reinventar a roda .. estou com um script de firewall, e já achei diversos na net ... gostaria de saber quais vcs usam .. e onde posso encontrá-lo ! Existem muitas fontes diferentes .. isso dificulta muito a tarefa. Agradeço desde já a ajuda de todos -- []'s Augusto Sim, eu sei que cada rede tem suas especificações ... mas minha necessidade é de administra a rede de diversos clientes, por isso tenho um firewall que carrega a lista de portas e IPs liberados, o resto é tudo igual =D O que eu queria é uma espécie de troca de experiência ... que portas vcs costumam liberar etc etc etc E tenho certeza que não sou o unico que tem a necessidade de administrar várias redes, aposto que existem muitos outros que possuem scripts que sejam de fácil adaptação pra outra rede ... = Não sabia da existência do livro, vou procurar sobre ele =D, vlw por enquanto hein pessoal !!-- []'sAugusto
Re: Script de Firewall
Tudo vai depender da sua necessidade, quero frisar aqui que não sou administrador de rede, e se eu estiver falando alguma bobagem, por favor, corrijam-me ;-) Se não é necessário acessar remotamente o servidor da tua rede, pra que liberar a porta 22 (ssh) p/ internet? a mesma coisa vale pro FTP (21) e servidor web (80), e além disso, se não for preciso possuir acesso remoto a tua rede, bloqueia todas as portas p/ internet, e libera p/ tua rede interna somente as portas que precisam ser utilizadas por nodos da tua LAN, as outras podes bloqueiar tudo. Também podes fazer da seguinte forma, podes liberar SSH e outros serviços nas portas que não são a padrão de cada serviço, por. exemplo, libera o SSH para acesso remoto na porta 20022 por ex., e assim por diante pra cada serviço, isso já te dará um pouco mais de segurança, coloca esses serviços escutando em portas altas, pois a maioria dos PortScans vão diretamente nessas portas padrões. A respeito dos scripts reusáveis, vai colocando toda nova alteração num script template e comentando tudo, depois de um certo tempo tu vais ter um template bem robusto, daí em diante p/ cada rede que tu precisar usá-lo, basta sair descomentando as linhas que tu quer que sejam aplicadas ao firewall ;-) Acho que isso de certa forma te ajuda um pouco, pois tu irá ter depois de certo tempo um script template bastante robusto e com muitas possibilidades de regras p/ teus firewall´s. Era isso. []´s -- Enviado por Moisés Jardim Pinheiro Fone: (53) 9107 8473 E-mail: [EMAIL PROTECTED] ICQ: 300539142 MSN: [EMAIL PROTECTED] Linux User #366875 Canguçu/RS Em 29/09/05, Augusto Hagiro Pascutti - TBON3[EMAIL PROTECTED] escreveu: Em 29/09/05, Moisés Jardim Pinheiro [EMAIL PROTECTED] escreveu: Cara, podes fazer assim, boota com o kurumin e gera o script de firewall conforme tuas necessidades, aí pega esse script e usa no sistema que tu quiser ;-) Na minha máquina desktop fiz isso, ainda o Morimoto deixou várias linhas comentadas com explicação, aí basta adaptar as tuas necessidades, não sei se é isso é uma forma interessante, mas pra servidores de rede não sei se seria uma boa solução. []´s -- Enviado por Moisés Jardim Pinheiro Fone: (53) 9107 8473 E-mail: [EMAIL PROTECTED] ICQ: 300539142 MSN: [EMAIL PROTECTED] Linux User #366875 Canguçu/RS Em 29/09/05, Augusto Hagiro Pascutti - TBON3 [EMAIL PROTECTED] escreveu: Bom Dia, Não gostaria de reinventar a roda .. estou com um script de firewall, e já achei diversos na net ... gostaria de saber quais vcs usam .. e onde posso encontrá-lo ! Existem muitas fontes diferentes .. isso dificulta muito a tarefa. Agradeço desde já a ajuda de todos -- []'s Augusto Sim, eu sei que cada rede tem suas especificações ... mas minha necessidade é de administra a rede de diversos clientes, por isso tenho um firewall que carrega a lista de portas e IPs liberados, o resto é tudo igual =D O que eu queria é uma espécie de troca de experiência ... que portas vcs costumam liberar etc etc etc E tenho certeza que não sou o unico que tem a necessidade de administrar várias redes, aposto que existem muitos outros que possuem scripts que sejam de fácil adaptação pra outra rede ... = Não sabia da existência do livro, vou procurar sobre ele =D, vlw por enquanto hein pessoal !! -- []'s Augusto
Script de Firewall
Bom Dia, Não gostaria de reinventar a roda .. estou com um script de firewall, e já achei diversos na net ... gostaria de saber quais vcs usam .. e onde posso encontrá-lo ! Existem muitas fontes diferentes .. isso dificulta muito a tarefa. Agradeço desde já a ajuda de todos -- []'s Augusto
Script de firewall
Olá, Alguém tem um script p/ o Iptables que barra os ataques de virus mais comuns? Obrigado Rodolfo Barbosa e-mail: [EMAIL PROTECTED] MSN: [EMAIL PROTECTED] ICQ: 30126428
Re: Script de firewall
Veja se o endereco abaixo te ajuda. http://forumgdh.net/viewtopic.php?t=97877highlight= Rodolfo Barbosa escreveu: Olá, Alguém tem um script p/ o Iptables que barra os ataques de virus mais comuns? Obrigado Rodolfo Barbosa e-mail: [EMAIL PROTECTED] MSN: [EMAIL PROTECTED] ICQ: 30126428 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
sistema de script de firewall
Aew galera, Olha só devido as necessidades da empresa que trabalho tenho que está abrindo,liberando bloqueando portas pelo iptables constantemente, o script está muito grande e fica dificil de acompanhar e ter algo facil e rapido de administrar, então pensei em criar um script que facilite minha vida e talvez dos outros e que funcione da seguinte forma: -Primeiro crio uma pasta /etc/firewall na qual coloco todos os serviços de firewall(regras divididas por arquivos), e uma pasta dentro do /etc/init.d/firewall na qual conterá os links para os serviços startados no boot. deixe-me explicar melhor , vamos supor que tenho um serviço web rodando na porta 80, então crio um script dentro da pasta /etc/firewall chamado, webserver , este script conterá o codigo referente a ativação do serviço web no iptables, e aceitará os comandos: start, stop, desc, boot, noboot e time start - inicia o serviço. stop - Para o mesmo status - Mostra o status do mesmo. desc - Mostra uma breve descrição. boot - ativa o mesmo para rodar no boot(cria um link na pasta /etc/init.d/firewall) noboot -desativa o mesmo para rodar no boot(deleta um link se houver na pasta /etc/init.d/firewall) time - este vai aceitar parametros também, e ativa o serviço por um tempo determinado, ou cria um periodo no qual o mesmo deva ser ativado e desativado (para parar o serviço depois de um tempo pensei, em passar o serviço com o parametro stop para o comando AT) se for para ativar e desativar, em periodos determinados, utilizamos o conhecido crontab =) . Dai se eu quero ativar o acesso a web um periodo de 2 horas daria o comando # rc.firewall webserver start time 120 Penso em fazer algo do tipo, se o serviço estiver startado, e quiser parar daqui a duas horas passar o comando com o parametro stop assim. # rc.firewall webserver stop time 120 Se o mesmo não estiver ativo no boot, e eu quiser ativar o mesmo, digitaria # rc.firewall webserver boot Bom é isso, mas o motivo de escrever isto é que não tenho conhecimentos profundos de shell script, então gostaria se possivel da ajuda de alguém, alguém se disporia a me ajudar? Sds, Anderson