Problemas com iptables
Bom dia pessoal, Estou tentando executar alguns comandos dentro de um script que tenho para subir minhas regras de iptables e ele não está executando as regras de layer 7. Quando executo pela linha de comando funciona normalmente. Somente quando tento executa-las através do script é que ocorre o erro. Alguém poderia me ajudar? Segue erro: iptables v1.4.1.1: Couldn't load match `layer':/usr/local/libexec/xtables/libipt _layer.so: cannot open shared object file: No such file or directory Try `iptables -h' or 'iptables --help' for more information. Segue parte do meu script: MOD=/sbin/modprobe IPT=/usr/local/sbin/iptables /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_REJECT /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ipt_layer7 /sbin/modprobe ip_conntrack $IPT -A FORWARD -m layer 7 --l7proto bittorrent -j DROP Desde já agradeço, Juliana
Re: Problemas com iptables
iptables v1.4.1.1: Couldn't load match `layer':/usr/local/libexec/xtables/libipt _layer.so: cannot open shared object file: No such file or directory ai ta dizendo que o iptables não conseguiu carregar esse arquivo libipt_layer.sono diretório mostrado. procura esse arquivo e vê se realemnte esta láse tiver...acho que vc vai ter que mudar algumas permissões 2009/4/16 Juliana Guisolberto juliana.guisolbe...@gmail.com Bom dia pessoal, Estou tentando executar alguns comandos dentro de um script que tenho para subir minhas regras de iptables e ele não está executando as regras de layer 7. Quando executo pela linha de comando funciona normalmente. Somente quando tento executa-las através do script é que ocorre o erro. Alguém poderia me ajudar? Segue erro: iptables v1.4.1.1: Couldn't load match `layer':/usr/local/libexec/xtables/libipt _layer.so: cannot open shared object file: No such file or directory Try `iptables -h' or 'iptables --help' for more information. Segue parte do meu script: MOD=/sbin/modprobe IPT=/usr/local/sbin/iptables /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_REJECT /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ipt_layer7 /sbin/modprobe ip_conntrack $IPT -A FORWARD -m layer 7 --l7proto bittorrent -j DROP Desde já agradeço, Juliana
Re: Problemas com iptables
Opa, Sera que nao foi porque voce colocou um espaco a mais entre layer e 7 ? $IPT -A FORWARD -m layer 7 --l7proto bittorrent -j DROP *^* 2009/4/16 Rodolfo rof20...@gmail.com iptables v1.4.1.1: Couldn't load match `layer':/usr/local/libexec/xtables/libipt _layer.so: cannot open shared object file: No such file or directory ai ta dizendo que o iptables não conseguiu carregar esse arquivo libipt_layer.sono diretório mostrado. procura esse arquivo e vê se realemnte esta láse tiver...acho que vc vai ter que mudar algumas permissões 2009/4/16 Juliana Guisolberto juliana.guisolbe...@gmail.com Bom dia pessoal, Estou tentando executar alguns comandos dentro de um script que tenho para subir minhas regras de iptables e ele não está executando as regras de layer 7. Quando executo pela linha de comando funciona normalmente. Somente quando tento executa-las através do script é que ocorre o erro. Alguém poderia me ajudar? Segue erro: iptables v1.4.1.1: Couldn't load match `layer':/usr/local/libexec/xtables/libipt _layer.so: cannot open shared object file: No such file or directory Try `iptables -h' or 'iptables --help' for more information. Segue parte do meu script: MOD=/sbin/modprobe IPT=/usr/local/sbin/iptables /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_REJECT /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ipt_layer7 /sbin/modprobe ip_conntrack $IPT -A FORWARD -m layer 7 --l7proto bittorrent -j DROP Desde já agradeço, Juliana
Re: Problemas com iptables
Não foi isso não. No script estava certo. Mas agora funcionou, eu utilizei a versão mais recente do netfilter e foi. 2009/4/16 Rodrigo Escobar rescoba...@gmail.com Opa, Sera que nao foi porque voce colocou um espaco a mais entre layer e 7 ? $IPT -A FORWARD -m layer 7 --l7proto bittorrent -j DROP *^* 2009/4/16 Rodolfo rof20...@gmail.com iptables v1.4.1.1: Couldn't load match `layer':/usr/local/libexec/xtables/libipt _layer.so: cannot open shared object file: No such file or directory ai ta dizendo que o iptables não conseguiu carregar esse arquivo libipt_layer.sono diretório mostrado. procura esse arquivo e vê se realemnte esta láse tiver...acho que vc vai ter que mudar algumas permissões 2009/4/16 Juliana Guisolberto juliana.guisolbe...@gmail.com Bom dia pessoal, Estou tentando executar alguns comandos dentro de um script que tenho para subir minhas regras de iptables e ele não está executando as regras de layer 7. Quando executo pela linha de comando funciona normalmente. Somente quando tento executa-las através do script é que ocorre o erro. Alguém poderia me ajudar? Segue erro: iptables v1.4.1.1: Couldn't load match `layer':/usr/local/libexec/xtables/libipt _layer.so: cannot open shared object file: No such file or directory Try `iptables -h' or 'iptables --help' for more information. Segue parte do meu script: MOD=/sbin/modprobe IPT=/usr/local/sbin/iptables /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_REJECT /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ipt_layer7 /sbin/modprobe ip_conntrack $IPT -A FORWARD -m layer 7 --l7proto bittorrent -j DROP Desde já agradeço, Juliana
Res: problemas com iptables
So tenho uma observacao a fazer, quanto as duas regras do INPUT abaixo:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Se estou bem certo, como o INPUT esta DROP, a segunda linha nao ira funcionar
porque voce nao permitiu novas conexoes com o estado NEW, o RELATED e
ESTABLISHED somente valem para quando a conexao partiu da maquina local, ou
seja, ela inicia a conexao, no caso do ssh quem vai iniciar a conexao e uma
maquina externa, entao o firewall tem que permitir novas conexoes para o ssh.
No meu caso o que fiz foi colocar regras de estado somente para servicos e
portas que realmente valem a pena e individualmente, da mais trabalho mas e
mais facil de identificar erros, e tambem nao ira aumentar tanto o consumo de
processador.
Falou.
--
- -Claudio Rocha de Jesus
|.|-|.| Analista de Suporte Tecnico
-[EMAIL PROTECTED]
Linux user number 433834
--
- Mensagem original
De: Edson Marquezani Filho [EMAIL PROTECTED]
Para: Clayton Nogueira [EMAIL PROTECTED]
Cc: debian-user-portuguese@lists.debian.org
Enviadas: Quinta-feira, 5 de Julho de 2007 17:17:19
Assunto: Re: problemas com iptables
Ok, vou tentar comentar seu script.
Mas você não nos disse se tentou alguma alteração, ou se conseguir
alguma coisa.
O que eu sugeriria era que você começasse adicionando as regras mais
essencias e depois fosse incrementando, assim você consegue saber o
que tem de errado.
Minha experiência não é lá aquelas coisas, mas vou tentar ajudar com o que sei.
Vou considerar que você tem uma máquina funcionando como gateway,
firewall com a eth0 com saída pra internet e eth1 pra tua rede
interna.
Vamos lá.
#!/bin/bash
#SRV-Firewall Novamarca500 - Interface 2007#
#Clayton Nogueira - [EMAIL PROTECTED]
#
iniciar(){
echo Iniciando regras de Firewall
#Modulos
modprobe ip_tables
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_state
modprobe ipt_MASQUERADE
modprobe iptable_nat
Beleza, deve ter tudo que precisa de módulo aí. =)
#Padrao
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
Ok também, de praxe.
#Proxy transparente
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
--to-port 3128
iptables -t nat -A POSTROUTING -o eth1 -p tcp --sport 3128 -j ACCEPT
Olha só. Eu sinceramente não saquei qual é a dessa regra. Você não
precisa dela pra fazer seu proxy transparente, na minha humilde
opinião. =)
#INPUT
iptables -A INPUT -i lo -j ACCEPT
Regra importante. Permitir comunicação com loopback.
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Essa regra é que dá a característica de Stetefull ao teu firewall. Com
ela você permite que os pacotes de conexões iniciados trafeguem numa
boa. Mas isso só afeta as conexões que saem diretamento do teu
firewall.
As que saem por NAT, das máquina de dentro da rede não são filtradas
nessa chain.
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Bom, essa regra só faz sentido se você tem algum serviço rodando na
porta 22 do firewall (ssh provavelmente) e quer permitir conexões
vindas de qualquer lugar pra essa porta.
Detalhe que rodar um ssh na porta padrão nunca é uma boa coisa. =)
Se você colocou ela por causa daquela outra máquina que você tem
dentro da rede, e que você tá fazendo DNAT pra ela, não precisa. Ranca
fora.
iptables -A INPUT -p tcp --destination-port 3128 -j ACCEPT
Também só faz sentido se você quer permitir conexões de fora pra um
serviço nessa porta, no caso, teu proxy.
Se a intenção era permitir que o proxy acessasse a internet, tá
errado. Primeiro porque que as conexões do proxy pra internet
originam-se em outras portas altas. A porta 3128 só recebe as
requisições dos clientes que se conectam ao proxy.
Sendo assim, as conexões do proxy com o resto do mundo funcionarão por
conta daquela regrinha de StateFull lá em cima.
iptables -A INPUT -p tcp --syn -s 10.0.0.0/8 -j ACCEPT
Hum... boa. Vai deixar todo mundo de dentro da tua rede se conectar
com seu servidor. Só faltou algo muito importante, restringir à
interface interna: -i eth0
#Redirecionamento de portas
#FTP, porta 21
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT
--to-destination 10.0.0.14
iptables -t nat -A POSTROUTING -s 10.0.0.14 -j SNAT --to-source 10.0.0.1
Essa regra não precisa. Você já tá fazendo MASQUERADE pra todo mundo lá embaixo.
#SSH, porta 22
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 22 -j DNAT
--to-destination 10.0.0.14
iptables -t nat -A POSTROUTING -s 10.0.0.14 -j SNAT --to-source 10.0.0.1
Essa é a mesma coisa.
#Forward de portas
iptables -A FORWARD -p udp -s 10.0.0.0/8 -i eth1 -o eth0 --dport 25 -j ACCEPT
iptables -A FORWARD -p udp -s
Re: problemas com iptables
Em 06/07/07, Claudio Rocha de Jesus[EMAIL PROTECTED] escreveu:
So tenho uma observacao a fazer, quanto as duas regras do INPUT abaixo:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Se estou bem certo, como o INPUT esta DROP, a segunda linha nao ira funcionar
porque voce nao permitiu novas conexoes com o estado NEW, o RELATED e
ESTABLISHED somente valem para quando a conexao partiu da maquina local, ou
seja, ela inicia a conexao, no caso do ssh quem vai iniciar a conexao e uma
maquina externa, entao o firewall tem que permitir novas conexoes para o ssh.
Na verdade, as regras são lidas sequencialmente, e, se um pacote
confere com uma regra (drop ou accept) a providencia é tomada e o
restante das regras não são lidas. A política padrão (no caso drop) só
será aplicada se o pacote passar por todas as regras, no caso, se esta
regra liberou a entrada de pacotes na porta 22, o pacote será aceito e
as demais regras serão ignoradas.
No meu caso o que fiz foi colocar regras de estado somente para servicos e
portas que realmente valem a pena e individualmente, da mais trabalho mas e
mais facil de identificar erros, e tambem nao ira aumentar tanto o consumo de
processador.
Falou.
--
- -Claudio Rocha de Jesus
|.|-|.| Analista de Suporte Tecnico
-[EMAIL PROTECTED]
Linux user number 433834
--
Denis Anjos
CCNA CSCO11109942
- Mensagem original
De: Edson Marquezani Filho [EMAIL PROTECTED]
Para: Clayton Nogueira [EMAIL PROTECTED]
Cc: debian-user-portuguese@lists.debian.org
Enviadas: Quinta-feira, 5 de Julho de 2007 17:17:19
Assunto: Re: problemas com iptables
Ok, vou tentar comentar seu script.
Mas você não nos disse se tentou alguma alteração, ou se conseguir
alguma coisa.
O que eu sugeriria era que você começasse adicionando as regras mais
essencias e depois fosse incrementando, assim você consegue saber o
que tem de errado.
Minha experiência não é lá aquelas coisas, mas vou tentar ajudar com o que sei.
Vou considerar que você tem uma máquina funcionando como gateway,
firewall com a eth0 com saída pra internet e eth1 pra tua rede
interna.
Vamos lá.
#!/bin/bash
#SRV-Firewall Novamarca500 - Interface 2007#
#Clayton Nogueira - [EMAIL PROTECTED]
#
iniciar(){
echo Iniciando regras de Firewall
#Modulos
modprobe ip_tables
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_state
modprobe ipt_MASQUERADE
modprobe iptable_nat
Beleza, deve ter tudo que precisa de módulo aí. =)
#Padrao
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
Ok também, de praxe.
#Proxy transparente
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
--to-port 3128
iptables -t nat -A POSTROUTING -o eth1 -p tcp --sport 3128 -j ACCEPT
Olha só. Eu sinceramente não saquei qual é a dessa regra. Você não
precisa dela pra fazer seu proxy transparente, na minha humilde
opinião. =)
#INPUT
iptables -A INPUT -i lo -j ACCEPT
Regra importante. Permitir comunicação com loopback.
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Essa regra é que dá a característica de Stetefull ao teu firewall. Com
ela você permite que os pacotes de conexões iniciados trafeguem numa
boa. Mas isso só afeta as conexões que saem diretamento do teu
firewall.
As que saem por NAT, das máquina de dentro da rede não são filtradas
nessa chain.
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Bom, essa regra só faz sentido se você tem algum serviço rodando na
porta 22 do firewall (ssh provavelmente) e quer permitir conexões
vindas de qualquer lugar pra essa porta.
Detalhe que rodar um ssh na porta padrão nunca é uma boa coisa. =)
Se você colocou ela por causa daquela outra máquina que você tem
dentro da rede, e que você tá fazendo DNAT pra ela, não precisa. Ranca
fora.
iptables -A INPUT -p tcp --destination-port 3128 -j ACCEPT
Também só faz sentido se você quer permitir conexões de fora pra um
serviço nessa porta, no caso, teu proxy.
Se a intenção era permitir que o proxy acessasse a internet, tá
errado. Primeiro porque que as conexões do proxy pra internet
originam-se em outras portas altas. A porta 3128 só recebe as
requisições dos clientes que se conectam ao proxy.
Sendo assim, as conexões do proxy com o resto do mundo funcionarão por
conta daquela regrinha de StateFull lá em cima.
iptables -A INPUT -p tcp --syn -s 10.0.0.0/8 -j ACCEPT
Hum... boa. Vai deixar todo mundo de dentro da tua rede se conectar
com seu servidor. Só faltou algo muito importante, restringir à
interface interna: -i eth0
#Redirecionamento de portas
#FTP, porta 21
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT
--to-destination 10.0.0.14
iptables -t
Re: problemas com iptables
Em 04/07/07, Clayton Nogueira[EMAIL PROTECTED] escreveu: só gostaria de saber se o script que fiz está correto, alguém poderia comentá-lo por favor e me mostrar onde estão os erros, alguns dos quais eu mesmo já identifiquei. Obrigado mais uma vez, abraço a todos. ninguém se habilita ? ajuda aí pessoal, preciso terminar esse script!!! Só preciso que alguém comente o script, para que eu possa altera-lo e assim, conseguir uma configuração que se adeque a minha rede. Aguardo resposta, abraço. -- Att, Clayton Nogueira Analista de Suporte Linux User nro. #448808 Ubuntu User nro. # 15799
Re: problemas com iptables
Ok, vou tentar comentar seu script.
Mas você não nos disse se tentou alguma alteração, ou se conseguir
alguma coisa.
O que eu sugeriria era que você começasse adicionando as regras mais
essencias e depois fosse incrementando, assim você consegue saber o
que tem de errado.
Minha experiência não é lá aquelas coisas, mas vou tentar ajudar com o que sei.
Vou considerar que você tem uma máquina funcionando como gateway,
firewall com a eth0 com saída pra internet e eth1 pra tua rede
interna.
Vamos lá.
#!/bin/bash
#SRV-Firewall Novamarca500 - Interface 2007#
#Clayton Nogueira - [EMAIL PROTECTED]
#
iniciar(){
echo Iniciando regras de Firewall
#Modulos
modprobe ip_tables
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_state
modprobe ipt_MASQUERADE
modprobe iptable_nat
Beleza, deve ter tudo que precisa de módulo aí. =)
#Padrao
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
Ok também, de praxe.
#Proxy transparente
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
--to-port 3128
iptables -t nat -A POSTROUTING -o eth1 -p tcp --sport 3128 -j ACCEPT
Olha só. Eu sinceramente não saquei qual é a dessa regra. Você não
precisa dela pra fazer seu proxy transparente, na minha humilde
opinião. =)
#INPUT
iptables -A INPUT -i lo -j ACCEPT
Regra importante. Permitir comunicação com loopback.
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Essa regra é que dá a característica de Stetefull ao teu firewall. Com
ela você permite que os pacotes de conexões iniciados trafeguem numa
boa. Mas isso só afeta as conexões que saem diretamento do teu
firewall.
As que saem por NAT, das máquina de dentro da rede não são filtradas
nessa chain.
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Bom, essa regra só faz sentido se você tem algum serviço rodando na
porta 22 do firewall (ssh provavelmente) e quer permitir conexões
vindas de qualquer lugar pra essa porta.
Detalhe que rodar um ssh na porta padrão nunca é uma boa coisa. =)
Se você colocou ela por causa daquela outra máquina que você tem
dentro da rede, e que você tá fazendo DNAT pra ela, não precisa. Ranca
fora.
iptables -A INPUT -p tcp --destination-port 3128 -j ACCEPT
Também só faz sentido se você quer permitir conexões de fora pra um
serviço nessa porta, no caso, teu proxy.
Se a intenção era permitir que o proxy acessasse a internet, tá
errado. Primeiro porque que as conexões do proxy pra internet
originam-se em outras portas altas. A porta 3128 só recebe as
requisições dos clientes que se conectam ao proxy.
Sendo assim, as conexões do proxy com o resto do mundo funcionarão por
conta daquela regrinha de StateFull lá em cima.
iptables -A INPUT -p tcp --syn -s 10.0.0.0/8 -j ACCEPT
Hum... boa. Vai deixar todo mundo de dentro da tua rede se conectar
com seu servidor. Só faltou algo muito importante, restringir à
interface interna: -i eth0
#Redirecionamento de portas
#FTP, porta 21
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT
--to-destination 10.0.0.14
iptables -t nat -A POSTROUTING -s 10.0.0.14 -j SNAT --to-source 10.0.0.1
Essa regra não precisa. Você já tá fazendo MASQUERADE pra todo mundo lá embaixo.
#SSH, porta 22
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 22 -j DNAT
--to-destination 10.0.0.14
iptables -t nat -A POSTROUTING -s 10.0.0.14 -j SNAT --to-source 10.0.0.1
Essa é a mesma coisa.
#Forward de portas
iptables -A FORWARD -p udp -s 10.0.0.0/8 -i eth1 -o eth0 --dport 25 -j ACCEPT
iptables -A FORWARD -p udp -s 10.0.0.0/8 -i eth1 -o eth0 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 10.0.0.0/8 -i eth1 -o eth0 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.0.0.0/8 -i eth1 -o eth0 --dport 5405 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.0.0.0/8 -i eth1 -o eth0 --dport 1863
-j ACCEPT #msn
Ok, vai usar DNS externo, entre outras coisas, é isso? Tá deixando os
pacotes saírem.
iptables -A FORWARD -p udp -i eth0 -o eth1 --sport 25 -j ACCEPT
iptables -A FORWARD -p udp -i eth0 -o eth1 --sport 53 -j ACCEPT
iptables -A FORWARD -p udp -i eth0 -o eth1 --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 -o eth1 --sport 5405 -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 -o eth1 --sport 1863 -j ACCEPT
Ok, agora tá deixando os pacotes voltarem. Só adiciona o -s 10.0.0.0/8
pra deixar bem claro que eles tão vindo de fora, pra dentro da tua
rede.
#Mascaramento
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Tá, aqui você faz o MASQUERADE pra todo mundo. Essa é a regra que
compartilha a internet.
#Compartilha a internet
echo 1 /proc/sys/net/ipv4/ip_forward
Habilitando roteamento de pacotes do kernel. Sem isso nada funciona também. =)
echo Regras de Firewall ATIVADAS
}
parar(){
iptables -F
iptables -t nat -F
iptables -t mangle -F
echo Regras de Firewall DESATIVADAS
}
Re: problemas com iptables
Opa, opa, opa, corrigindo. ... iptables -A FORWARD -p udp -i eth0 -o eth1 --sport 25 -j ACCEPT iptables -A FORWARD -p udp -i eth0 -o eth1 --sport 53 -j ACCEPT iptables -A FORWARD -p udp -i eth0 -o eth1 --sport 110 -j ACCEPT iptables -A FORWARD -p tcp -i eth0 -o eth1 --sport 5405 -j ACCEPT iptables -A FORWARD -p tcp -i eth0 -o eth1 --sport 1863 -j ACCEPT Ok, agora tá deixando os pacotes voltarem. Só adiciona o ** -d 10.0.0.0/8 ** pra deixar bem claro que eles tão vindo de fora, pra dentro da tua rede. ... Era -d e não -s. Foi mal. Outra coisa que me lembrei. Faz isso aqui, só pra garantir. iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT
Re: problemas com iptables
Edson Marquezani Filho escreveu: Opa, opa, opa, corrigindo. ... iptables -A FORWARD -p udp -i eth0 -o eth1 --sport 25 -j ACCEPT iptables -A FORWARD -p udp -i eth0 -o eth1 --sport 53 -j ACCEPT iptables -A FORWARD -p udp -i eth0 -o eth1 --sport 110 -j ACCEPT iptables -A FORWARD -p tcp -i eth0 -o eth1 --sport 5405 -j ACCEPT iptables -A FORWARD -p tcp -i eth0 -o eth1 --sport 1863 -j ACCEPT Ok, agora tá deixando os pacotes voltarem. Só adiciona o ** -d 10.0.0.0/8 ** pra deixar bem claro que eles tão vindo de fora, pra dentro da tua rede. ... Era -d e não -s. Foi mal. Outra coisa que me lembrei. Faz isso aqui, só pra garantir. iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT Olá, Eu iria comentar essas coisas também, mas como eu tinha dito antes, isso no FORWARD não funciona! Muitos serviços iniciam a seção por uma porta, negociam outras e trabalham com uma ou mais portas, assim sendo, olhar a porta do fonte (source) para filtrar não é nada eficiente e dá um zica danada! Era essa sua zica? -- Atenciosamente, Junior Polegato Um peregrino de problemas; Um pergaminho de soluções! Página Profissional: http://www.juniorpolegato.com.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: problemas com iptables
Eu iria comentar essas coisas também, mas como eu tinha dito antes, isso no FORWARD não funciona! Muitos serviços iniciam a seção por uma porta, negociam outras e trabalham com uma ou mais portas, assim sendo, olhar a porta do fonte (source) para filtrar não é nada eficiente e dá um zica danada! Era essa sua zica? -- Atenciosamente, Hum... não tô muito convencido disso não. Eu tenho um servidor de firewall e filtro tudo assim, com a diferença de que eu só libero para hosts específicos e tudo funcionando perfeitamente. Na verdade eu já peguei ele funcionando dessa maneira, e como aprendi a partir daí, sempre tomei meio como padrão. E olha que o pessoal usa, além do básico, como email, programa da Receita Federal, de banco e o escambal. Bom, pelo menos nos serviços que o meu pessoal usa, trabalha numa porta só e acabou. Junior, porque você diz que isso dá zica? Tõ perguntando por interesse mesmo, porque não conheço muita coisa. Como você faz?
Re: problemas com iptables
Edson Marquezani Filho escreveu: Eu iria comentar essas coisas também, mas como eu tinha dito antes, isso no FORWARD não funciona! Muitos serviços iniciam a seção por uma porta, negociam outras e trabalham com uma ou mais portas, assim sendo, olhar a porta do fonte (source) para filtrar não é nada eficiente e dá um zica danada! Era essa sua zica? Hum... não tô muito convencido disso não. Eu tenho um servidor de firewall e filtro tudo assim, com a diferença de que eu só libero para hosts específicos e tudo funcionando perfeitamente. Na verdade eu já peguei ele funcionando dessa maneira, e como aprendi a partir daí, sempre tomei meio como padrão. E olha que o pessoal usa, além do básico, como email, programa da Receita Federal, de banco e o escambal. Bom, pelo menos nos serviços que o meu pessoal usa, trabalha numa porta só e acabou. Junior, porque você diz que isso dá zica? Tõ perguntando por interesse mesmo, porque não conheço muita coisa. Como você faz? Olá, Se usa proxy transparente, não vai ter problemas com navegação, mas se não usa, o que vai ser quando um site que te direciona para outro (ou o mesmo) numa porta doida, como fica? E FTP passivo, que negocia outra porta para trabalho? E VoIP então? SIP e companhia? E por aí vai... -- Atenciosamente, Junior Polegato Um peregrino de problemas; Um pergaminho de soluções! Página Profissional: http://www.juniorpolegato.com.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: problemas com iptables
Edson Marquezani Filho escreveu: Junior, porque você diz que isso dá zica? Tõ perguntando por interesse mesmo, porque não conheço muita coisa. Como você faz? Aqui tem um bom exemplo de firewall com iptables comentado: http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htm#s-fw-iptables-exemplo-fw Leia todo o resto para entender melhor. Abraços. -- Atenciosamente, Junior Polegato Um peregrino de problemas; Um pergaminho de soluções! Página Profissional: http://www.juniorpolegato.com.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
problemas com iptables
Pessoal eu fiz um script de firewall, mas quando coloco ele pra rodar
a internet da minha empresa cai e dá uma zica só... Alguem pode dar
uma olhada/avaliada e dizer no que estou errando ?
Segue abaixo, abraços.
#!/bin/bash
#SRV-Firewall Novamarca500 - Interface 2007#
#Clayton Nogueira - [EMAIL PROTECTED]
#
iniciar(){
echo Iniciando regras de Firewall
#Modulos
modprobe ip_tables
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_state
modprobe ipt_MASQUERADE
modprobe iptable_nat
#Padrao
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#Proxy transparente
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
--to-port 3128
iptables -t nat -A POSTROUTING -o eth1 -p tcp --sport 3128 -j ACCEPT
#INPUT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 3128 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 10.0.0.0/8 -j ACCEPT
#Redirecionamento de portas
#FTP, porta 21
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT
--to-destination 10.0.0.14
iptables -t nat -A POSTROUTING -s 10.0.0.14 -j SNAT --to-source 10.0.0.1
#SSH, porta 22
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 22 -j DNAT
--to-destination 10.0.0.14
iptables -t nat -A POSTROUTING -s 10.0.0.14 -j SNAT --to-source 10.0.0.1
#Forward de portas
iptables -A FORWARD -p udp -s 10.0.0.0/8 -i eth1 -o eth0 --dport 25 -j ACCEPT
iptables -A FORWARD -p udp -s 10.0.0.0/8 -i eth1 -o eth0 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 10.0.0.0/8 -i eth1 -o eth0 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.0.0.0/8 -i eth1 -o eth0 --dport 5405 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.0.0.0/8 -i eth1 -o eth0 --dport 1863
-j ACCEPT #msn
iptables -A FORWARD -p udp -i eth0 -o eth1 --sport 25 -j ACCEPT
iptables -A FORWARD -p udp -i eth0 -o eth1 --sport 53 -j ACCEPT
iptables -A FORWARD -p udp -i eth0 -o eth1 --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 -o eth1 --sport 5405 -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 -o eth1 --sport 1863 -j ACCEPT
#Mascaramento
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#Compartilha a internet
echo 1 /proc/sys/net/ipv4/ip_forward
echo Regras de Firewall ATIVADAS
}
parar(){
iptables -F
iptables -t nat -F
iptables -t mangle -F
echo Regras de Firewall DESATIVADAS
}
case $1 in
start)iniciar;;
stop)parar;;
restart)parar; iniciar;;
*)echo Use os parametros start ou stop
esac
--
Att,
Clayton Nogueira
Analista de Suporte
Linux User nro. #448808
Re: problemas com iptables
Em 04/07/07, Junior Polegato - Linux[EMAIL PROTECTED] escreveu: Clayton Nogueira escreveu: Pessoal eu fiz um script de firewall, mas quando coloco ele pra rodar a internet da minha empresa cai e dá uma zica só... Alguem pode dar uma olhada/avaliada e dizer no que estou errando ? Olá, Percebo que está tentando entender como funciona cada gomo da coisa, isso é bom! Olhe no histórico da lista que tem uma boa explicação do assunto... Bom, primeiramente filtrar FORWARD por porta é complicado, pois quem tem tal porta especificada aberta é o servidor, o qual estabelecerá a conexão com o cliente, que está abaixo do seu roteador, em uma outra porta... Tente começar sem bloqueio por porta, repassando os pacotes da rede toda para a internet e da internet para a rede toda, depois vai criando as regras e monitorando os resultados. A partir daqui, precisamos saber o que deseja fazer, qual a zica, o que já foi feito, quais os erros, o computador filtro/roteador está tudo normal, os redirecionamentos estão funcionando plenamente ou não, somente o repasse de pacotes está com problemas? -- Atenciosamente, Junior Polegato Um peregrino de problemas; Um pergaminho de soluções! Página Profissional: http://www.juniorpolegato.com.br Primeiro, obrigado pela atenção e pela resposta Eu já entendo o básico do iptables, mas de vez em quando pintam algumas dúvidas. 1- se eu fizer um FORWARD de portas, elas necessariamente passam pelo firewall e são redirecionadas para a rede interna, corrreto? 2 - se eu fizer um iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 22 -j DNAT --to-destination 10.0.0.14 iptables -t nat -A POSTROUTING -s 10.0.0.14 -j SNAT --to-source 10.0.0.1 os pacotes vão direto para a máquina especificada da rede interna, sem ao menos passar pelo firewall, ou seja, elas são redirecionadas, certo ? 3 - outra coisa, se eu crio as regras para conexão que passam pelo firewall, para conexões que são redirecionadas pela firewall, e eu preciso rodar um apt-get update e baixar atualizações para o próprio firewall, eu tenho no caso que liberar uma porta em INPUT, correto ? bom são algumas duvidas que gostaria de tirar obrigado, abraço. -- Att, Clayton Nogueira Analista de Suporte Linux User nro. #448808
Re: problemas com iptables
Clayton Nogueira escreveu: Pessoal eu fiz um script de firewall, mas quando coloco ele pra rodar a internet da minha empresa cai e dá uma zica só... Alguem pode dar uma olhada/avaliada e dizer no que estou errando ? Olá, Percebo que está tentando entender como funciona cada gomo da coisa, isso é bom! Olhe no histórico da lista que tem uma boa explicação do assunto... Bom, primeiramente filtrar FORWARD por porta é complicado, pois quem tem tal porta especificada aberta é o servidor, o qual estabelecerá a conexão com o cliente, que está abaixo do seu roteador, em uma outra porta... Tente começar sem bloqueio por porta, repassando os pacotes da rede toda para a internet e da internet para a rede toda, depois vai criando as regras e monitorando os resultados. A partir daqui, precisamos saber o que deseja fazer, qual a zica, o que já foi feito, quais os erros, o computador filtro/roteador está tudo normal, os redirecionamentos estão funcionando plenamente ou não, somente o repasse de pacotes está com problemas? -- Atenciosamente, Junior Polegato Um peregrino de problemas; Um pergaminho de soluções! Página Profissional: http://www.juniorpolegato.com.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: problemas com iptables
Clayton Nogueira escreveu: Eu já entendo o básico do iptables, mas de vez em quando pintam algumas dúvidas. 1- se eu fizer um FORWARD de portas, elas necessariamente passam pelo firewall e são redirecionadas para a rede interna, corrreto? 2 - se eu fizer um iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 22 -j DNAT --to-destination 10.0.0.14 iptables -t nat -A POSTROUTING -s 10.0.0.14 -j SNAT --to-source 10.0.0.1 os pacotes vão direto para a máquina especificada da rede interna, sem ao menos passar pelo firewall, ou seja, elas são redirecionadas, certo ? 3 - outra coisa, se eu crio as regras para conexão que passam pelo firewall, para conexões que são redirecionadas pela firewall, e eu preciso rodar um apt-get update e baixar atualizações para o próprio firewall, eu tenho no caso que liberar uma porta em INPUT, correto ? bom são algumas duvidas que gostaria de tirar Olá, Estamos aqui para ajudar e sermos ajudados, mas obrigado por reconhecer nossos esforços. Primeiramente, você não relatou o que deseja fazer nem os problemas enfrentados. Agora seguem as respostas: 1- Correto, o problema é ter certeza absoluta das portas, as quais ter-se-á abrindo o forward e monitorando. 2- SNAT é (basicamente) para uma rede sem MASQUERADE. Se um pacote é analisado pelo firewall, então ele passa pelo firewall, mas se casou com sua regra, então ele passou pelo firewall e foi filtrado, senão apenas passou pelo firewall. 3- apt-get update/install/updagrade/dist-upgrade usa http(80) ou ftp(21), de acordo com o /etc/apt/sources.list. Se acessa http e ftp desse computador, então vai funcionar beleza. -- Atenciosamente, Junior Polegato Um peregrino de problemas; Um pergaminho de soluções! Página Profissional: http://www.juniorpolegato.com.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: problemas com iptables
1- se eu fizer um FORWARD de portas, elas necessariamente passam pelo firewall e são redirecionadas para a rede interna, corrreto? Hum... Não entendi muito bem, mas essa história de redirecionar não está ligada às regras da chain FORWARD, mas sim às regras que você tiver na tabela NAT. Quero dizer, é alí que acontece a tradução de endereços. Depois de trocados os endereços de destino/origem, quem roteia os pacotes para dentro e fora da sua rede é o kernel, e nessa etapa é que o pacote passa pela corrente FORWARD. 2 - se eu fizer um iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 22 -j DNAT --to-destination 10.0.0.14 iptables -t nat -A POSTROUTING -s 10.0.0.14 -j SNAT --to-source 10.0.0.1 os pacotes vão direto para a máquina especificada da rede interna, sem ao menos passar pelo firewall, ou seja, elas são redirecionadas, certo ? Os pacotes chegando pela no firewall pela interface eth0, na porta 22, tem seu endereço de destino trocados para a estação dentro da rede. Depois o kernel roteia. Amigo, desculpa se for bobagem e eu estive boiando, mas porque essa segunda regra, fazendo SNAT ? Você já não está fazendo MASQUERADE pra rede toda? Isso basta para que você consiga estabelecer as conexões com sua máquina interna e trabalhar normalmente. 3 - outra coisa, se eu crio as regras para conexão que passam pelo firewall, para conexões que são redirecionadas pela firewall, e eu preciso rodar um apt-get update e baixar atualizações para o próprio firewall, eu tenho no caso que liberar uma porta em INPUT, correto ? Pra você estabelecer conexões a partir do firewall, é suficiente a regra que você tem que permite pacotes com estado RELATED,STABLISHED entrem (chain INPUT). iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT Isso se chama STATEFULL - você aceita tudo que chegar STABLISHED,RELATED , porque pra isso, teoricamente tem que ter saído um pacote NEW da sua máquina. Sacou? Você permite que pacotes de conexões estabelecidas (STABLISHED) ou pacotes em resposta a um pedido de conexão (RELATED) entrem na sua máquina. Mas NEW você não permite, a não ser que seja de sua vontade, para servir algum serviço. Assim, quem pede uma conexão é você - e isso sai pela chain OUTPUT - e depois você aceita o restante dos pacotes dessa conexão. Tome cuidado pra não fazer DNAT de uma porta do servidor que você usa pra algum daemon, porque quando um pacote chega nessa porta ele vai ser redirecionado pra outra máquina, como você faz com as portas 21 e 22. Agora, eu omiti um pequeno detalhe. Quando eu fui escrever um script de firewall pra um servidor que montei, usando filtragem por STATEFULL, dessa mesma maneira que você faz, tive um sério problema, inexplicado até agora, e acabei resolvendo de uma maneira que me gera uma certa falha de segurança. Bom, o problema era que simplesmente a regra que permitia que pacotes STABLISHED,RELATED trafegassem não era suficiente pra que eu conseguisse fazer conexões do firewall pra fora. Sim, eu conferi muito bem todas as regras, e simplesmente não fazia sentido o que acontecia. Era como se o pacote mudasse de estado ao tentar ser casado com as regras!!! É, eu sei que não faz sentido, mas acabei largando pois não pude mais testar e nem tive saco. Resolvi adicionando duas regras no final da minha chain INPUT. $IPTABLES -A INPUT -p tcp -m state --state ! ESTABLISHED,RELATED -j DROP $IPTABLES -A INPUT -j ACCEPT O que eu faço aí é bloquear tudo que não for STABLISHED nem RELATED, e depois aceito tudo. Claro que a regra de aceitar tudo seria fatal se antes não tivesse essa regra restritiva. Enfim, é considerado uma falha de segurança, principalmente porque essa última regra aí no final assusta, mas na minha situação veio a calhar. bom são algumas duvidas que gostaria de tirar obrigado, abraço. É isso. Se cometi algum erro, avisem-me, por favor. -- Att, Clayton Nogueira Analista de Suporte Linux User nro. #448808
Re: problemas com iptables
Edson Marquezani Filho escreveu: iptables -t nat -A POSTROUTING -s 10.0.0.14 -j SNAT --to-source 10.0.0.1 Amigo, desculpa se for bobagem e eu estive boiando, mas porque essa segunda regra, fazendo SNAT ? Você já não está fazendo MASQUERADE pra rede toda? Isso basta para que você consiga estabelecer as conexões com sua máquina interna e trabalhar normalmente. Olá, Nesse caso sim, mas quem não tem um DMZ e mistura na mesma rede IPs públicos e reservados usa uma combinação assim. Também é aplicado em casos de interligação de redes com classes reservadas. -- Atenciosamente, Junior Polegato Um peregrino de problemas; Um pergaminho de soluções! Página Profissional: http://www.juniorpolegato.com.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: problemas com iptables
Em 04/07/07, Junior Polegato - Linux[EMAIL PROTECTED] escreveu: Edson Marquezani Filho escreveu: iptables -t nat -A POSTROUTING -s 10.0.0.14 -j SNAT --to-source 10.0.0.1 Amigo, desculpa se for bobagem e eu estive boiando, mas porque essa segunda regra, fazendo SNAT ? Você já não está fazendo MASQUERADE pra rede toda? Isso basta para que você consiga estabelecer as conexões com sua máquina interna e trabalhar normalmente. Olá, Nesse caso sim, mas quem não tem um DMZ e mistura na mesma rede IPs públicos e reservados usa uma combinação assim. Também é aplicado em casos de interligação de redes com classes reservadas. -- Atenciosamente, Junior Polegato Um peregrino de problemas; Um pergaminho de soluções! Página Profissional: http://www.juniorpolegato.com.br Pessoal, muito obrigado pela ajuda. Vou explicar melhor minha situação agora... eu tenho uma rede assim eth0 - internet - 10.0.16.1 eth1 - intranet - 10.0.0.1 quero que pacotes destinados as portas de ftp e ssh sejam redirecionados ao PC com ip. 10.0.0.14 da minha rede interna, ouvi dizer que pra isso eu teria que fazer a regra que eu fiz, ou seja uma regra de PREROUTING e outra de POSTROUTING, mas após ler os comentário vejo que não é preciso. outra coisa, é que quero que a politica de FORWARD seja DROP, mas eu preciso aceitar conexões nas portas de e-mail e etc. tenho um squid configurado na porta 3128 , como visto no script q fiz. só gostaria de saber se o script que fiz está correto, alguém poderia comentá-lo por favor e me mostrar onde estão os erros, alguns dos quais eu mesmo já identifiquei. Obrigado mais uma vez, abraço a todos. -- Att, Clayton Nogueira Analista de Suporte Linux User nro. #448808
Re: problemas com iptables
só gostaria de saber se o script que fiz está correto, alguém poderia comentá-lo por favor e me mostrar onde estão os erros, alguns dos quais eu mesmo já identifiquei. Obrigado mais uma vez, abraço a todos. ninguém se habilita ? ajuda aí pessoal, preciso terminar esse script!!! -- Att, Clayton Nogueira Analista de Suporte Linux User nro. #448808
Problemas com Iptables (shorewall), ajuda?
Bom dia, Estou com grande problema, estou tentando montar um servidor DNS, Firewall e de Email Já esta instalado bind 8.4.6, Shorewall 2.2.3 e o Postfix 2.1.5. O servidor é um Debian 3.1 com duas placa de rede, a eth0 esta para a ADSL ( ppp0 ) e eth1 esta para rede interna... Estou me perdendo na configuração do Iptables (Shorewall). Os problemas: o MSN não conecta, o servidor de email não recebe os emails e na navegação na internet alguns sites entra e outro não... Vou listar a regras que o Shorewall gerou para Iptables: *Saindo da configuração do Firewall. *# Generated by iptables-save v1.2.11 on Tue Jun 5 12:09:08 2007 *mangle :PREROUTING ACCEPT [706669:568366777] :INPUT ACCEPT [370158:418977074] :FORWARD ACCEPT [336511:149389703] :OUTPUT ACCEPT [236010:23456634] :POSTROUTING ACCEPT [574496:172689628] :outtos - [0:0] :pretos - [0:0] -A PREROUTING -j pretos -A OUTPUT -j outtos COMMIT # Completed on Tue Jun 5 12:09:08 2007 # Generated by iptables-save v1.2.11 on Tue Jun 5 12:09:08 2007 *nat :PREROUTING ACCEPT [23296:1280099] :POSTROUTING ACCEPT [1470:118393] :OUTPUT ACCEPT [1470:118393] :ppp0_masq - [0:0] -A POSTROUTING -o ppp0 -j ppp0_masq -A ppp0_masq -s 192.168.0.0/255.255.255.0 -j SNAT --to-source 200.146.78.61 COMMIT # Completed on Tue Jun 5 12:09:08 2007 # Generated by iptables-save v1.2.11 on Tue Jun 5 12:09:08 2007 *filter :INPUT DROP [1:48] :FORWARD DROP [1:48] :OUTPUT DROP [0:0] :AllowICMPs - [0:0] :Drop - [0:0] :DropDNSrep - [0:0] :DropSMB - [0:0] :DropUPnP - [0:0] :Reject - [0:0] :RejectAuth - [0:0] :RejectSMB - [0:0] :all2all - [0:0] :dropBcast - [0:0] :dropInvalid - [0:0] :dropNotSyn - [0:0] :dynamic - [0:0] :eth1_fwd - [0:0] :eth1_in - [0:0] :fw2loc - [0:0] :fw2net - [0:0] :icmpdef - [0:0] :loc2fw - [0:0] :loc2net - [0:0] :net2all - [0:0] :net2fw - [0:0] :ppp0_fwd - [0:0] :ppp0_in - [0:0] :reject - [0:0] :shorewall - [0:0] :smurfs - [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -i ppp0 -j ppp0_in -A INPUT -i eth1 -j eth1_in -A INPUT -j Reject -A INPUT -j reject -A FORWARD -i ppp0 -j ppp0_fwd -A FORWARD -i eth1 -j eth1_fwd -A FORWARD -j Reject -A FORWARD -j reject -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o ppp0 -j fw2net -A OUTPUT -o eth1 -j fw2loc -A OUTPUT -j Reject -A OUTPUT -j reject -A AllowICMPs -p icmp -m icmp --icmp-type 3/4 -j ACCEPT -A AllowICMPs -p icmp -m icmp --icmp-type 11 -j ACCEPT -A Drop -j RejectAuth -A Drop -j dropBcast -A Drop -p icmp -j AllowICMPs -A Drop -j dropInvalid -A Drop -j DropSMB -A Drop -j DropUPnP -A Drop -p tcp -j dropNotSyn -A Drop -j DropDNSrep -A DropDNSrep -p udp -m udp --sport 53 -j DROP -A DropSMB -p udp -m udp --dport 135 -j DROP -A DropSMB -p udp -m udp --dport 137:139 -j DROP -A DropSMB -p udp -m udp --dport 445 -j DROP -A DropSMB -p tcp -m tcp --dport 135 -j DROP -A DropSMB -p tcp -m tcp --dport 139 -j DROP -A DropSMB -p tcp -m tcp --dport 445 -j DROP -A DropUPnP -p udp -m udp --dport 1900 -j DROP -A Reject -j RejectAuth -A Reject -j dropBcast -A Reject -p icmp -j AllowICMPs -A Reject -j dropInvalid -A Reject -j RejectSMB -A Reject -j DropUPnP -A Reject -p tcp -j dropNotSyn -A Reject -j DropDNSrep -A RejectAuth -p tcp -m tcp --dport 113 -j reject -A RejectSMB -p udp -m udp --dport 135 -j reject -A RejectSMB -p udp -m udp --dport 137:139 -j reject -A RejectSMB -p udp -m udp --dport 445 -j reject -A RejectSMB -p tcp -m tcp --dport 135 -j reject -A RejectSMB -p tcp -m tcp --dport 139 -j reject -A RejectSMB -p tcp -m tcp --dport 445 -j reject -A all2all -m state --state RELATED,ESTABLISHED -j ACCEPT -A all2all -j Reject -A all2all -j reject -A dropBcast -m pkttype --pkt-type broadcast -j DROP -A dropBcast -m pkttype --pkt-type multicast -j DROP -A dropInvalid -m state --state INVALID -j DROP -A dropNotSyn -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -j DROP -A eth1_fwd -m state --state INVALID,NEW -j dynamic -A eth1_fwd -o ppp0 -j loc2net -A eth1_in -m state --state INVALID,NEW -j dynamic -A eth1_in -j loc2fw -A fw2loc -m state --state RELATED,ESTABLISHED -j ACCEPT -A fw2loc -p icmp -j ACCEPT -A fw2loc -j ACCEPT -A fw2net -m state --state RELATED,ESTABLISHED -j ACCEPT -A fw2net -p icmp -j ACCEPT -A fw2net -j ACCEPT -A loc2fw -m state --state RELATED,ESTABLISHED -j ACCEPT -A loc2fw -p tcp -m tcp --dport 20 -j ACCEPT -A loc2fw -p tcp -m tcp --dport 21 -j ACCEPT -A loc2fw -p tcp -m tcp --dport 80 -j ACCEPT -A loc2fw -p tcp -m tcp --dport 53 -j ACCEPT -A loc2fw -p udp -m udp --dport 53 -j ACCEPT -A loc2fw -p tcp -m tcp --dport 137 -j ACCEPT -A loc2fw -p tcp -m tcp --dport 138 -j ACCEPT -A loc2fw -p tcp -m tcp --dport 139 -j ACCEPT -A loc2fw -p udp -m udp --dport 137 -j ACCEPT -A loc2fw -p udp -m udp --dport 138 -j ACCEPT -A loc2fw -p udp -m udp --dport 139 -j ACCEPT -A loc2fw -p tcp -m tcp --dport 443 -j ACCEPT -A loc2fw -p icmp -m icmp --icmp-type 8 -j ACCEPT -A loc2fw -j ACCEPT -A loc2net -m state --state RELATED,ESTABLISHED -j ACCEPT -A loc2net -j ACCEPT -A net2all -m state --state RELATED,ESTABLISHED -j ACCEPT -A net2all -j ACCEPT -A net2fw -m state
Re: Problemas com iptables e brctl
Em 15/02/07, Fabio A Mazzarino[EMAIL PROTECTED] escreveu: Pessoal: Primeiro deixa eu colocar uma limitação. O servidor está num datacenter, e bootar um kernel a essa altura é altamente improvável, somente em caso de emergência. Agora ao problema: Não estou conesguindo rodar nem iptables nem brct. O problema acontece pq o módulo não existe. Creio eu que seja preciso compilá-lo. Vou passar alguns dados: # uname -a Linux loghost1 2.4.27-2-386 #1 Wed Aug 17 09:33:35 UTC 2005 i686 GNU/Linux Eu puxei o kernel-source 2.4.27, peguei o arquivo /boot/config-2.4.27-2-386 e substitui o .config. Tentei o make dep, mas deu problema, tentei rodar o make menuconfig, mas sem alterar nada. Aí sim o make dep funcionou. Depois compilei os módulos (make modules) e instalei (make modules_install). Os módulos foram jogados no diretório /usr/lib/2.4.27, e não no 2.4.27-2-386, assim os módulos não foram encontrados. Tive que tirar um backup do diretório original e renomear o 2.4.27 para 2.4.27-2-386 Edita o .config que o make menuconfig gerou, e lá no começo dele tem umas variáveis p/ setar, é lá que se acerta o label p/ conter a versão, plataforma, etc Agora, o jeito de compilar no kernel 2.4 é diferente do 2.6, veja se não está usando o procedimento errado. -- Marcos
Re: Problemas com iptables e brctl
No 2.4, os passos para compilar são: make dep; make clean, make; make modules; make modules_instal; make install On 2/25/07, Marcos Lazarini [EMAIL PROTECTED] wrote: Em 15/02/07, Fabio A Mazzarino[EMAIL PROTECTED] escreveu: Pessoal: Primeiro deixa eu colocar uma limitação. O servidor está num datacenter, e bootar um kernel a essa altura é altamente improvável, somente em caso de emergência. Agora ao problema: Não estou conesguindo rodar nem iptables nem brct. O problema acontece pq o módulo não existe. Creio eu que seja preciso compilá-lo. Vou passar alguns dados: # uname -a Linux loghost1 2.4.27-2-386 #1 Wed Aug 17 09:33:35 UTC 2005 i686 GNU/Linux Eu puxei o kernel-source 2.4.27, peguei o arquivo /boot/config-2.4.27-2-386 e substitui o .config. Tentei o make dep, mas deu problema, tentei rodar o make menuconfig, mas sem alterar nada. Aí sim o make dep funcionou. Depois compilei os módulos (make modules) e instalei (make modules_install). Os módulos foram jogados no diretório /usr/lib/2.4.27, e não no 2.4.27-2-386, assim os módulos não foram encontrados. Tive que tirar um backup do diretório original e renomear o 2.4.27 para 2.4.27-2-386 Edita o .config que o make menuconfig gerou, e lá no começo dele tem umas variáveis p/ setar, é lá que se acerta o label p/ conter a versão, plataforma, etc Agora, o jeito de compilar no kernel 2.4 é diferente do 2.6, veja se não está usando o procedimento errado. -- Marcos -- Rauklei P.S. Guimarães --- Debian/Etch GNU/Linux
Problemas com iptables e brctl
Pessoal: Primeiro deixa eu colocar uma limitação. O servidor está num datacenter, e bootar um kernel a essa altura é altamente improvável, somente em caso de emergência. Agora ao problema: Não estou conesguindo rodar nem iptables nem brct. O problema acontece pq o módulo não existe. Creio eu que seja preciso compilá-lo. Vou passar alguns dados: # uname -a Linux loghost1 2.4.27-2-386 #1 Wed Aug 17 09:33:35 UTC 2005 i686 GNU/Linux Eu puxei o kernel-source 2.4.27, peguei o arquivo /boot/config-2.4.27-2-386 e substitui o .config. Tentei o make dep, mas deu problema, tentei rodar o make menuconfig, mas sem alterar nada. Aí sim o make dep funcionou. Depois compilei os módulos (make modules) e instalei (make modules_install). Os módulos foram jogados no diretório /usr/lib/2.4.27, e não no 2.4.27-2-386, assim os módulos não foram encontrados. Tive que tirar um backup do diretório original e renomear o 2.4.27 para 2.4.27-2-386 Aí obtive a seguinte resposta: # modprobe ip_tables /lib/modules/2.4.27/kernel/net/ipv4/netfilter/ip_tables.o: /lib/modules/2.4.27/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol proc_net_R2b2fe002 /lib/modules/2.4.27/kernel/net/ipv4/netfilter/ip_tables.o: /lib/modules/2.4.27/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_register_sockopt_Rede1b024 /lib/modules/2.4.27/kernel/net/ipv4/netfilter/ip_tables.o: /lib/modules/2.4.27/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol remove_proc_entry_R31ed257b /lib/modules/2.4.27/kernel/net/ipv4/netfilter/ip_tables.o: /lib/modules/2.4.27/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_unregister_sockopt_Rd3e682dd /lib/modules/2.4.27/kernel/net/ipv4/netfilter/ip_tables.o: /lib/modules/2.4.27/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol irq_stat_R57e2f77e /lib/modules/2.4.27/kernel/net/ipv4/netfilter/ip_tables.o: /lib/modules/2.4.27/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol create_proc_entry_R648035a2 /lib/modules/2.4.27/kernel/net/ipv4/netfilter/ip_tables.o: insmod /lib/modules/2.4.27/kernel/net/ipv4/netfilter/ip_tables.o failed /lib/modules/2.4.27/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed Ou seja, não funcionou. Alguém pode dar uma ajuda. Pq daqui eu não consegui ir pra lugar nenhum :o( Fabio. -- Doses Diárias - Achados de um Programador na Internet http://dosesdiarias.seucaminho.com
Re: problemas com iptables
Em Qua, 2007-02-07 às 19:00 -0200, Márcio Pedroso escreveu: estava eu lendo essa resenha http://www.tccamargo.com/linux/tutoriais/iptables.html para discobrir o problema de configuração do roteamento de internet e notei que alguns dos modulos sugeridos nao carregam... modprobe ipt_MIRROR modprobe ipt_unclean voces sabem me informar se esses modulos sao esenciais para rotear a internet e se sao, como faço para instalar.. estou usando o debian etch não estes módulos não são essenciais para o roteamento an Internet, nem para regras básicas de iptables. []s valeu -- linux user nº 432194 Eu sou livre e você? Paulo Ricardo Bruck Consultor Linux tel 011 9235-4327 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: problemas com iptables
obrigado pela atençao entao vou ter que campear mais pra entender porque nao consigo fazer o roteamento da inernet com o iptables ne descobri que nao e so no etch que ta acontecendo isso.. no stable tambem... mas antes de alguem levantar a lebre de pode ser problema de hardware, como a maquina e dual boot no windio$ o rotamento funciona normal... valeu Em 07/02/07, Márcio Pedroso [EMAIL PROTECTED] escreveu: estava eu lendo essa resenha http://www.tccamargo.com/linux/tutoriais/iptables.html para discobrir o problema de configuração do roteamento de internet e notei que alguns dos modulos sugeridos nao carregam... modprobe ipt_MIRROR modprobe ipt_unclean voces sabem me informar se esses modulos sao esenciais para rotear a internet e se sao, como faço para instalar.. estou usando o debian etch valeu -- linux user nº 432194 Eu sou livre e você? -- linux user nº 432194 Eu sou livre e você?
Re: problemas com iptables
resolvido... faltava o servidor de DNS... valeu pela atençao pessoal.. sempre bom saber que tem pessoas dispostas a ajudar.. Em 08/02/07, Márcio Pedroso [EMAIL PROTECTED] escreveu: obrigado pela atençao entao vou ter que campear mais pra entender porque nao consigo fazer o roteamento da inernet com o iptables ne descobri que nao e so no etch que ta acontecendo isso.. no stable tambem... mas antes de alguem levantar a lebre de pode ser problema de hardware, como a maquina e dual boot no windio$ o rotamento funciona normal... valeu Em 07/02/07, Márcio Pedroso [EMAIL PROTECTED] escreveu: estava eu lendo essa resenha http://www.tccamargo.com/linux/tutoriais/iptables.html para discobrir o problema de configuração do roteamento de internet e notei que alguns dos modulos sugeridos nao carregam... modprobe ipt_MIRROR modprobe ipt_unclean voces sabem me informar se esses modulos sao esenciais para rotear a internet e se sao, como faço para instalar.. estou usando o debian etch valeu -- linux user nº 432194 Eu sou livre e você? -- linux user nº 432194 Eu sou livre e você? -- linux user nº 432194 Eu sou livre e você?
problemas com iptables
estava eu lendo essa resenha http://www.tccamargo.com/linux/tutoriais/iptables.html para discobrir o problema de configuração do roteamento de internet e notei que alguns dos modulos sugeridos nao carregam... modprobe ipt_MIRROR modprobe ipt_unclean voces sabem me informar se esses modulos sao esenciais para rotear a internet e se sao, como faço para instalar.. estou usando o debian etch valeu -- linux user nº 432194 Eu sou livre e você?
Problemas com IPTABLES (DNAT)
Olá amigos da lista, Gostaria de saber se alguem já enfrentou esse tipo de problema, caso sim, que solução vcs toram... já não sei mais oq fazer... Instalei um servidor para um cliente meu onde nele eu faço redirecionamento de portar para o vnc reverso, verifiquei que a regra que faz o redirecionamento de porta nao está funcionando o mais engraçado testei o mesmo script em outro servidor que tenho e funcionou normalmente A versão do debian que instalei recemente foi a etch (iso criada dia 10/07/2005) e a sersão do debian que eu fiz os testes e funcionou foi a Sarge RC3... Alguem sabe de alguma solução que não precise ter que reinstalar o servidor para colocar outra versão do debian !? Aguardo resposta e obrigado a todos... []'s Rafael Balbino
Re: Problemas com IPTABLES (DNAT)
Tive o mesmo problema até recompilar o kernel. Estou usando o 2.6.12.1 com o iptables modular. On 7/13/05, Rafael Balbino [EMAIL PROTECTED] wrote: Olá amigos da lista, Gostaria de saber se alguem já enfrentou esse tipo de problema, caso sim, que solução vcs toram... já não sei mais oq fazer... Instalei um servidor para um cliente meu onde nele eu faço redirecionamento de portar para o vnc reverso, verifiquei que a regra que faz o redirecionamento de porta nao está funcionando o mais engraçado testei o mesmo script em outro servidor que tenho e funcionou normalmente A versão do debian que instalei recemente foi a etch (iso criada dia 10/07/2005) e a sersão do debian que eu fiz os testes e funcionou foi a Sarge RC3... Alguem sabe de alguma solução que não precise ter que reinstalar o servidor para colocar outra versão do debian !? Aguardo resposta e obrigado a todos... []'s Rafael Balbino
Re: RES: Problemas com IPtables
Ois, sorry... mas vc está errado... Existe sim PREROUTING e POSTROUTING. Essas chains são a primeira e a última a serem atravessadas, e se referem a ações que serão feitas antes da tomada de decisão de roteamento e após a tomada de decisão de roteamento, respectivamente. As chains INPUT e OUTPUT se referem apenas a pacotes com destino e origem a própria máquina. Pacotes que atravessam a máquina passam pela chain forward. Se por um exemplo vc dropasse tudo nas chains input e output mas liberasse tudo na chain FORWARD o efeito seria de que essa máquina repassaria qualquer pacote de uma máquina para outra, mas ela mesmo ficaria incomunicavel. sacou? Quantos as chains PREROUTING e POSTROUTING é bem fácil.. basta pensar no que acontece quando os pacotes irão entrar ou sair da máquina. Por exemplo, se eu quero fazer NAT (SNAT para ser exato), o pacote entra na máquina, eu vejo de quem ele veio (origem), vejo para onde vai (destino), tomo a decisão de roteamento (ex, vai sair pela interface eth0), e finalmente quando o pacote está prestes a sair da máquina eu troco o endereço de origem dele na chain POSTROUTING, se isso fosse feito em qualquer outra chain, bagunçaria tudo... Fica como exercício imaginar o que acontece no PREROUTING e para o que ela serve :-) On Thursday 12 June 2003 17:14, Anderson wrote: Primeiro creio que não exista politica de Prerouting, somente input,output e forward. Para uma requisição passar pelo firewall e chegar a uma maquina destino ela precisa fazer o seguinte percurso: - Chegar na maquina(ser aceita por uma regra INPUT) - Passar pela maquina (ser liberada por uma regra FORWARD) - Ser redirecionada para a maquina de destino (regra PREROUTING) - Ter direito de sair da maquina (Regra OUTPUT) Então com base no seu email anterior, seria necessario criar uma regra input aceitando a conexão a porta 80 e uma regra de Formard aceitando o pacote atravessar a maquina até o seu destino. Sds, Anderson -Mensagem original- De: Flávio Cruz [mailto:[EMAIL PROTECTED] Enviada em: quinta-feira, 12 de junho de 2003 18:52 Para: debian-user-portuguese@lists.debian.org Assunto: Problemas com IPtables Olá, pessoal tenho a seguinte estrutura: Estou precisando redirecionar todas as requisições da porta 80 de um IP externo, para um servidor interno local. estou usando a seguinte regra: iptables -A PREROUTING -t nat -p tcp -i eth1 -d (ip_externo) --dport 80 DNAT --to 10.10.1.2 estou sando a seguinte politica: iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -P PREROUTING ACCEPT Desde já agradeço. Flávio Cruz -- Christian Lyra POP-PR - RNP http://lyra.soueu.com.br http://wecanstopspam.org Thus spake the master programmer: ``It is time for you to leave.'' The Tao Of Programing
RES: RES: Problemas com IPtables
Realmente estou errado, mas se ele não liberar a porta com a politica de INPUT dele estando em DROP, o pacote não vai chegar a maquina de destino, pois o pacote chega até a maquina (firewall)com ela como destino, e daí ela pega dependendo da porta e redireciona para uma maquina da rede, creio que esse negocio do prerouting sem passar pelo input só deva funcionar , com pacotes que tenham um outro destino e a maquina firewall seja um roteador, aqui eu utilizo muito o redirecionamento e se não liberar a porta e seguir este raciocinio o pacote não chega até o destino não. Sds, Anderson -Mensagem original- De: Christian Lyra [mailto:[EMAIL PROTECTED] Enviada em: sexta-feira, 13 de junho de 2003 9:18 Para: debian-user-portuguese@lists.debian.org Assunto: Re: RES: Problemas com IPtables Ois, sorry... mas vc está errado... Existe sim PREROUTING e POSTROUTING. Essas chains são a primeira e a última a serem atravessadas, e se referem a ações que serão feitas antes da tomada de decisão de roteamento e após a tomada de decisão de roteamento, respectivamente. As chains INPUT e OUTPUT se referem apenas a pacotes com destino e origem a própria máquina. Pacotes que atravessam a máquina passam pela chain forward. Se por um exemplo vc dropasse tudo nas chains input e output mas liberasse tudo na chain FORWARD o efeito seria de que essa máquina repassaria qualquer pacote de uma máquina para outra, mas ela mesmo ficaria incomunicavel. sacou? Quantos as chains PREROUTING e POSTROUTING é bem fácil.. basta pensar no que acontece quando os pacotes irão entrar ou sair da máquina. Por exemplo, se eu quero fazer NAT (SNAT para ser exato), o pacote entra na máquina, eu vejo de quem ele veio (origem), vejo para onde vai (destino), tomo a decisão de roteamento (ex, vai sair pela interface eth0), e finalmente quando o pacote está prestes a sair da máquina eu troco o endereço de origem dele na chain POSTROUTING, se isso fosse feito em qualquer outra chain, bagunçaria tudo... Fica como exercício imaginar o que acontece no PREROUTING e para o que ela serve :-) On Thursday 12 June 2003 17:14, Anderson wrote: Primeiro creio que não exista politica de Prerouting, somente input,output e forward. Para uma requisição passar pelo firewall e chegar a uma maquina destino ela precisa fazer o seguinte percurso: - Chegar na maquina(ser aceita por uma regra INPUT) - Passar pela maquina (ser liberada por uma regra FORWARD) - Ser redirecionada para a maquina de destino (regra PREROUTING) - Ter direito de sair da maquina (Regra OUTPUT) Então com base no seu email anterior, seria necessario criar uma regra input aceitando a conexão a porta 80 e uma regra de Formard aceitando o pacote atravessar a maquina até o seu destino. Sds, Anderson -Mensagem original- De: Flávio Cruz [mailto:[EMAIL PROTECTED] Enviada em: quinta-feira, 12 de junho de 2003 18:52 Para: debian-user-portuguese@lists.debian.org Assunto: Problemas com IPtables Olá, pessoal tenho a seguinte estrutura: Estou precisando redirecionar todas as requisições da porta 80 de um IP externo, para um servidor interno local. estou usando a seguinte regra: iptables -A PREROUTING -t nat -p tcp -i eth1 -d (ip_externo) --dport 80 DNAT --to 10.10.1.2 estou sando a seguinte politica: iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -P PREROUTING ACCEPT Desde já agradeço. Flávio Cruz -- Christian Lyra POP-PR - RNP http://lyra.soueu.com.br http://wecanstopspam.org Thus spake the master programmer: ``It is time for you to leave.'' The Tao Of Programing -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Problemas com IPtables
Olá, pessoal tenho a seguinte estrutura: Estou precisando redirecionar todas as requisições da porta 80 de um IP externo, para um servidorinterno local. estou usando a seguinte regra: iptables -A PREROUTING -t nat -p tcp -i eth1 -d(ip_externo) --dport 80 DNAT --to 10.10.1.2 estou sando a seguinte politica: iptables -P INPUT DROP iptables -P OUTPUT ACCEPTiptables -P FORWARD DROPiptables -P PREROUTING ACCEPT Desde já agradeço. Flávio Cruz
Re: Problemas com IPtables
Oi, Estou precisando redirecionar todas as requisições da porta 80 de um IP externo, para um servidor interno local. estou usando a seguinte regra: iptables -A PREROUTING -t nat -p tcp -i eth1 -d (ip_externo) --dport 80 DNAT --to 10.10.1.2 estou sando a seguinte politica: iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -P PREROUTING ACCEPT Se vc só fizer isso os pacotes serão dropados na chain Forward... acrescente: iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d ip_interno --dport 80 -j ACCEPT -- Christian Lyra POP-PR - RNP http://lyra.soueu.com.br http://wecanstopspam.org Thus spake the master programmer: ``It is time for you to leave.'' The Tao Of Programing
Re: Problemas com IPtables
|Olá, pessoal | |tenho a seguinte estrutura: | |Estou precisando redirecionar todas as requisições da porta 80 |de um IP externo, |para um servidor interno local. | |estou usando a seguinte regra: |iptables -A PREROUTING -t nat -p tcp -i eth1 -d (ip_externo) --dport 80 DNAT --to 10.10.1.2 | |estou sando a seguinte politica: |iptables -P INPUT DROP |iptables -P OUTPUT ACCEPT |iptables -P FORWARD DROP |iptables -P PREROUTING ACCEPT Pelo que pude entender seu problema é que não está funcionando a regra correto? Ainda mais pelo fato de que você determinou a política da chain FORWARD como DROP por padrão. Bom toda vez que um pacote é transferido de uma interface de rede para outra, obrigatoriamente ele passa pela chain FORWARD, ou seja, não basta somente fazer o direcionamento, você tem que liberar a passagem dele na chain FORWARD. Sua primeira regra está correta: iptables -A PREROUTING -t nat -p tcp -i eth1 -d (ip_externo) --dport 80 DNAT --to 10.10.1.2 Mas vc tem que adicionar uma regra desse tipo na chain FORWARD: iptables -A FORWARD -p tcp -d 10.10.1.2 --dport 80 -j ACCEPT Assim vc libera o acesso a máquina 10.10.1.2 na porta 80 para a chain FORWARD. Espero ter ajudado, []'s Henrique -- Henrique Pedroni Neto Administrador de Rede - ITAL (http://www.ital.org.br) E-mail: [EMAIL PROTECTED] UIN: 8146255 Dúvidas sobre Debian? Visite o Rau-Tu: http://rautu.cipsga.org.br One foot to rule them all - GNOME pgpdtLm29rUR7.pgp Description: PGP signature
RES: Problemas com IPtables
Primeiro creio que não exista politica de Prerouting, somente input,output e forward. Para uma requisição passar pelo firewall e chegar a uma maquina destino ela precisa fazer o seguinte percurso: - Chegar na maquina(ser aceita por uma regra INPUT) - Passar pela maquina (ser liberada por uma regra FORWARD) - Ser redirecionada para a maquina de destino (regra PREROUTING) - Ter direito de sair da maquina (Regra OUTPUT) Então com base no seu email anterior, seria necessario criar uma regra input aceitando a conexão a porta 80 e uma regra de Formard aceitando o pacote atravessar a maquina até o seu destino. Sds, Anderson -Mensagem original- De: Flávio Cruz [mailto:[EMAIL PROTECTED] Enviada em: quinta-feira, 12 de junho de 2003 18:52 Para: debian-user-portuguese@lists.debian.org Assunto: Problemas com IPtables Olá, pessoal tenho a seguinte estrutura: Estou precisando redirecionar todas as requisições da porta 80 de um IP externo, para um servidor interno local. estou usando a seguinte regra: iptables -A PREROUTING -t nat -p tcp -i eth1 -d (ip_externo) --dport 80 DNAT --to 10.10.1.2 estou sando a seguinte politica: iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -P PREROUTING ACCEPT Desde já agradeço. Flávio Cruz
problemas com iptables
Olá galera!! Antes de postar a pergunta, quero dizer que ja li a documentação de iptables do cipsga, procurei respostas no histórico da lista e não achei... então, postei aqui tenho tentado fazer um firewall para minha empresa. é o seguinte: a máquina de firewall vai ser a mesma máquina que aloja o site. Na máquina tenho o debian 3.0 r1, kernel 2.4.18 acontece que tudo funciona muito bem, a não ser pelo fato de que não consigo acessar o site da empresa, mesmo liberando a porta 80 e da 1023 para cima no INPUT, OUTPU e FORWARD. A política padrão da filter é DROP, mas liberando essas portas e inserindo a regra para estabilizar conexão iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT era pra conseguir acessar o site, né?? o mesmo acontece com o ssh. preciso conseguir utilizar o ssh de casa para a empresa, fiz a mesma coisa e não deu certo... fiz essas regras gerais que descrevi, depois tentei fazê-las para cada porta com protocolo tcp e udp para ssh e não deu alguma luz??? valeu!
Problemas com IPTABLES
Gelera to com terrivel problema, tenho em casa um rede pequena 3 computadores, 2 pc e um notebook, e nao estou conseguindo usar o squid e o dns quando rodos as seguintes configuraçõs no firewall (as regras segue abaixo) nessa maquina só vou o usar o Squid e o Bind, tb pretendo usar o NAT pelo IPTables. OBS: Meu ADSL esta funcionando pq quando nao tem nenhuma regras tudo roda normal, minhas interface são eth0 rede interna e ppp0 conexao ADSL, se nao fui bem explicativo me avisem. # Regras IPtables *filter :INPUT DROP [2389:118928] :FORWARD ACCEPT [0:0] :OUTPUT DROP [3270:224979] -A INPUT -i eth0 -j ACCEPT -A INPUT -s 10.10.0.0/255.255.255.0 -p udp -m multiport --dports 1034,icpv2 -j ACCEPT -A INPUT -s 10.10.0.0/255.255.255.0 -p tcp -m tcp --dport 3128 -j ACCEPT -A INPUT -s 10.10.0.0/255.255.255.0 -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -s 10.10.0.0/255.255.255.0 -p udp -m multiport --dports 1033,domain -j ACCEPT -A OUTPUT -o eth0 -j ACCEPT -A OUTPUT -s 10.10.0.0/255.255.255.0 -p udp -m multiport --sports 1034,icpv2 -j ACCEPT -A OUTPUT -s 10.10.0.0/255.255.255.0 -p tcp -m tcp --sport 3128 -j ACCEPT -A OUTPUT -o ppp+ -p tcp -m tcp --sport 53 -j ACCEPT -A OUTPUT -s 10.10.0.0/255.255.255.0 -p udp -m multiport --sports 1033,domain -j ACCEPT COMMIT []´s Emanuel F Silva
