Re: Script de firewall não funciona, pq ?
Olá, Entrei na conversa agora, então me desculpe se estiver repetindo alguma coisa. Com seu firewall configurado, execute iptables-save para ver o que realmente está configurado e quais as regras em cada tabela, dando então para analisar um pacote, não esqueça de verificar suas rotas com route e interfaces com ifconfig. Use iptables -t -L -v para ver quantos pacotes estão "morrendo" em cada regra e quais regras não estão sendo atingidas. Uma dica para iniciar é começar com o bloqueio do INPUT e FORWARD na filter, fazer a regra do FORWARD para rede local nos dois sentidos, na nat fazer o MASQUERADE além do "echo 1 > /proc/sys/net/ipv4/ip_forward", se isso estiver funcionando, vai colocando as regras pertinentes e depois automatize isso por script, assim dá para entender melhor regra por regra e se alguma está afetando o andamento do firewall. []'s Junior Polegato -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bfbcb42.1040...@juniorpolegato.com.br
Re: Script de firewall não funciona, pq ?
Pois é, é outros também fizeram algumas sugestões. Gostaria, se for possivel, que você pudesse acessar este link : http://pastebin.com/A4hQSrLu E fizesse as modificações sugeridas. Daí já testo o efeito delas. 2010/5/24 Allan Carvalho : > Hamacker, você criou a nova chain como recomendei? > > Atenciosamente, > Allan carvalho > > 2010/5/24 hamacker : >> nada. >> >> 2010/5/24 Anderson Silva : >>> >>> >>> 2010/5/24 hamacker echo "Liberando portas do servidor ($WAN):" while read LINHA ; do PORTA=`semremarks "$LINHA"` if [ "$PORTA" != "" ] ; then echo -e "\tPorta : $PORTA" $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT fi done <"$LISTA_PORTAS_LIBERADAS" $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT $IPTABLES -I INPUT -p icmp -j ACCEPT >>> >>> Olá Hamacker >>> Experimente colocar as seguintes regras logo após estas acima: >>> $IPTABLES -I FORWARD -i $LAN -j ACCEPT >>> $IPTABLES -I FORWARD -i $LAN -o $WAN -m state --state ESTABLISHED,RELATED >>> -j ACCEPT >> >> >> -- >> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org >> with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org >> Archive: >> http://lists.debian.org/aanlktincrrky3wiivn9pd10gfefmrfs9m3wemnl7z...@mail.gmail.com >> >> > -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktikrsuvt6imyflxlc5vracs9i9ebzfxurggbi...@mail.gmail.com
Re: Script de firewall não funciona, pq ?
Hamacker, você criou a nova chain como recomendei? Atenciosamente, Allan carvalho 2010/5/24 hamacker : > nada. > > 2010/5/24 Anderson Silva : >> >> >> 2010/5/24 hamacker >>> >>> echo "Liberando portas do servidor ($WAN):" >>> while read LINHA ; do >>> PORTA=`semremarks "$LINHA"` >>> if [ "$PORTA" != "" ] ; then >>> echo -e "\tPorta : $PORTA" >>> $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT >>> $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT >>> $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT >>> fi >>> done <"$LISTA_PORTAS_LIBERADAS" >>> $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT >>> $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT >>> $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT >>> $IPTABLES -I INPUT -p icmp -j ACCEPT >>> >> >> Olá Hamacker >> Experimente colocar as seguintes regras logo após estas acima: >> $IPTABLES -I FORWARD -i $LAN -j ACCEPT >> $IPTABLES -I FORWARD -i $LAN -o $WAN -m state --state ESTABLISHED,RELATED >> -j ACCEPT > > > -- > To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: > http://lists.debian.org/aanlktincrrky3wiivn9pd10gfefmrfs9m3wemnl7z...@mail.gmail.com > > -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktinffhzbz4fav5u7cwmif8scn04g5szlbunrt...@mail.gmail.com
Re: Script de firewall não funciona, pq ?
nada. 2010/5/24 Anderson Silva : > > > 2010/5/24 hamacker >> >> echo "Liberando portas do servidor ($WAN):" >> while read LINHA ; do >> PORTA=`semremarks "$LINHA"` >> if [ "$PORTA" != "" ] ; then >> echo -e "\tPorta : $PORTA" >> $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT >> $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT >> $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT >> fi >> done <"$LISTA_PORTAS_LIBERADAS" >> $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT >> $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT >> $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT >> $IPTABLES -I INPUT -p icmp -j ACCEPT >> > > Olá Hamacker > Experimente colocar as seguintes regras logo após estas acima: > $IPTABLES -I FORWARD -i $LAN -j ACCEPT > $IPTABLES -I FORWARD -i $LAN -o $WAN -m state --state ESTABLISHED,RELATED > -j ACCEPT -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktincrrky3wiivn9pd10gfefmrfs9m3wemnl7z...@mail.gmail.com
Re: Script de firewall não funciona, pq ?
2010/5/24 hamacker > > echo "Liberando portas do servidor ($WAN):" > while read LINHA ; do > PORTA=`semremarks "$LINHA"` > if [ "$PORTA" != "" ] ; then >echo -e "\tPorta : $PORTA" >$IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT >$IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT >$IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT > fi > done <"$LISTA_PORTAS_LIBERADAS" > $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT > $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT > $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT > $IPTABLES -I INPUT -p icmp -j ACCEPT > > Olá Hamacker Experimente colocar as seguintes regras logo após estas acima: $IPTABLES -I FORWARD -i $LAN -j ACCEPT $IPTABLES -I FORWARD -i $LAN -o $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT
Re: Script de firewall não funciona, pq ?
dentro do script já há um : echo "1" > /proc/sys/net/ipv4/ip_forward Em 24 de maio de 2010 12:01, Allison Vollmann escreveu: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Você habilitou o forwarding de pacotes no kernel? > > Para ter certeza o comando deve retornar "= 1" > # sysctl net.ipv4.ip_forward > > (para ipv6: net.ipv6.conf.all.forwarding) > > Caso não tenha habilitado você pode setar esta configuração no arquivo > "/etc/sysctl.conf" para persistir ao boot do sistema, e para não > precisar reiniciar pode habilitá-la utilizando o comando sysctl também > (ou da maneira tradicional através do sistema de arquivos proc) > > A[]'s > > Em 24/5/2010 11:23, hamacker escreveu: >> Olá pessoal, será que seria possivel uma mãozinha aqui : >> Estou desenvolvendo um script para firewall que bloqueia/libera >> portas, dá acesso transparente a alguns ips, etc... >> O script funciona perfeitamente no servidor onde coloco, porém quando >> vou a uma estação e ponho tal servidor como gateway simplesmente não >> funciona. >> Sei que tá funcionando porque faço um ssh neste servidor e as regras >> alí estão funcionando sem problemas, além disso, coloquei até um >> proxy lá e com o proxy tá funcionando. >> Vou colar aqui o script, só em suas regras e se alguem for ninja em >> iptables e puder me dizer qual é o problema, eu seria muito grato. >> >> Gostaria de dizer que comentei todas as linhas para depurar e mesmo >> que eu dê um : >> $IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE >> >> para mascarar tudo, não adianta. >> >> Falha com DNS estão descartados. >> Qualquer ajuda será bem vinda. >> >> # >> # Inicio do Script >> # >> >> # Declaração de variaveis >> IPTABLES="/sbin/iptables" >> FWDIR="$FIREWALL/config" >> >> # criando arquivos importantes para servirem de samples >> . /home/servidor/fw-scripts/firewall.files >> >> # Interfaces de Rede >> # Se precisar mudar a ordem das placas fisicamente, entao >> # edite o arquivo : >> # /etc/udev/rules.d/70-persistent-net.rules >> LAN=eth1 >> WAN=eth0 >> REDE_INTERNA="192.168.0.0/16" >> >> # Os diversos módulos do iptables são chamdos através do modprobe >> modprobe ip_tables >> modprobe iptable_nat >> modprobe ip_conntrack >> modprobe ip_conntrack_ftp >> modprobe ip_nat_ftp >> modprobe ipt_LOG >> modprobe ipt_REJECT >> modprobe ipt_MASQUERADE >> modprobe ipt_state >> modprobe ipt_multiport >> modprobe iptable_mangle >> modprobe ipt_tos >> modprobe ipt_limit >> modprobe ipt_mark >> modprobe ipt_MARK >> >> # Mensagem de inicialização do script >> echo "" >> echo "# Script de Firewall - v2010.05 by Hamacker #" >> echo "" >> >> $IPTABLES -F >> $IPTABLES -F INPUT >> $IPTABLES -F OUTPUT >> $IPTABLES -F FORWARD >> $IPTABLES -t mangle -F >> $IPTABLES -t nat -F >> $IPTABLES -X >> >> $IPTABLES -P INPUT DROP >> $IPTABLES -P OUTPUT ACCEPT >> $IPTABLES -P FORWARD DROP >> >> echo "Ativando o redirecionamento entre as placas de rede (ip_forward)" >> echo "1" > /proc/sys/net/ipv4/ip_forward >> >> echo "Ativando entrada/saida da interface de loopback" >> $IPTABLES -I INPUT -i lo -j ACCEPT >> $IPTABLES -I OUTPUT -o lo -j ACCEPT >> >> echo "Liberando portas do servidor ($WAN):" >> while read LINHA ; do >> PORTA=`semremarks "$LINHA"` >> if [ "$PORTA" != "" ] ; then >> echo -e "\tPorta : $PORTA" >> $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT >> $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT >> $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT >> fi >> done <"$LISTA_PORTAS_LIBERADAS" >> $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT >> $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT >> $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT >> $IPTABLES -I INPUT -p icmp -j ACCEPT >> >> echo "Redirecionando portas ($WAN) a outros servidores :" >> while read LINHA ; do >> i=`semremarks "$LINHA"` >> if [ "$i" != "" ] ; then >> REDIPROTO=`echo $i | cut -d ';' -f 1` #recebe o protocolo a ser >> redirecionado >> REDIPORTA=`echo $i | cut -d ';&#
Re: Script de firewall não funciona, pq ?
Na realidade, é um script que tento fazê-lo ser modular e flexivel, daí também as referencias em arquivos externos. Em 24 de maio de 2010 13:05, Joel A. Silva escreveu: > (...) > Hamacker, se a sua politica padrão é DROP, não faz sentido vc adicionar > regras bloqueando algo, não é mesmo? Por padrão, no seu firewall tudo já se > encontrará bloqueado. > > abraços > Joel > -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktikgdhdjttxxhtscym__vrwurob_mip5rxy0j...@mail.gmail.com
Re: Script de firewall não funciona, pq ?
--- Em seg, 24/5/10, hamacker escreveu: > De: hamacker > Assunto: Script de firewall não funciona, pq ? > Para: "Lista Debian" > Data: Segunda-feira, 24 de Maio de 2010, 14:23 > Olá pessoal, será que seria > possivel uma mãozinha aqui : > Estou desenvolvendo um script para firewall que > bloqueia/libera > portas, dá acesso transparente a alguns ips, etc... > O script funciona perfeitamente no servidor onde coloco, > porém quando > vou a uma estação e ponho tal servidor como gateway > simplesmente não > funciona. > Sei que tá funcionando porque faço um ssh neste servidor > e as regras > alí estão funcionando sem problemas, além disso, > coloquei até um > proxy lá e com o proxy tá funcionando. > Vou colar aqui o script, só em suas regras e se alguem for > ninja em > iptables e puder me dizer qual é o problema, eu seria > muito grato. > (...) Hamacker, se a sua politica padrão é DROP, não faz sentido vc adicionar regras bloqueando algo, não é mesmo? Por padrão, no seu firewall tudo já se encontrará bloqueado. abraços Joel -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/209967.340...@web114513.mail.gq1.yahoo.com
Re: Script de firewall não funciona, pq ?
--- Em seg, 24/5/10, Allison Vollmann escreveu: De: Allison Vollmann Assunto: Re: Script de firewall não funciona, pq ? Para: debian-user-portuguese@lists.debian.org Data: Segunda-feira, 24 de Maio de 2010, 15:01 -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Você habilitou o forwarding de pacotes no kernel? Para ter certeza o comando deve retornar "= 1" # sysctl net.ipv4.ip_forward (para ipv6: net.ipv6.conf.all.forwarding) Caso não tenha habilitado você pode setar esta configuração no arquivo "/etc/sysctl.conf" para persistir ao boot do sistema, e para não precisar reiniciar pode habilitá-la utilizando o comando sysctl também (ou da maneira tradicional através do sistema de arquivos proc) A[]'s Em 24/5/2010 11:23, hamacker escreveu: > Olá pessoal, será que seria possivel uma mãozinha aqui : > Estou desenvolvendo um script para firewall que bloqueia/libera > portas, dá acesso transparente a alguns ips, etc... > O script funciona perfeitamente no servidor onde coloco, porém quando > vou a uma estação e ponho tal servidor como gateway simplesmente não > funciona. > Sei que tá funcionando porque faço um ssh neste servidor e as regras > alí estão funcionando sem problemas, além disso, coloquei até um > proxy lá e com o proxy tá funcionando. > Vou colar aqui o script, só em suas regras e se alguem for ninja em > iptables e puder me dizer qual é o problema, eu seria muito grato. > > Gostaria de dizer que comentei todas as linhas para depurar e mesmo > que eu dê um : > $IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE > > para mascarar tudo, não adianta. > > Falha com DNS estão descartados. > Qualquer ajuda será bem vinda. > > # > # Inicio do Script > # > > # Declaração de variaveis > IPTABLES="/sbin/iptables" > FWDIR="$FIREWALL/config" > > # criando arquivos importantes para servirem de samples > . /home/servidor/fw-scripts/firewall.files > > # Interfaces de Rede > # Se precisar mudar a ordem das placas fisicamente, entao > # edite o arquivo : > # /etc/udev/rules.d/70-persistent-net.rules > LAN=eth1 > WAN=eth0 > REDE_INTERNA="192.168.0.0/16" > > # Os diversos módulos do iptables são chamdos através do modprobe > modprobe ip_tables > modprobe iptable_nat > modprobe ip_conntrack > modprobe ip_conntrack_ftp > modprobe ip_nat_ftp > modprobe ipt_LOG > modprobe ipt_REJECT > modprobe ipt_MASQUERADE > modprobe ipt_state > modprobe ipt_multiport > modprobe iptable_mangle > modprobe ipt_tos > modprobe ipt_limit > modprobe ipt_mark > modprobe ipt_MARK > > # Mensagem de inicialização do script > echo "" > echo "# Script de Firewall - v2010.05 by Hamacker #" > echo "" > > $IPTABLES -F > $IPTABLES -F INPUT > $IPTABLES -F OUTPUT > $IPTABLES -F FORWARD > $IPTABLES -t mangle -F > $IPTABLES -t nat -F > $IPTABLES -X > > $IPTABLES -P INPUT DROP > $IPTABLES -P OUTPUT ACCEPT > $IPTABLES -P FORWARD DROP > > echo "Ativando o redirecionamento entre as placas de rede (ip_forward)" > echo "1" > /proc/sys/net/ipv4/ip_forward > > echo "Ativando entrada/saida da interface de loopback" > $IPTABLES -I INPUT -i lo -j ACCEPT > $IPTABLES -I OUTPUT -o lo -j ACCEPT > > echo "Liberando portas do servidor ($WAN):" > while read LINHA ; do > PORTA=`semremarks "$LINHA"` > if [ "$PORTA" != "" ] ; then > echo -e "\tPorta : $PORTA" > $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT > $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT > $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT > fi > done <"$LISTA_PORTAS_LIBERADAS" > $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT > $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT > $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT > $IPTABLES -I INPUT -p icmp -j ACCEPT > > echo "Redirecionando portas ($WAN) a outros servidores :" > while read LINHA ; do > i=`semremarks "$LINHA"` > if [ "$i" != "" ] ; then > REDIPROTO=`echo $i | cut -d ';' -f 1` #recebe o protocolo a ser > redirecionado > REDIPORTA=`echo $i | cut -d ';' -f 2` #recebe a porta a ser redirecionado > REDIP=`echo $i | cut -d ';' -f 3` #recebe o ip a ser redirecionado > REDISERVICO=`echo $i | cut -d ';' -f 4` #recebe o nome do serviço > REDIHOST=`echo $i | cut -d ';' -f 5` #recebe o nome do host > echo -e "\t$WAN:$REDIPORTA($REDISERVICO) ->$REDIP($REDIHOST)" > $IPTABLES -A FORWARD -p $
Re: Script de firewall não funciona, pq ?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Você habilitou o forwarding de pacotes no kernel? Para ter certeza o comando deve retornar "= 1" # sysctl net.ipv4.ip_forward (para ipv6: net.ipv6.conf.all.forwarding) Caso não tenha habilitado você pode setar esta configuração no arquivo "/etc/sysctl.conf" para persistir ao boot do sistema, e para não precisar reiniciar pode habilitá-la utilizando o comando sysctl também (ou da maneira tradicional através do sistema de arquivos proc) A[]'s Em 24/5/2010 11:23, hamacker escreveu: > Olá pessoal, será que seria possivel uma mãozinha aqui : > Estou desenvolvendo um script para firewall que bloqueia/libera > portas, dá acesso transparente a alguns ips, etc... > O script funciona perfeitamente no servidor onde coloco, porém quando > vou a uma estação e ponho tal servidor como gateway simplesmente não > funciona. > Sei que tá funcionando porque faço um ssh neste servidor e as regras > alí estão funcionando sem problemas, além disso, coloquei até um > proxy lá e com o proxy tá funcionando. > Vou colar aqui o script, só em suas regras e se alguem for ninja em > iptables e puder me dizer qual é o problema, eu seria muito grato. > > Gostaria de dizer que comentei todas as linhas para depurar e mesmo > que eu dê um : > $IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE > > para mascarar tudo, não adianta. > > Falha com DNS estão descartados. > Qualquer ajuda será bem vinda. > > # > # Inicio do Script > # > > # Declaração de variaveis > IPTABLES="/sbin/iptables" > FWDIR="$FIREWALL/config" > > # criando arquivos importantes para servirem de samples > . /home/servidor/fw-scripts/firewall.files > > # Interfaces de Rede > # Se precisar mudar a ordem das placas fisicamente, entao > # edite o arquivo : > # /etc/udev/rules.d/70-persistent-net.rules > LAN=eth1 > WAN=eth0 > REDE_INTERNA="192.168.0.0/16" > > # Os diversos módulos do iptables são chamdos através do modprobe > modprobe ip_tables > modprobe iptable_nat > modprobe ip_conntrack > modprobe ip_conntrack_ftp > modprobe ip_nat_ftp > modprobe ipt_LOG > modprobe ipt_REJECT > modprobe ipt_MASQUERADE > modprobe ipt_state > modprobe ipt_multiport > modprobe iptable_mangle > modprobe ipt_tos > modprobe ipt_limit > modprobe ipt_mark > modprobe ipt_MARK > > # Mensagem de inicialização do script > echo "" > echo "# Script de Firewall - v2010.05 by Hamacker#" > echo "" > > $IPTABLES -F > $IPTABLES -F INPUT > $IPTABLES -F OUTPUT > $IPTABLES -F FORWARD > $IPTABLES -t mangle -F > $IPTABLES -t nat -F > $IPTABLES -X > > $IPTABLES -P INPUT DROP > $IPTABLES -P OUTPUT ACCEPT > $IPTABLES -P FORWARD DROP > > echo "Ativando o redirecionamento entre as placas de rede (ip_forward)" > echo "1" > /proc/sys/net/ipv4/ip_forward > > echo "Ativando entrada/saida da interface de loopback" > $IPTABLES -I INPUT -i lo -j ACCEPT > $IPTABLES -I OUTPUT -o lo -j ACCEPT > > echo "Liberando portas do servidor ($WAN):" > while read LINHA ; do > PORTA=`semremarks "$LINHA"` > if [ "$PORTA" != "" ] ; then > echo -e "\tPorta : $PORTA" > $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT > $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT > $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT > fi > done <"$LISTA_PORTAS_LIBERADAS" > $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT > $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT > $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT > $IPTABLES -I INPUT -p icmp -j ACCEPT > > echo "Redirecionando portas ($WAN) a outros servidores :" > while read LINHA ; do > i=`semremarks "$LINHA"` > if [ "$i" != "" ] ; then > REDIPROTO=`echo $i | cut -d ';' -f 1` #recebe o protocolo a ser > redirecionado > REDIPORTA=`echo $i | cut -d ';' -f 2` #recebe a porta a ser redirecionado > REDIP=`echo $i | cut -d ';' -f 3` #recebe o ip a ser redirecionado > REDISERVICO=`echo $i | cut -d ';' -f 4` #recebe o nome do serviço > REDIHOST=`echo $i | cut -d ';' -f 5` #recebe o nome do host > echo -e "\t$WAN:$REDIPORTA($REDISERVICO) ->$REDIP($REDIHOST)" > $IPTABLES -A FORWARD -p $REDIPROTO --dport $REDIPORTA -j ACCEPT > $IPTABLES -t nat -A PREROUTING -p $REDIPROTO -i $WAN --dport > $REDIPORTA -j DNAT --to $REDIP > fi > done <"$LISTA_REDIRECIONAMENTOS" >
Res: Script de firewall não funciona, pq ?
Velho se inscreve nessa lista. Ela trabalha somente com IpTables: iptables...@yahoogrupos.com.br. Boa sorte. - Mensagem original De: hamacker Para: Lista Debian Enviadas: Segunda-feira, 24 de Maio de 2010 10:23:13 Assunto: Script de firewall não funciona, pq ? Olá pessoal, será que seria possivel uma mãozinha aqui : Estou desenvolvendo um script para firewall que bloqueia/libera portas, dá acesso transparente a alguns ips, etc... O script funciona perfeitamente no servidor onde coloco, porém quando vou a uma estação e ponho tal servidor como gateway simplesmente não funciona. Sei que tá funcionando porque faço um ssh neste servidor e as regras alí estão funcionando sem problemas, além disso, coloquei até um proxy lá e com o proxy tá funcionando. Vou colar aqui o script, só em suas regras e se alguem for ninja em iptables e puder me dizer qual é o problema, eu seria muito grato. Gostaria de dizer que comentei todas as linhas para depurar e mesmo que eu dê um : $IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE para mascarar tudo, não adianta. Falha com DNS estão descartados. Qualquer ajuda será bem vinda. # # Inicio do Script # # Declaração de variaveis IPTABLES="/sbin/iptables" FWDIR="$FIREWALL/config" # criando arquivos importantes para servirem de samples . /home/servidor/fw-scripts/firewall.files # Interfaces de Rede # Se precisar mudar a ordem das placas fisicamente, entao # edite o arquivo : # /etc/udev/rules.d/70-persistent-net.rules LAN=eth1 WAN=eth0 REDE_INTERNA="192.168.0.0/16" # Os diversos módulos do iptables são chamdos através do modprobe modprobe ip_tables modprobe iptable_nat modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ipt_LOG modprobe ipt_REJECT modprobe ipt_MASQUERADE modprobe ipt_state modprobe ipt_multiport modprobe iptable_mangle modprobe ipt_tos modprobe ipt_limit modprobe ipt_mark modprobe ipt_MARK # Mensagem de inicialização do script echo "############" echo "# Script de Firewall - v2010.05 by Hamacker#" echo "" $IPTABLES -F $IPTABLES -F INPUT $IPTABLES -F OUTPUT $IPTABLES -F FORWARD $IPTABLES -t mangle -F $IPTABLES -t nat -F $IPTABLES -X $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP echo "Ativando o redirecionamento entre as placas de rede (ip_forward)" echo "1" > /proc/sys/net/ipv4/ip_forward echo "Ativando entrada/saida da interface de loopback" $IPTABLES -I INPUT -i lo -j ACCEPT $IPTABLES -I OUTPUT -o lo -j ACCEPT echo "Liberando portas do servidor ($WAN):" while read LINHA ; do PORTA=`semremarks "$LINHA"` if [ "$PORTA" != "" ] ; then echo -e "\tPorta : $PORTA" $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT fi done <"$LISTA_PORTAS_LIBERADAS" $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT $IPTABLES -I INPUT -p icmp -j ACCEPT echo "Redirecionando portas ($WAN) a outros servidores :" while read LINHA ; do i=`semremarks "$LINHA"` if [ "$i" != "" ] ; then REDIPROTO=`echo $i | cut -d ';' -f 1` #recebe o protocolo a ser redirecionado REDIPORTA=`echo $i | cut -d ';' -f 2` #recebe a porta a ser redirecionado REDIP=`echo $i | cut -d ';' -f 3` #recebe o ip a ser redirecionado REDISERVICO=`echo $i | cut -d ';' -f 4` #recebe o nome do serviço REDIHOST=`echo $i | cut -d ';' -f 5` #recebe o nome do host echo -e "\t$WAN:$REDIPORTA($REDISERVICO) ->$REDIP($REDIHOST)" $IPTABLES -A FORWARD -p $REDIPROTO --dport $REDIPORTA -j ACCEPT $IPTABLES -t nat -A PREROUTING -p $REDIPROTO -i $WAN --dport $REDIPORTA -j DNAT --to $REDIP fi done <"$LISTA_REDIRECIONAMENTOS" echo "Bloqueando MacAddr da lista $LISTA_MACLIST_BLOQUEADOS :" echo "(este bloqueio precede outras permissoes)" while read LINHA ; do MACSOURCE=`semremarks "$LINHA"` if [ "$MACSOURCE" != "" ] ; then echo -e "\tBloqueado MacAddr:$LINHA" $IPTABLES -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP $IPTABLES -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP #$IPTABLES -t filter -A PREROUTING -m mac --mac-source $MACSOURCE -j DROP fi done < "$LISTA_MACLIST_BLOQUEADOS" echo "Liberando IPs/Sites com acesso transparente e direito" while read LINHA ; do LIBERAR_SITE=`semremarks "$LINHA"` if [ "$LIBERAR_SITE" != "" ] ; then echo -e "\tSite transparente : $LINHA" $IPTA
Re: Script de firewall não funciona, pq ?
Olá hamacker. Não li todo seu script, mas antes disso faça um teste. Quando eu escrevi um script iptables pro meu roteador, tive que criar uma nova chain e inserir nessa nova chain as chains INPUT e FORWARD, como: $iptables -N FIREWALL $iptables -A INPUT -j FIREWALL $iptables -A FORWARD -j FIREWALL E todas as regras você escreve pra chain FIREWALL. Dá uma tentada nisso antes de darmos mais um passo. Atenciosamente, Allan Carvalho Em 24 de maio de 2010 11:23, hamacker escreveu: > Olá pessoal, será que seria possivel uma mãozinha aqui : > Estou desenvolvendo um script para firewall que bloqueia/libera > portas, dá acesso transparente a alguns ips, etc... > O script funciona perfeitamente no servidor onde coloco, porém quando > vou a uma estação e ponho tal servidor como gateway simplesmente não > funciona. > Sei que tá funcionando porque faço um ssh neste servidor e as regras > alí estão funcionando sem problemas, além disso, coloquei até um > proxy lá e com o proxy tá funcionando. > Vou colar aqui o script, só em suas regras e se alguem for ninja em > iptables e puder me dizer qual é o problema, eu seria muito grato. > > Gostaria de dizer que comentei todas as linhas para depurar e mesmo > que eu dê um : > $IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE > > para mascarar tudo, não adianta. > > Falha com DNS estão descartados. > Qualquer ajuda será bem vinda. > > # > # Inicio do Script > # > > # Declaração de variaveis > IPTABLES="/sbin/iptables" > FWDIR="$FIREWALL/config" > > # criando arquivos importantes para servirem de samples > . /home/servidor/fw-scripts/firewall.files > > # Interfaces de Rede > # Se precisar mudar a ordem das placas fisicamente, entao > # edite o arquivo : > # /etc/udev/rules.d/70-persistent-net.rules > LAN=eth1 > WAN=eth0 > REDE_INTERNA="192.168.0.0/16" > > # Os diversos módulos do iptables são chamdos através do modprobe > modprobe ip_tables > modprobe iptable_nat > modprobe ip_conntrack > modprobe ip_conntrack_ftp > modprobe ip_nat_ftp > modprobe ipt_LOG > modprobe ipt_REJECT > modprobe ipt_MASQUERADE > modprobe ipt_state > modprobe ipt_multiport > modprobe iptable_mangle > modprobe ipt_tos > modprobe ipt_limit > modprobe ipt_mark > modprobe ipt_MARK > > # Mensagem de inicialização do script > echo "" > echo "# Script de Firewall - v2010.05 by Hamacker #" > echo "" > > $IPTABLES -F > $IPTABLES -F INPUT > $IPTABLES -F OUTPUT > $IPTABLES -F FORWARD > $IPTABLES -t mangle -F > $IPTABLES -t nat -F > $IPTABLES -X > > $IPTABLES -P INPUT DROP > $IPTABLES -P OUTPUT ACCEPT > $IPTABLES -P FORWARD DROP > > echo "Ativando o redirecionamento entre as placas de rede (ip_forward)" > echo "1" > /proc/sys/net/ipv4/ip_forward > > echo "Ativando entrada/saida da interface de loopback" > $IPTABLES -I INPUT -i lo -j ACCEPT > $IPTABLES -I OUTPUT -o lo -j ACCEPT > > echo "Liberando portas do servidor ($WAN):" > while read LINHA ; do > PORTA=`semremarks "$LINHA"` > if [ "$PORTA" != "" ] ; then > echo -e "\tPorta : $PORTA" > $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT > $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT > $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT > fi > done <"$LISTA_PORTAS_LIBERADAS" > $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT > $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT > $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT > $IPTABLES -I INPUT -p icmp -j ACCEPT > > echo "Redirecionando portas ($WAN) a outros servidores :" > while read LINHA ; do > i=`semremarks "$LINHA"` > if [ "$i" != "" ] ; then > REDIPROTO=`echo $i | cut -d ';' -f 1` #recebe o protocolo a ser > redirecionado > REDIPORTA=`echo $i | cut -d ';' -f 2` #recebe a porta a ser redirecionado > REDIP=`echo $i | cut -d ';' -f 3` #recebe o ip a ser redirecionado > REDISERVICO=`echo $i | cut -d ';' -f 4` #recebe o nome do serviço > REDIHOST=`echo $i | cut -d ';' -f 5` #recebe o nome do host > echo -e "\t$WAN:$REDIPORTA($REDISERVICO) ->$REDIP($REDIHOST)" > $IPTABLES -A FORWARD -p $REDIPROTO --dport $REDIPORTA -j ACCEPT > $IPTABLES -t nat -A PREROUTING -p $REDIPROTO -i $WAN --dport > $REDIPORTA -j DNAT --to $REDIP > fi > done <"$LISTA_REDIRECIONAMENTOS" > > echo "Bloqueando MacAddr da lista $LISTA_MACLIST_BLOQUEADOS :" > echo "(este
Script de firewall não funciona, pq ?
Olá pessoal, será que seria possivel uma mãozinha aqui : Estou desenvolvendo um script para firewall que bloqueia/libera portas, dá acesso transparente a alguns ips, etc... O script funciona perfeitamente no servidor onde coloco, porém quando vou a uma estação e ponho tal servidor como gateway simplesmente não funciona. Sei que tá funcionando porque faço um ssh neste servidor e as regras alí estão funcionando sem problemas, além disso, coloquei até um proxy lá e com o proxy tá funcionando. Vou colar aqui o script, só em suas regras e se alguem for ninja em iptables e puder me dizer qual é o problema, eu seria muito grato. Gostaria de dizer que comentei todas as linhas para depurar e mesmo que eu dê um : $IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE para mascarar tudo, não adianta. Falha com DNS estão descartados. Qualquer ajuda será bem vinda. # # Inicio do Script # # Declaração de variaveis IPTABLES="/sbin/iptables" FWDIR="$FIREWALL/config" # criando arquivos importantes para servirem de samples . /home/servidor/fw-scripts/firewall.files # Interfaces de Rede # Se precisar mudar a ordem das placas fisicamente, entao # edite o arquivo : # /etc/udev/rules.d/70-persistent-net.rules LAN=eth1 WAN=eth0 REDE_INTERNA="192.168.0.0/16" # Os diversos módulos do iptables são chamdos através do modprobe modprobe ip_tables modprobe iptable_nat modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ipt_LOG modprobe ipt_REJECT modprobe ipt_MASQUERADE modprobe ipt_state modprobe ipt_multiport modprobe iptable_mangle modprobe ipt_tos modprobe ipt_limit modprobe ipt_mark modprobe ipt_MARK # Mensagem de inicialização do script echo "############" echo "# Script de Firewall - v2010.05 by Hamacker#" echo "" $IPTABLES -F $IPTABLES -F INPUT $IPTABLES -F OUTPUT $IPTABLES -F FORWARD $IPTABLES -t mangle -F $IPTABLES -t nat -F $IPTABLES -X $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP echo "Ativando o redirecionamento entre as placas de rede (ip_forward)" echo "1" > /proc/sys/net/ipv4/ip_forward echo "Ativando entrada/saida da interface de loopback" $IPTABLES -I INPUT -i lo -j ACCEPT $IPTABLES -I OUTPUT -o lo -j ACCEPT echo "Liberando portas do servidor ($WAN):" while read LINHA ; do PORTA=`semremarks "$LINHA"` if [ "$PORTA" != "" ] ; then echo -e "\tPorta : $PORTA" $IPTABLES -A INPUT -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport $PORTA -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport $PORTA -j ACCEPT fi done <"$LISTA_PORTAS_LIBERADAS" $IPTABLES -I INPUT -m state --state ESTABLISHED -j ACCEPT $IPTABLES -I INPUT -m state --state RELATED -j ACCEPT $IPTABLES -I OUTPUT -p icmp -o $WAN -j ACCEPT $IPTABLES -I INPUT -p icmp -j ACCEPT echo "Redirecionando portas ($WAN) a outros servidores :" while read LINHA ; do i=`semremarks "$LINHA"` if [ "$i" != "" ] ; then REDIPROTO=`echo $i | cut -d ';' -f 1` #recebe o protocolo a ser redirecionado REDIPORTA=`echo $i | cut -d ';' -f 2` #recebe a porta a ser redirecionado REDIP=`echo $i | cut -d ';' -f 3` #recebe o ip a ser redirecionado REDISERVICO=`echo $i | cut -d ';' -f 4` #recebe o nome do serviço REDIHOST=`echo $i | cut -d ';' -f 5` #recebe o nome do host echo -e "\t$WAN:$REDIPORTA($REDISERVICO) ->$REDIP($REDIHOST)" $IPTABLES -A FORWARD -p $REDIPROTO --dport $REDIPORTA -j ACCEPT $IPTABLES -t nat -A PREROUTING -p $REDIPROTO -i $WAN --dport $REDIPORTA -j DNAT --to $REDIP fi done <"$LISTA_REDIRECIONAMENTOS" echo "Bloqueando MacAddr da lista $LISTA_MACLIST_BLOQUEADOS :" echo "(este bloqueio precede outras permissoes)" while read LINHA ; do MACSOURCE=`semremarks "$LINHA"` if [ "$MACSOURCE" != "" ] ; then echo -e "\tBloqueado MacAddr:$LINHA" $IPTABLES -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP $IPTABLES -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP #$IPTABLES -t filter -A PREROUTING -m mac --mac-source $MACSOURCE -j DROP fi done < "$LISTA_MACLIST_BLOQUEADOS" echo "Liberando IPs/Sites com acesso transparente e direito" while read LINHA ; do LIBERAR_SITE=`semremarks "$LINHA"` if [ "$LIBERAR_SITE" != "" ] ; then echo -e "\tSite transparente : $LINHA" $IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -d $LIBERAR_SITE -j MASQUERADE fi done <"$SQUIDACL/sites_diretos.txt" echo "Liberando IPs transparentes fixos a partir de $LISTA_IP_TRANSPARENTES_FIXO" while read LINHA ; do LIBERAR_IP=`semremarks &quo
Re: Problemas com script de Firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Davi Vercillo Carneiro Garcia escreveu: > Boa noite, > > Realmente funcionou ! Muito obrigado ! Eu tinha me esquecido do lo > mas nunca pensei que daria problemas no Gnome ! Qual seria a > explicação pra isso !? > Boa tarde, Você já tentou dar um netstat -an e ver quais as portas locais que o gnome utiliza e ainda tem o XORG ou XFree86 - -- Márcio Luciano Donada Aurora Alimentos - Cooperativa Central Oeste Catarinense - Departamento de T.I. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFGdrtlyJq2hZEymxcRApaTAJ4ynrZ72n2VnOjJnKf68VylpZV+mgCglF03 TTOWs715kZ79gfd45orAiww= =0BzX -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Problemas com script de Firewall
Davi Vercillo Carneiro Garcia escreveu:
Boa noite,
Realmente funcionou ! Muito obrigado !
Eu tinha me esquecido do lo mas nunca pensei que daria problemas no
Gnome !
Qual seria a explicação pra isso !?
On Sun, 2007-06-17 at 20:30 -0300, Rogério Ferreira wrote:
Boa noite.
Acrescente a seguinte linha no seu firewall e veja se soluciona seu
problema: $IPTABLES -A INPUT -i lo -j ACCEPT
Rogério Ferreira.
===
"Difícil é aprender a ler,
o resto está escrito."
Autor desconhecido.
===
Seja livre, use
Debian GNU/Linux!
Davi Vercillo Carneiro Garcia escreveu:
Fala pessoal,
Meu nome é Davi Vercillo, sou estudante de Ciência da Computação na
UFRJ. Atualmente estou no 2º período.
Estou tentando implementar um script com umas regras básicas para o
iptables e estou tendo problemas. Eu escrevo o script em /etc/init.d e
uso a ferramenta rcconf para ativar para ser executada corretamente na
inicialização. O iptables funciona como deveria, mas o Gnome não faz
mais shutdown do PC. Quando clico em Desktop > ShutDown e depois de
confirmar para desligar, ele trava. Para o processo de shutdown
continuar tenho que matar o X com Ctrl+Alt+Backspace. Isso só acontece
quando o script esta carregado.
Estou mandando abaixo o script que estou usando.
=INICIO===
#!/bin/sh
IPTABLES=/sbin/iptables
PORTAS=9641
case $1 in
start)
echo "Starting IPtables Rules: firewall"
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT
exit 0
;;
stop)
echo "Stopping IPtables Rules: firewall"
$IPTABLES -F
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
exit 0
;;
restart)
$0 stop
$0 start
;;
status)
$IPTABLES -L
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop|restart|status}"
exit 1
esac
exit 0
=FIM=
___
Yahoo! Mail - Sempre a melhor opo para voc!
Experimente j e veja as novidades.
http://br.yahoo.com/mailbeta/tudonovo/
Corrijam-me se eu estiver errado, mas o motivo é que os programas
trabalham de forma cliente servidor com o X e para tanto
necessitam ter acesso liberado a ele, utilizando para tal a interface "lo".
Então esta interface é utilizada pelos protocolos de comunicação destas
aplicações como no caso o GNOME.
Abraços!
Diego Fabian
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Problemas com script de Firewall
O lo é uma interface para teste local da sua máquina, ele não pode e não
deve ser bloqueado.
Tenho certeza que ocorreram outros problemas, mas pode não ter percebido por
conta do Gnome.
Em 18/06/07, Davi Vercillo Carneiro Garcia <[EMAIL PROTECTED]>
escreveu:
Boa noite,
Realmente funcionou ! Muito obrigado !
Eu tinha me esquecido do lo mas nunca pensei que daria problemas no
Gnome !
Qual seria a explicação pra isso !?
On Sun, 2007-06-17 at 20:30 -0300, Rogério Ferreira wrote:
> Boa noite.
>
> Acrescente a seguinte linha no seu firewall e veja se soluciona
seu
> problema: $IPTABLES -A INPUT -i lo -j ACCEPT
>
>
> Rogério Ferreira.
> ===
> "Difícil é aprender a ler,
> o resto está escrito."
> Autor desconhecido.
> ===
> Seja livre, use
> Debian GNU/Linux!
>
>
> Davi Vercillo Carneiro Garcia escreveu:
> > Fala pessoal,
> >
> > Meu nome é Davi Vercillo, sou estudante de Ciência da Computação na
> > UFRJ. Atualmente estou no 2º período.
> >
> > Estou tentando implementar um script com umas regras básicas para o
> > iptables e estou tendo problemas. Eu escrevo o script em /etc/init.d e
> > uso a ferramenta rcconf para ativar para ser executada corretamente na
> > inicialização. O iptables funciona como deveria, mas o Gnome não faz
> > mais shutdown do PC. Quando clico em Desktop > ShutDown e depois de
> > confirmar para desligar, ele trava. Para o processo de shutdown
> > continuar tenho que matar o X com Ctrl+Alt+Backspace. Isso só acontece
> > quando o script esta carregado.
> >
> > Estou mandando abaixo o script que estou usando.
> >
> >
=INICIO===
> > #!/bin/sh
> >
> > IPTABLES=/sbin/iptables
> > PORTAS=9641
> >
> > case $1 in
> > start)
> > echo "Starting IPtables Rules: firewall"
> > $IPTABLES -P INPUT DROP
> > $IPTABLES -P FORWARD DROP
> > $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j
> > ACCEPT
> > exit 0
> > ;;
> > stop)
> > echo "Stopping IPtables Rules: firewall"
> > $IPTABLES -F
> > $IPTABLES -P INPUT ACCEPT
> > $IPTABLES -P FORWARD ACCEPT
> > exit 0
> > ;;
> > restart)
> > $0 stop
> > $0 start
> > ;;
> > status)
> > $IPTABLES -L
> > ;;
> > *)
> > echo "Usage: /etc/init.d/firewall {start|stop|restart|status}"
> > exit 1
> > esac
> >
> > exit 0
> >
=FIM=
> >
>
>
> ___
> Yahoo! Mail - Sempre a melhor opo para voc!
> Experimente j e veja as novidades.
> http://br.yahoo.com/mailbeta/tudonovo/
>
>
--
Atenciosamente,
Davi Vercillo Carneiro Garcia
http://www.dcc.ufrj.br/~davivercillo
GRIS - http://www.gris.dcc.ufrj.br
DCC-IM/UFRJ - http://www.dcc.ufrj.br
--
Administrador de Sistemas GNU/Linux
HomePage: www.dias.eti.br
Email: [EMAIL PROTECTED]
"A mente que se abre a uma nova idéia jamais voltará ao seu tamanho
original"
(Albert Einstein)
Re: Problemas com script de Firewall
Boa noite,
Realmente funcionou ! Muito obrigado !
Eu tinha me esquecido do lo mas nunca pensei que daria problemas no
Gnome !
Qual seria a explicação pra isso !?
On Sun, 2007-06-17 at 20:30 -0300, Rogério Ferreira wrote:
> Boa noite.
>
> Acrescente a seguinte linha no seu firewall e veja se soluciona seu
> problema: $IPTABLES -A INPUT -i lo -j ACCEPT
>
>
> Rogério Ferreira.
> ===
> "Difícil é aprender a ler,
> o resto está escrito."
> Autor desconhecido.
> ===
> Seja livre, use
> Debian GNU/Linux!
>
>
> Davi Vercillo Carneiro Garcia escreveu:
> > Fala pessoal,
> >
> > Meu nome é Davi Vercillo, sou estudante de Ciência da Computação na
> > UFRJ. Atualmente estou no 2º período.
> >
> > Estou tentando implementar um script com umas regras básicas para o
> > iptables e estou tendo problemas. Eu escrevo o script em /etc/init.d e
> > uso a ferramenta rcconf para ativar para ser executada corretamente na
> > inicialização. O iptables funciona como deveria, mas o Gnome não faz
> > mais shutdown do PC. Quando clico em Desktop > ShutDown e depois de
> > confirmar para desligar, ele trava. Para o processo de shutdown
> > continuar tenho que matar o X com Ctrl+Alt+Backspace. Isso só acontece
> > quando o script esta carregado.
> >
> > Estou mandando abaixo o script que estou usando.
> >
> > =INICIO===
> > #!/bin/sh
> >
> > IPTABLES=/sbin/iptables
> > PORTAS=9641
> >
> > case $1 in
> > start)
> > echo "Starting IPtables Rules: firewall"
> > $IPTABLES -P INPUT DROP
> > $IPTABLES -P FORWARD DROP
> > $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j
> > ACCEPT
> > exit 0
> > ;;
> > stop)
> > echo "Stopping IPtables Rules: firewall"
> > $IPTABLES -F
> > $IPTABLES -P INPUT ACCEPT
> > $IPTABLES -P FORWARD ACCEPT
> > exit 0
> > ;;
> > restart)
> > $0 stop
> > $0 start
> > ;;
> > status)
> > $IPTABLES -L
> > ;;
> > *)
> > echo "Usage: /etc/init.d/firewall {start|stop|restart|status}"
> > exit 1
> > esac
> >
> > exit 0
> > =FIM=
> >
>
>
> ___
> Yahoo! Mail - Sempre a melhor opo para voc!
> Experimente j e veja as novidades.
> http://br.yahoo.com/mailbeta/tudonovo/
>
>
--
Atenciosamente,
Davi Vercillo Carneiro Garcia
http://www.dcc.ufrj.br/~davivercillo
GRIS - http://www.gris.dcc.ufrj.br
DCC-IM/UFRJ - http://www.dcc.ufrj.br
signature.asc
Description: This is a digitally signed message part
Re: Problemas com script de Firewall
Boa noite.
Acrescente a seguinte linha no seu firewall e veja se soluciona seu
problema: $IPTABLES -A INPUT -i lo -j ACCEPT
Rogério Ferreira.
===
"DifÃcil é aprender a ler,
o resto está escrito."
Autor desconhecido.
===
Seja livre, use
Debian GNU/Linux!
Davi Vercillo Carneiro Garcia escreveu:
Fala pessoal,
Meu nome é Davi Vercillo, sou estudante de Ciência da Computação na
UFRJ. Atualmente estou no 2º perÃodo.
Estou tentando implementar um script com umas regras básicas para o
iptables e estou tendo problemas. Eu escrevo o script em /etc/init.d e
uso a ferramenta rcconf para ativar para ser executada corretamente na
inicialização. O iptables funciona como deveria, mas o Gnome não faz
mais shutdown do PC. Quando clico em Desktop > ShutDown e depois de
confirmar para desligar, ele trava. Para o processo de shutdown
continuar tenho que matar o X com Ctrl+Alt+Backspace. Isso só acontece
quando o script esta carregado.
Estou mandando abaixo o script que estou usando.
=INICIO===
#!/bin/sh
IPTABLES=/sbin/iptables
PORTAS=9641
case $1 in
start)
echo "Starting IPtables Rules: firewall"
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT
exit 0
;;
stop)
echo "Stopping IPtables Rules: firewall"
$IPTABLES -F
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
exit 0
;;
restart)
$0 stop
$0 start
;;
status)
$IPTABLES -L
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop|restart|status}"
exit 1
esac
exit 0
=FIM=
___
Yahoo! Mail - Sempre a melhor opção para você!
Experimente já e veja as novidades.
http://br.yahoo.com/mailbeta/tudonovo/
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Problemas com script de Firewall
Fala pessoal,
Meu nome é Davi Vercillo, sou estudante de Ciência da Computação na
UFRJ. Atualmente estou no 2º período.
Estou tentando implementar um script com umas regras básicas para o
iptables e estou tendo problemas. Eu escrevo o script em /etc/init.d e
uso a ferramenta rcconf para ativar para ser executada corretamente na
inicialização. O iptables funciona como deveria, mas o Gnome não faz
mais shutdown do PC. Quando clico em Desktop > ShutDown e depois de
confirmar para desligar, ele trava. Para o processo de shutdown
continuar tenho que matar o X com Ctrl+Alt+Backspace. Isso só acontece
quando o script esta carregado.
Estou mandando abaixo o script que estou usando.
=INICIO===
#!/bin/sh
IPTABLES=/sbin/iptables
PORTAS=9641
case $1 in
start)
echo "Starting IPtables Rules: firewall"
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT
exit 0
;;
stop)
echo "Stopping IPtables Rules: firewall"
$IPTABLES -F
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
exit 0
;;
restart)
$0 stop
$0 start
;;
status)
$IPTABLES -L
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop|restart|status}"
exit 1
esac
exit 0
=FIM=
--
Atenciosamente,
Davi Vercillo Carneiro Garcia
http://www.dcc.ufrj.br/~davivercillo
GRIS - http://www.gris.dcc.ufrj.br
DCC-IM/UFRJ - http://www.dcc.ufrj.br
signature.asc
Description: This is a digitally signed message part
Re: Script de Firewall
* Silvino Silva ([EMAIL PROTECTED]) wrote: > Olá > > Fiz um pequeno script de firewall, coloquei uma copia no etc/init.d/ e > agora onde crio o link ? A seguir ao /etc/rcS.d/S40networking ? O *lugar cetro* é chamar o firewall no /etc/network/interfaces, pois ele entrará junto com a rede evitando uns segundos preciosos de delay. man interfaces para saber como! -- Existem muitas semelhanças entre a colonização eletrônica e o sistema colonial antigo. [...] O sistema colonial recruta elites locais para conseguir subjugar o resto da população. Ao fornecer cópias grátis de seus softwares, que não são livres, para escolas, a Microsoft está usando a escola para criar uma futura dependência tecnológica na sociedade. Richard Stallman
Re: Script de Firewall
Se voce é usuário ADSL Telefonica então o problema talvez não seja do seu script. Um script que sempre funcionou comigo (é gigante o arquivo) de uns tempos para cá venho presenciando uma lerdeza incrivel nos uploads, e coisa que antes fazia agora ficou pior, antes enquanto um upload ocorria a velocidade de download diminuia, mas não muito...agora um upload de 5,8M dá uma banda de 32Kps para download. Tentei até o trafficshaper, mas o download só aumentou um pouquinho. Já estou considerando aqui trocar o modelo e talvez partir para um outro modelo de acesso à internet ou separar speedy em linhas diferentes. []'s Em 07/02/07, Silvino Silva<[EMAIL PROTECTED]> escreveu: Olá Terminei o script de firewal, o problema é que agora os uploads ficaram muito lentos, mesmo definindo o TOS no OUTPUT da mangle. Aqui fica o script #!/bin/bash PATH=/sbin:$PATH #Inicialização: clear # Tabela filter iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # Tabela nat iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING DROP # Tabela mangle iptables -t mangle -P INPUT ACCEPT iptables -t mangle -P PREROUTING ACCEPT iptables -t mangle -P FORWARD ACCEPT iptables -t mangle -P POSTROUTING ACCEPT iptables -t mangle -P OUTPUT ACCEPT echo "Cria nova cadeia" #cria uma nova cadeia athinput iptables -N athinput echo "inicia filter" ##Cadeia Filter# #Aceita loopback iptables -A INPUT -i lo -j ACCEPT #Cria uma cadeia para as conexões da interenet chamada athinput iptables -A INPUT -i ath+ -j athinput #Tudo o resto é rejeitado e rejistado #iptables -A INPUT -j LOG iptables -A INPUT -j DROP echo "inicia athinput" ##Cadeia athinput# #Aceitas respostas de destino inatingível e ping com um limite de 2 por segundo iptables -A athinput -p icmp --icmp-type 0 -m limit --limit 2/s -j ACCEPT iptables -A athinput -p icmp --icmp-type 3 -m limit --limit 2/s -j ACCEPT #Serviço de MSN iptables -A athinput -p tcp --sport 1863 --dport 1024: -j ACCEPT #Nao aceita conecções para o apache iptables -A athinput -p tcp --dport 80 -j ACCEPT #Aceita serviço de HTML iptables -A athinput -p tcp --sport 80 --dport 1024: -j ACCEPT #Aceita HTTPs iptables -A athinput -p tcp --sport 443 --dport 1024: -j ACCEPT #Serviço de FTP, apenas upload iptables -A athinput -p tcp --sport 21 --dport 1024: -j ACCEPT iptables -A athinput -p tcp --sport 20 --dport 1024: -j ACCEPT #Aceita respostas udp dos servidores de DNS iptables -A athinput -p udp -s 195.22.0.136 --sport 53 --dport 1024: -j ACCEPT iptables -A athinput -p tcp -s 195.22.0.136 --sport 53 --dport 1024: -j ACCEPT ##Cadeia mangle# iptables -t mangle -A OUTPUT -o ath+ -p tcp --dport 21 -j TOS --set-tos 0x10 iptables -t mangle -A OUTPUT -o ath+ -p tcp --dport 23 -j TOS --set-tos 0x10 iptables -t mangle -A OUTPUT -o ath+ -p tcp --sport 80 -j TOS --set-tos 0x10 #tudo o resto é rejeitado iptables -A athinput -j DROP exit 0
Re: Script de Firewall
On 2/7/07, Silvino Silva <[EMAIL PROTECTED]> wrote: tenho um router wireless ligado ao debian pela ath0, está em modo bridge, como tal e para acerder a net foi criada uma interface ppp0. como isto funciona a ppp0 funciona sub a ath0 ? quando difinir uma regra na firewall da ath0 ela vai ser aplicada a ppp0 ? Neste caso as tuas regras de firewall devem ser feitas para a ppp0 e não ath0. -- Maxwillian Miorim <[EMAIL PROTECTED]> Have you mooed today?
Fwd: Script de Firewall
ola pessoal estou com um problema que não entendo. é o seguinte: tenho um router wireless ligado ao debian pela ath0, está em modo bridge, como tal e para acerder a net foi criada uma interface ppp0. como isto funciona a ppp0 funciona sub a ath0 ? quando difinir uma regra na firewall da ath0 ela vai ser aplicada a ppp0 ? eu queria que o pessoal se ligasse pela debian a net ou seja vai ficar -restantes pcs wireless router ( ( ( (- ath0 - ppp0 o problema é que ath0 nem tem ip agora ... que confusão que fica ... sera que tenho de ter outra placa wireless para fazer o esquema router ) ath0--- pp0 ---debian --- ath1 restantes pcs
Script de Firewall
Olá Terminei o script de firewal, o problema é que agora os uploads ficaram muito lentos, mesmo definindo o TOS no OUTPUT da mangle. Aqui fica o script #!/bin/bash PATH=/sbin:$PATH #Inicialização: clear # Tabela filter iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # Tabela nat iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING DROP # Tabela mangle iptables -t mangle -P INPUT ACCEPT iptables -t mangle -P PREROUTING ACCEPT iptables -t mangle -P FORWARD ACCEPT iptables -t mangle -P POSTROUTING ACCEPT iptables -t mangle -P OUTPUT ACCEPT echo "Cria nova cadeia" #cria uma nova cadeia athinput iptables -N athinput echo "inicia filter" ##Cadeia Filter# #Aceita loopback iptables -A INPUT -i lo -j ACCEPT #Cria uma cadeia para as conexões da interenet chamada athinput iptables -A INPUT -i ath+ -j athinput #Tudo o resto é rejeitado e rejistado #iptables -A INPUT -j LOG iptables -A INPUT -j DROP echo "inicia athinput" ##Cadeia athinput# #Aceitas respostas de destino inatingível e ping com um limite de 2 por segundo iptables -A athinput -p icmp --icmp-type 0 -m limit --limit 2/s -j ACCEPT iptables -A athinput -p icmp --icmp-type 3 -m limit --limit 2/s -j ACCEPT #Serviço de MSN iptables -A athinput -p tcp --sport 1863 --dport 1024: -j ACCEPT #Nao aceita conecções para o apache iptables -A athinput -p tcp --dport 80 -j ACCEPT #Aceita serviço de HTML iptables -A athinput -p tcp --sport 80 --dport 1024: -j ACCEPT #Aceita HTTPs iptables -A athinput -p tcp --sport 443 --dport 1024: -j ACCEPT #Serviço de FTP, apenas upload iptables -A athinput -p tcp --sport 21 --dport 1024: -j ACCEPT iptables -A athinput -p tcp --sport 20 --dport 1024: -j ACCEPT #Aceita respostas udp dos servidores de DNS iptables -A athinput -p udp -s 195.22.0.136 --sport 53 --dport 1024: -j ACCEPT iptables -A athinput -p tcp -s 195.22.0.136 --sport 53 --dport 1024: -j ACCEPT ##Cadeia mangle# iptables -t mangle -A OUTPUT -o ath+ -p tcp --dport 21 -j TOS --set-tos 0x10 iptables -t mangle -A OUTPUT -o ath+ -p tcp --dport 23 -j TOS --set-tos 0x10 iptables -t mangle -A OUTPUT -o ath+ -p tcp --sport 80 -j TOS --set-tos 0x10 #tudo o resto é rejeitado iptables -A athinput -j DROP exit 0
Re: Fwd: Script de Firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Silvino Silva escreveu: > Aqui esta ele para correcção :P > Faça o seguinte: - - copie o script para o diretório /etc/init.d - - execute o comando chmod +x /etc/init.d/
Fwd: Script de Firewall
peço desculpa pelo script que enviei é que esta completamente errado, fui prematuro... envio logo que consiga ter um que funcione :( ainda tenho muito que aprender
Fwd: Script de Firewall
Aqui esta ele para correcção :P #!/bin/bash PATH=/sbin:$PATH #Inicialização: clear iptables -X iptables -F # Tabela filter iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT ACCEPT iptables -t filter -P FORWARD DROP # Tabela nat iptables -t nat -P PREROUTING DROP iptables -t nat -P OUTPUT DROP iptables -t nat -P POSTROUTING DROP # Tabela mangle iptables -t mangle -P PREROUTING DROP iptables -t mangle -P OUTPUT DROP #Aceita loopback iptables -t filter -A INPUT -j ACCEPT -i lo #Aceita serviço de HTML iptables -t filter -A INPUT -j ACCEPT -i ath0 -p tcp --sport 80 --dport 1024: #Serviço de MSN iptables -t filter -A INPUT -j ACCEPT -i ath0 -p tcp --sport 1863 --dport 1024: #Aceita HTTPs iptables -t filter -A INPUT -j ACCEPT -i ath0 -p tcp --sport 443 --dport 1024: #Serviço de FTP, apemas upload iptables -t filter -A INPUT -j ACCEPT -i ath0 -p tcp --sport 21 --dport 1024: iptables -t filter -A INPUT -j ACCEPT -i ath0 -p tcp --sport 20 --dport 1024: #Aceita respostas udp dos servidores de DNS iptables -t filter -A INPUT -j ACCEPT -p udp -s ns.esoterica.pt --sport 53 --dport 1024: #Aceitas respostas de destino inatingível e ping iptables -t filter -A INPUT -j ACCEPT -p icmp --icmp-type 0 iptables -t filter -A INPUT -j ACCEPT -p icmp --icmp-type 3 #Tudo o resto é rejeitado e registado iptables -A INPUT -j LOG iptables -A INPUT -j DROP iptables -L exit 0
Fwd: Script de Firewall
posta ai seu firewall !! pd ser ?? soh pra estudo sim mal o termine é que estou a ler e a escrever ;)
Re: Script de Firewall
O novo debian "etch" tem o arquivo /etc/rc.local Mas mesmo no sarge, eu já criava um link simbolico /etc/rc.local apontando para o rcS. Se seu script de firewall foi o último a ser carregado voce pode acrescentar um & no final da linha, isso libera mais rápido o login de terminal. Em 06/02/07, Silvino Silva<[EMAIL PROTECTED]> escreveu: Olá Fiz um pequeno script de firewall, coloquei uma copia no etc/init.d/ e agora onde crio o link ? A seguir ao /etc/rcS.d/S40networking ?
Fwd: Script de Firewall
Obrigado.
Re: Script de Firewall
pode ser no rcS, mas eu normalmente prefiro o rc5 por ser mais comum. Poe logo depois do networking, no caso ficaria ln -s /etc/init.d/firewall /etc/rc5.d/S41firewall On 2/6/07, Silvino Silva <[EMAIL PROTECTED]> wrote: Olá Fiz um pequeno script de firewall, coloquei uma copia no etc/init.d/ e agora onde crio o link ? A seguir ao /etc/rcS.d/S40networking ? -- Rúben Lício Reis Linux Gamming Programming Linux user #433535
Re: Script de Firewall
Silvino Silva escreveu: Olá Fiz um pequeno script de firewall, coloquei uma copia no etc/init.d/ e agora onde crio o link ? A seguir ao /etc/rcS.d/S40networking ? Olá, Ali mesmo: # ln -s ../init.d/firewall /etc/rcS.d/S41firewall -- Atenciosamente, Junior Polegato Um peregrino de problemas; Um pergaminho de soluções! Página Profissional: http://www.juniorpolegato.com.br -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Script de Firewall
Olá Fiz um pequeno script de firewall, coloquei uma copia no etc/init.d/ e agora onde crio o link ? A seguir ao /etc/rcS.d/S40networking ?
Re: script de firewall
Frederico Martins escreveu: > pode fazer assim também > > /etc/init.d/firewall > chmod +x firewall > cd /etc/rc2.d/ > ln -s /etc/init.d/firewall /etc/rc2.d/S99firewall > > aqui em casa funciona desta maneira É outra forma, mas eu prefiro utilizar o aplicativo pois fica mais fácil de manipular os scripts. Mas é claro, eu lí um texto sobre o script de inicialização, como ele funciona e coisa e tal. -- .''`. Caio Abreu Ferreira : :' : GNU/Linux Debian `. `'` fingerprint 0B5 0357 B80C E53C 5EF6 9D58 2D1B 0602 45E5 183A `- Key ID 0x45E5183A Linux Couter 327834 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: script de firewall
pode fazer assim também /etc/init.d/firewall chmod +x firewall cd /etc/rc2.d/ ln -s /etc/init.d/firewall /etc/rc2.d/S99firewall aqui em casa funciona desta maneira-- Frederico Martins Pedroso JuniorTimotéo - MGfrederico[at]olivenet.com.br - fredimm[at]gmail.com- Debian User -
Re: script de firewall
debopen escreveu: > BOM DIA > > no slack coloco no rc.d meu firewall > agora estou mudando para o debian > aonde devo coloca-lo e como por para > inicia-lo 1 - copie o script de firewall para o diretório /etc/init.d/ 2 - torne o script executavel, chmod +x 3- instale o aplicativo sysv-rc-conf, apitude install sysv-rc-conf 3 - execute o aplicativo sysv-rc-conf. .''`. Caio Abreu Ferreira : :' : GNU/Linux Debian `. `'` fingerprint 0B5 0357 B80C E53C 5EF6 9D58 2D1B 0602 45E5 183A `- Key ID 0x45E5183A Linux Couter 327834 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: script de firewall
Bom , acho q a sua duvida se refere a outra .. rsrsr vc ja vai entender .. hehe Bom , o rc2.d estao localizado os Links para os escripts em /etc/init.d la vc tem os scripts propriamente dito , em rc?.d estao localizados links que serao acionados dependendo do numero em questao. por exemplo . ... ... ... runlevel 2 = rc2.d runlevel 3 = rc3.d ... ... ... como o debian trabalha com inicialização em runlevel 2 deve adicionar um link para o script que fica localizado em etc/init.d/script.sh ahh o link deve possuir o mesmos criterio dos que estao la , sinal K[num] mata servico, S[num] starta, eles sao interpretados conforme o indice [num] em ordem crescente. espero que tenha ajudado.. Marlos Sedrez Atendimento em Linux Linux User # 400480 Senior T.I. (47) 221-3300 ra - 513. [EMAIL PROTECTED] Em Seg, 2006-01-16 às 11:21 -0200, Frederico Martins escreveu: /etc/rc2.d/S99NOMEDOFIREWALL -- Frederico Martins Pedroso Junior Timotéo - MG frederico[at]olivenet.com.br - fredimm[at]gmail.com - Debian User -
Re: script de firewall
/etc/rc2.d/S99NOMEDOFIREWALL-- Frederico Martins Pedroso JuniorTimotéo - MGfrederico[at]olivenet.com.br - fredimm[at]gmail.com- Debian User -
script de firewall
BOM DIA no slack coloco no rc.d meu firewall agora estou mudando para o debian aonde devo coloca-lo e como por para inicia-lo Obrigado Carlos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Script de Firewall
Tudo vai depender da sua necessidade, quero frisar aqui que não sou administrador de rede, e se eu estiver falando alguma bobagem, por favor, corrijam-me ;-) Se não é necessário acessar remotamente o servidor da tua rede, pra que liberar a porta 22 (ssh) p/ internet? a mesma coisa vale pro FTP (21) e servidor web (80), e além disso, se não for preciso possuir acesso remoto a tua rede, bloqueia todas as portas p/ internet, e libera p/ tua rede interna somente as portas que precisam ser utilizadas por nodos da tua LAN, as outras podes bloqueiar tudo. Também podes fazer da seguinte forma, podes liberar SSH e outros serviços nas portas que não são a padrão de cada serviço, por. exemplo, libera o SSH para acesso remoto na porta 20022 por ex., e assim por diante pra cada serviço, isso já te dará um pouco mais de segurança, coloca esses serviços escutando em portas altas, pois a maioria dos PortScans vão diretamente nessas portas padrões. A respeito dos scripts reusáveis, vai colocando toda nova alteração num script template e comentando tudo, depois de um certo tempo tu vais ter um template bem robusto, daí em diante p/ cada rede que tu precisar usá-lo, basta sair descomentando as linhas que tu quer que sejam aplicadas ao firewall ;-) Acho que isso de certa forma te ajuda um pouco, pois tu irá ter depois de certo tempo um script template bastante robusto e com muitas possibilidades de regras p/ teus firewall´s. Era isso. []´s -- Enviado por Moisés Jardim Pinheiro Fone: (53) 9107 8473 E-mail: [EMAIL PROTECTED] ICQ: 300539142 MSN: [EMAIL PROTECTED] Linux User #366875 Canguçu/RS Em 29/09/05, Augusto Hagiro Pascutti - TBON3<[EMAIL PROTECTED]> escreveu: > > > > Em 29/09/05, Moisés Jardim Pinheiro <[EMAIL PROTECTED]> escreveu: > > Cara, podes fazer assim, boota com o kurumin e gera o script de > > firewall conforme tuas necessidades, aí pega esse script e usa no > > sistema que tu quiser ;-) > > > > Na minha máquina desktop fiz isso, ainda o Morimoto deixou várias > > linhas comentadas com explicação, aí basta adaptar as tuas > > necessidades, não sei se é isso é uma forma interessante, mas pra > > servidores de rede não sei se seria uma boa solução. > > > > []´s > > > > -- > > Enviado por Moisés Jardim Pinheiro > > Fone: (53) 9107 8473 > > E-mail: [EMAIL PROTECTED] > > ICQ: 300539142 > > MSN: [EMAIL PROTECTED] > > Linux User #366875 > > Canguçu/RS > > > > > > > > > > Em 29/09/05, Augusto Hagiro Pascutti - TBON3< [EMAIL PROTECTED]> > escreveu: > > > Bom Dia, > > > > > > Não gostaria de reinventar a roda .. estou com um script de firewall, > > > e já achei diversos na net ... gostaria de saber quais vcs usam .. e > > > onde posso encontrá-lo ! > > > Existem muitas fontes diferentes .. isso dificulta muito a tarefa. > > > > > > Agradeço desde já a ajuda de todos > > > -- > > > []'s > > > Augusto > > > > > > > > > > > > Sim, eu sei que cada rede tem suas especificações ... mas minha necessidade > é de administra a rede de diversos clientes, por isso tenho um firewall que > carrega a lista de portas e IPs liberados, o resto é tudo igual =D > O que eu queria é uma espécie de troca de experiência ... que portas vcs > costumam liberar etc etc etc > E tenho certeza que não sou o unico que tem a necessidade de administrar > várias redes, aposto que existem muitos outros que possuem scripts que sejam > de fácil adaptação pra outra rede ... > > = > Não sabia da existência do livro, vou procurar sobre ele =D, vlw por > enquanto hein pessoal !! > > > -- > []'s > Augusto
Re: Script de Firewall
Em 29/09/05, Moisés Jardim Pinheiro <[EMAIL PROTECTED]> escreveu: Cara, podes fazer assim, boota com o kurumin e gera o script defirewall conforme tuas necessidades, aí pega esse script e usa no sistema que tu quiser ;-)Na minha máquina desktop fiz isso, ainda o Morimoto deixou váriaslinhas comentadas com explicação, aí basta adaptar as tuasnecessidades, não sei se é isso é uma forma interessante, mas pra servidores de rede não sei se seria uma boa solução.[]´s--Enviado por Moisés Jardim PinheiroFone: (53) 9107 8473E-mail: [EMAIL PROTECTED] ICQ: 300539142MSN: [EMAIL PROTECTED]Linux User #366875Canguçu/RSEm 29/09/05, Augusto Hagiro Pascutti - TBON3< [EMAIL PROTECTED]> escreveu:> Bom Dia,>> Não gostaria de reinventar a roda .. estou com um script de firewall,> e já achei diversos na net ... gostaria de saber quais vcs usam .. e > onde posso encontrá-lo !> Existem muitas fontes diferentes .. isso dificulta muito a tarefa.>> Agradeço desde já a ajuda de todos> --> []'s> Augusto>> Sim, eu sei que cada rede tem suas especificações ... mas minha necessidade é de administra a rede de diversos clientes, por isso tenho um firewall que carrega a lista de portas e IPs liberados, o resto é tudo igual =D O que eu queria é uma espécie de troca de experiência ... que portas vcs costumam liberar etc etc etc E tenho certeza que não sou o unico que tem a necessidade de administrar várias redes, aposto que existem muitos outros que possuem scripts que sejam de fácil adaptação pra outra rede ... = Não sabia da existência do livro, vou procurar sobre ele =D, vlw por enquanto hein pessoal !!-- []'sAugusto
Re: Script de Firewall
Cara, podes fazer assim, boota com o kurumin e gera o script de firewall conforme tuas necessidades, aí pega esse script e usa no sistema que tu quiser ;-) Na minha máquina desktop fiz isso, ainda o Morimoto deixou várias linhas comentadas com explicação, aí basta adaptar as tuas necessidades, não sei se é isso é uma forma interessante, mas pra servidores de rede não sei se seria uma boa solução. []´s -- Enviado por Moisés Jardim Pinheiro Fone: (53) 9107 8473 E-mail: [EMAIL PROTECTED] ICQ: 300539142 MSN: [EMAIL PROTECTED] Linux User #366875 Canguçu/RS Em 29/09/05, Augusto Hagiro Pascutti - TBON3<[EMAIL PROTECTED]> escreveu: > Bom Dia, > > Não gostaria de reinventar a roda .. estou com um script de firewall, > e já achei diversos na net ... gostaria de saber quais vcs usam .. e > onde posso encontrá-lo ! > Existem muitas fontes diferentes .. isso dificulta muito a tarefa. > > Agradeço desde já a ajuda de todos > -- > []'s > Augusto > >
Script de Firewall
Bom Dia, Não gostaria de reinventar a roda .. estou com um script de firewall, e já achei diversos na net ... gostaria de saber quais vcs usam .. e onde posso encontrá-lo ! Existem muitas fontes diferentes .. isso dificulta muito a tarefa. Agradeço desde já a ajuda de todos -- []'s Augusto
Re: Script de firewall
Veja se o endereco abaixo te ajuda. http://forumgdh.net/viewtopic.php?t=97877&highlight= Rodolfo Barbosa escreveu: Olá, Alguém tem um script p/ o Iptables que barra os ataques de virus mais comuns? Obrigado Rodolfo Barbosa e-mail: [EMAIL PROTECTED] MSN: [EMAIL PROTECTED] ICQ: 30126428 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Script de firewall
Olá, Alguém tem um script p/ o Iptables que barra os ataques de virus mais comuns? Obrigado Rodolfo Barbosa e-mail: [EMAIL PROTECTED] MSN: [EMAIL PROTECTED] ICQ: 30126428
sistema de script de firewall
Aew galera, Olha só devido as necessidades da empresa que trabalho tenho que está abrindo,liberando bloqueando portas pelo iptables constantemente, o script está muito grande e fica dificil de acompanhar e ter algo facil e rapido de administrar, então pensei em criar um script que facilite minha vida e talvez dos outros e que funcione da seguinte forma: -Primeiro crio uma pasta /etc/firewall na qual coloco todos os "serviços de firewall"(regras divididas por arquivos), e uma pasta dentro do /etc/init.d/firewall na qual conterá os links para os serviços startados no boot. deixe-me explicar melhor , vamos supor que tenho um serviço web rodando na porta 80, então crio um script dentro da pasta /etc/firewall chamado, webserver , este script conterá o codigo referente a ativação do serviço web no iptables, e aceitará os comandos: start, stop, desc, boot, noboot e time start - inicia o serviço. stop - Para o mesmo status - Mostra o status do mesmo. desc - Mostra uma breve descrição. boot - ativa o mesmo para rodar no boot(cria um link na pasta /etc/init.d/firewall) noboot -desativa o mesmo para rodar no boot(deleta um link se houver na pasta /etc/init.d/firewall) time - este vai aceitar parametros também, e ativa o serviço por um tempo determinado, ou cria um periodo no qual o mesmo deva ser ativado e desativado (para parar o serviço depois de um tempo pensei, em passar o serviço com o parametro stop para o comando AT) se for para ativar e desativar, em periodos determinados, utilizamos o conhecido crontab =) . Dai se eu quero ativar o acesso a web um periodo de 2 horas daria o comando # rc.firewall webserver start time 120 Penso em fazer algo do tipo, se o serviço estiver startado, e quiser parar daqui a duas horas passar o comando com o parametro stop assim. # rc.firewall webserver stop time 120 Se o mesmo não estiver ativo no boot, e eu quiser ativar o mesmo, digitaria # rc.firewall webserver boot Bom é isso, mas o motivo de escrever isto é que não tenho conhecimentos profundos de shell script, então gostaria se possivel da ajuda de alguém, alguém se disporia a me ajudar? Sds, Anderson
