[Ubuntu-BR] iptables tá me deixando louco .. ..
Por favor pessoal, alguem que entenda desse iptables e tenha msn ... por favor se manisfeste ... tou aqui na pressão na empresa e não consigo colocar isso para funcionar ... funciona tudo no firewall menos o redirecionamento da porta 80 do firewall para porta 8080 do servidor web ... já vi no status do iptables que as requisições tão caindo na regra de input: Chain INPUT (policy DROP 7 packets, 2296 bytes) pkts bytes target prot opt in out source destination 6 360 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 Mas depois disse não sei o por que de estar dando errado ... tenho um svn server via apache funcionando no firewall e testei simplismente redirecionar a porta 80 para porta 8080 do mesmo firewall e tb não dá certo parece que qualquer redirecionamento não funciona aqui já tentei de tudo liberar as porta FOWARD, deixar a politica FOWARD em ACCEPT ... Nada disso faz o redirecionamento Por favor se alguem se sensibilizar com minha hst e quiser me ajuda meu msn é bruno.lima at cpzados.org Vou ser eternamente grato segue o script de firewall a seguir #!/bin/sh # # Script iptables para firewall. # Feito para empresa Intertech - Soluções em Informática # Autor: Bruno Seabra Nogueira Mendonça Lima - 16-04-2008 # # # Libera as portas do SVN (8080), VNC(5800/5900), SSH(22) # Redireciona as portas da WEB(80) e VNC(5801/5901) para a máquina 192.168.123.1 (SERVIDOR SOL) # Aceita conexões da rede interna # # # IPTABLES=/sbin/iptables ## iptables EXTDEV=eth0 ## placa de rede externa INTDEV=eth1 ## placa de rede interna IF_LOC=lo # loopback EXTIP=`ifconfig $EXTDEV | grep inet | cut -f2 -d: | cut -f1 -dB` ## externo ip INTIP=`ifconfig $INTDEV | grep inet | cut -f2 -d: | cut -f1 -dB` ## interno ip NET_INT=192.168.123.0/255.255.255.0# Rede da interface INTDEV case $1 in start) modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ip_queue modprobe ip_tables modprobe ipt_LOG modprobe ipt_MARK modprobe ipt_MASQUERADE modprobe ipt_REDIRECT modprobe ipt_REJECT modprobe ipt_TCPMSS modprobe ipt_TOS modprobe ipt_limit modprobe ipt_mac modprobe ipt_mark modprobe ipt_multiport modprobe ipt_owner modprobe ipt_state modprobe ipt_tcpmss modprobe ipt_tos modprobe iptable_filter modprobe iptable_mangle modprobe iptable_nat # ## Compartilhar Internet # echo -n Enabling IP Forwarding ... echo 1 /proc/sys/net/ipv4/ip_forward echo done. # ## Dynamic Ip # echo -n Enabling Dynamic Ips ... echo 1 /proc/sys/net/ipv4/ip_forward echo done. # ## Limpa as tabelas e setando a politica DROP # echo -n Flushing tables, Setting default policies to DROP ... $IPTABLES -P INPUT DROP $IPTABLES -F INPUT $IPTABLES -P FORWARD DROP $IPTABLES -F FORWARD $IPTABLES -P OUTPUT DROP $IPTABLES -F OUTPUT $IPTABLES -t nat -F $IPTABLES -t mangle -F echo done. echo -n Setting up the firewall now ... ## Somente conexões estabelecidas por nós primeiro $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #Aceitar conexao das maquinas da rede interna $IPTABLES -A INPUT -p tcp --syn -s $NET_INT -j ACCEPT ## Permitir ssh (22) , svn (8080), webserver (80), vnc(5800,5900) $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 8080 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 5800 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 5900 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 5901 -j ACCEPT # Aceita todo o tráfego vindo do loopback e indo pro loopback $IPTABLES -A INPUT -i lo -j ACCEPT ## Conexões estabelicidas sejam encaminhadas $IPTABLES -A FORWARD -i $EXTDEV -m state --state RELATED,ESTABLISHED -j ACCEPT ## Conexões da rede interna para internet $IPTABLES -A FORWARD -i $INTDEV -o $EXTDEV -j ACCEPT $IPTABLES -A FORWARD -p tcp -s 0/0 -d 0/0 --dport 80 -j ACCEPT $IPTABLES -A FORWARD -p tcp -d 0/0 -s 0/0 --sport 80 -j ACCEPT ## MASQUAREDE (compartilhar internet) $IPTABLES -A POSTROUTING -t nat -o $EXTDEV -j MASQUERADE #Libera o VNC na porta 5900/5800 #$IPTABLES -t nat -A PREROUTING -p tcp --dport 5900 -i $EXTDEV -j DNAT --to 192.168.123.1:5900 #$IPTABLES -t nat -A PREROUTING -p tcp --dport 5800 -i $EXTDEV -j DNAT --to 192.168.123.1:5800 #Libera o servidor WEB na porta 80 #$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -i $EXTDEV -j DNAT --to 192.168.123.253:8080 #$IPTABLES -t nat -A PREROUTING -p tcp -s 0/0 -d 0/0 --dport 80 -j REDIRECT --to-port 8080 #$IPTABLES -t nat -A PREROUTING -s 0/0 -d 0/0 -p tcp --dport 80 -j DNAT --to 192.168.123.1:80 $IPTABLES -P OUTPUT ACCEPT echo Firewall has been fully installed ;; stop) echo -n Flushin all rules ... $IPTABLES -P INPUT ACCEPT $IPTABLES -P FORWARD ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -F INPUT $IPTABLES -F FORWARD $IPTABLES -F OUTPUT $IPTABLES -t nat -P PREROUTING ACCEPT $IPTABLES -t nat -P POSTROUTING ACCEPT $IPTABLES -t nat -P OUTPUT
Re: [Ubuntu-BR] Script Iptables não faz o que eu que ro :(
Eu dei uma enxugada no script mas tenho a impressão que o problema está na
estrutura de rede que eu montei aqui. Fiz assim: conexão da internet via
dhcp entra na eth0 do firewall e na outra placa de rede eth2 do firewall sai
um cabo ligado na porta WAN (192.168.123.253) do roteador wireless linksys,
ai configurei o roteador para IP statico (192.168.123.254) colocando o
gateway o ip do firewall (192.168.123.254), na rede interna do roteador
coloquei o ip dele como 192.168.123.252, com o DHCP server ligado para a
faixa de ip entre 192.168.123.100-140.
A primeira coisa que estranhei foi não conseguir acessar o roteador linksys
do firewall, apesar de eles estarem na mesma rede (192.168.123.0). Os
clientes wi-fi pegam o roteador como gateway e os ips estâo na mesma rede (
192.168.123.0) mas não consigo dar ping no firewall a partir dos clientes da
rede.
Alguem sabe o que eu posso estar fazendo errado?
O que posso fazer para acertar isso ?
Vai abaixo o script de firewall que eu fiz.
PS: Não to nem me preocupando com firewall no momento só quero acertar a
estrutura da rede primeiro..
Obrigado de ante-mão a todos
#!/bin/sh
#
# Script iptables para firewall.
# Feito para empresa Intertech - Soluções em Informática
# Autor: Bruno Seabra Nogueira Mendonça Lima - 16-04-2008
#
#
# Libera as portas do SVN (8080), VNC(5800/5900), SSH(22)
# Redireciona as portas da WEB(80) e VNC(5801/5901) para a máquina
192.168.123.1 (SERVIDOR SOL)
# Aceita conexões da rede interna
#
#
#
IPTABLES=/sbin/iptables ## iptables
EXTDEV=eth0 ## placa de rede externa
INTDEV=eth2 ## placa de rede interna
IF_LOC=lo # loopback
EXTIP=`ifconfig $EXTDEV | grep inet | cut -f2 -d: | cut -f1 -dB` ##
externo ip
INTIP=`ifconfig $INTDEV | grep inet | cut -f2 -d: | cut -f1 -dB` ##
interno ip
NET_INT=192.168.123.0/255.255.255.0# Rede da interface INTDEV
case $1 in
start)
#
## Compartilhar Internet
#
echo -n Enabling IP Forwarding ...
echo 1 /proc/sys/net/ipv4/ip_forward
echo done.
#
## Dynamic Ip
#
echo -n Enabling Dynamic Ips ...
echo 1 /proc/sys/net/ipv4/ip_forward
echo done.
#
## Limpa as tabelas e setando a politica DROP
#
echo -n Flushing tables, Setting default policies to DROP ...
$IPTABLES -P INPUT DROP
$IPTABLES -F INPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -P OUTPUT DROP
$IPTABLES -F OUTPUT
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
echo done.
echo -n Setting up the firewall now ...
# Aceita todo o tráfego vindo do loopback e indo pro loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
## Somente conexões estabelecidas por nós primeiro
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Aceitar conexao das maquinas da rede interna
$IPTABLES -A INPUT -p tcp --syn -s $NET_INT -j ACCEPT
## Permitir ssh (22) e svn (8080)
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 8080 -j ACCEPT
## Conexões estabelicidas sejam encaminhadas
$IPTABLES -A FORWARD -i $EXTDEV -m state --state RELATED,ESTABLISHED -j
ACCEPT
## Conexões da rede interna para internet
$IPTABLES -A FORWARD -i $INTDEV -o $EXTDEV -j ACCEPT
## MASQUAREDE (compartilhar internet)
$IPTABLES -A POSTROUTING -t nat -o $EXTDEV -j MASQUERADE
$IPTABLES -P OUTPUT ACCEPT
echo Firewall has been fully installed
;;
stop)
echo -n Flushin all rules ...
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t nat -F PREROUTING
$IPTABLES -t nat -F POSTROUTING
$IPTABLES -t nat -F OUTPUT
echo done.
;;
restart)
sh $0 stop
sh $0 start
;;
status)
$IPTABLES -L -n -v
;;
*)
echo usage: $0 {start|stop|restart|status}
exit 1
esac
exit 0
## EOF ##
2008/4/20 Bruno Lima [EMAIL PROTECTED]:
Mas nesse caso eu não estaria bloquando tudo ?
Por que a politica padrao é DROP certo ?
Mas assim que tiver lah na empresa eu vou testar o que falaste ...
obrigado pela atenção ...
:)
2008/4/19 ..:: S.e.r.i.a.l ::.. [EMAIL PROTECTED]:
Amigo,
Posso estar falando besteira, mas tem coisa demais nesse script para
fazer
apenas o que vc quer, mas vamos lá:
Troubleshoot 1) reinicie sei firewall sem rodar esse script
Troubleshoot 2) Digite esses codigos:
iptables -t nat -A PREROUTING -s 0/0 -d 0/0 -p
tcp
--dport 80 -j DNAT 192.168.0.1:80 http://192.168.0.1/
echo 1 /proc/sys/net/ipv4/ip_forword
troubleshoot 3) Garanta que seu servidor 192.168.0.1 tenha gateway
configurado para o ip do seu firewall
troubleshoot 4) teste seu acesso web da internet para seu servidor.
Me fale no que deu depois
[.]'s
Serial
-Original Message-
From: [EMAIL PROTECTED]
[mailto:[EMAIL PROTECTED] On Behalf Of Bruno Lima
Sent: sábado, 19 de abril de 2008 16:38
To: Lista de discussão do LoCoTeam
[Ubuntu-BR] Redirecionamento não funciona
Pessoal,
sanei minha duvida passada, agora meu firewall tá funcionando legal,
compartilha internet só dá acesso as portas que eu quero mas existe um
problema que ainda não resolvi, o redirecionamento de porta já na internet e
até mesmo aqui na lista que só preciso do comando: $IPTABLES -t nat -A
PREROUTING -p tcp --dport 80 -i $EXTDEV -j DNAT --to 192.168.123.1:80
Já coloquei no meu script mas não consigo acessar de fora o meu servidor web
... diz que não foi possivel encontrar ...
a minha politica FOWARD tá DROP, eu preciso acrescentar mais alguma outras
regra ?
Alguem sabe o que pode estar acontecendo ?
vou postar o script de firewall embaixo para devidos exclarecimentos ...
Preciso colocar isso pra funcionar amanhã.
Até mais,
e Obrigado de ate mão.
#!/bin/sh
#
# Script iptables para firewall.
# Feito para empresa Intertech - Soluções em Informática
# Autor: Bruno Seabra Nogueira Mendonça Lima - 16-04-2008
#
#
# Libera as portas do SVN (8080), VNC(5800/5900), SSH(22)
# Redireciona as portas da WEB(80) e VNC(5801/5901) para a máquina
192.168.123.1 (SERVIDOR SOL)
# Aceita conexões da rede interna
#
#
#
IPTABLES=/sbin/iptables ## iptables
EXTDEV=eth0 ## placa de rede externa
INTDEV=eth1 ## placa de rede interna
IF_LOC=lo # loopback
EXTIP=`ifconfig $EXTDEV | grep inet | cut -f2 -d: | cut -f1 -dB` ##
externo ip
INTIP=`ifconfig $INTDEV | grep inet | cut -f2 -d: | cut -f1 -dB` ##
interno ip
NET_INT=192.168.123.0/255.255.255.0# Rede da interface INTDEV
case $1 in
start)
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_queue
modprobe ip_tables
modprobe ipt_LOG
modprobe ipt_MARK
modprobe ipt_MASQUERADE
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ipt_TCPMSS
modprobe ipt_TOS
modprobe ipt_limit
modprobe ipt_mac
modprobe ipt_mark
modprobe ipt_multiport
modprobe ipt_owner
modprobe ipt_state
modprobe ipt_tcpmss
modprobe ipt_tos
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
#
## Compartilhar Internet
#
echo -n Enabling IP Forwarding ...
echo 1 /proc/sys/net/ipv4/ip_forward
echo done.
#
## Dynamic Ip
#
echo -n Enabling Dynamic Ips ...
echo 1 /proc/sys/net/ipv4/ip_forward
echo done.
#
## Limpa as tabelas e setando a politica DROP
#
echo -n Flushing tables, Setting default policies to DROP ...
$IPTABLES -P INPUT DROP
$IPTABLES -F INPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -P OUTPUT DROP
$IPTABLES -F OUTPUT
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
echo done.
echo -n Setting up the firewall now ...
# Aceita todo o tráfego vindo do loopback e indo pro loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
## Somente conexões estabelecidas por nós primeiro
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Aceitar conexao das maquinas da rede interna
$IPTABLES -A INPUT -p tcp --syn -s $NET_INT -j ACCEPT
## Permitir ssh (22) , svn (8080), webserver (80), vnc(5800,5900)
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 8080 -j ACCEPT
#$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 5800 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 5900 -j ACCEPT
## Conexões estabelicidas sejam encaminhadas
$IPTABLES -A FORWARD -i $EXTDEV -m state --state RELATED,ESTABLISHED -j
ACCEPT
## Conexões da rede interna para internet
$IPTABLES -A FORWARD -i $INTDEV -o $EXTDEV -j ACCEPT
## MASQUAREDE (compartilhar internet)
$IPTABLES -A POSTROUTING -t nat -o $EXTDEV -j MASQUERADE
#Libera o VNC na porta 5900/5800
$IPTABLES -t nat -A PREROUTING -p tcp --dport 5900 -i $EXTDEV -j DNAT
--to 192.168.123.1:5900
$IPTABLES -t nat -A PREROUTING -p tcp --dport 5800 -i $EXTDEV -j DNAT
--to 192.168.123.1:5800
#Libera o servidor WEB na porta 80
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -i $EXTDEV -j DNAT --to
192.168.123.1:80
$IPTABLES -P OUTPUT ACCEPT
echo Firewall has been fully installed
;;
stop)
echo -n Flushin all rules ...
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t nat -F PREROUTING
$IPTABLES -t nat -F POSTROUTING
$IPTABLES -t nat -F OUTPUT
echo done.
;;
restart)
sh $0 stop
sh $0 start
;;
status)
$IPTABLES -L -n -v
;;
*)
echo usage: $0 {start|stop|restart|status}
exit 1
esac
exit 0
## EOF ##
--
Bruno Seabra Mendoça Lima
--
UFMA - Universidade Federal do Maranhão
DEINF - Departamento de Informática
LESERC - Laboratório de Engenharia de Software e Redes de Computadores
Pesquisador
Telefone: 3217-8239
---
Intertech - Soluções em Informática
WEB Developer
Telefone: 3227-1224
---
--
Interessado em aprender mais sobre o Ubuntu em português?
http://wiki.ubuntu-br.org/ComeceAqui -
ubuntu-br mailing list
ubuntu-br@lists.ubuntu.com
Re: [Ubuntu-BR] Script Iptables não faz o que eu que ro :(
Mas nesse caso eu não estaria bloquando tudo ? Por que a politica padrao é DROP certo ? Mas assim que tiver lah na empresa eu vou testar o que falaste ... obrigado pela atenção ... :) 2008/4/19 ..:: S.e.r.i.a.l ::.. [EMAIL PROTECTED]: Amigo, Posso estar falando besteira, mas tem coisa demais nesse script para fazer apenas o que vc quer, mas vamos lá: Troubleshoot 1) reinicie sei firewall sem rodar esse script Troubleshoot 2) Digite esses codigos: iptables -t nat -A PREROUTING -s 0/0 -d 0/0 -p tcp --dport 80 -j DNAT 192.168.0.1:80 http://192.168.0.1/ echo 1 /proc/sys/net/ipv4/ip_forword troubleshoot 3) Garanta que seu servidor 192.168.0.1 tenha gateway configurado para o ip do seu firewall troubleshoot 4) teste seu acesso web da internet para seu servidor. Me fale no que deu depois [.]'s Serial -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Bruno Lima Sent: sábado, 19 de abril de 2008 16:38 To: Lista de discussão do LoCoTeam Brasileiro Subject: [Ubuntu-BR] Script Iptables não faz o que eu quero :( Pessoal vou explicar a minha situação: Tenho um computador AMD DURON 900Mhz com 256Mb de memoria aqui na empresa, ele tava encostado sem fazer nada, ai decidi colocar ele como firewall, instalei o ubuntu recompilei o kernel deixei enxuto, ficou bala. Sim, mas vamos seguir ao firewall: Ele tem 2 placas de rede,obvio, uma de cara para internet outra que vai ser ligada na porta WAN de um roteador wireless, a empresa toda wifi :). O que eu quero com o firewall é liberar o acesso aos serviços básicos http,https,ssh,vnc, entre outros, além do que eu tenho um servidor web que vai ficar atras do roteador ao qual eu preciso redirecionar a porta 80 para este servidor, além da porta de vnc para ele. Depois de 2 dias tentando configurar tudo isso aqui no iptables eu acho que cheguei a algo que faz sentido pelo menos pra mim mas que não está funcionando do jeito que eu quero. Abaixo vai o script do iptables que eu fiz, eu que dei a ideia o chefe adorou e me deu até sexta-feira dia 25, mas como eu me empolguei com a ideia quero acabar logo e botar essa budega pra funcionar. Por favor me ajudem :) #!/bin/sh # # Script iptables para firewall. # Feito para empresa Intertech - Soluções em Informática # Autor: Bruno Seabra Nogueira Mendonça Lima - 16-04-2008 # # # Libera as portas do SVN (8080), VNC(5800/5900), SSH(22) # Redireciona as portas da WEB(80) e VNC(5801/5901) para a máquina 192.168.123.1 (SERVIDOR SOL) # Aceita conexões da rede interna # # # IPTABLES=/sbin/iptables ## location to iptables binary file EXTDEV=eth0 ## external device that connects to modem INTDEV=eth1 ## internal device that connects to lan IF_LOC=lo # Interface Loopback EXTIP=`ifconfig $EXTDEV | grep inet | cut -f2 -d: | cut -f1 -dB` ## external ip address INTIP=`ifconfig $INTDEV | grep inet | cut -f2 -d: | cut -f1 -dB` ## internal ip address NET_INT=192.168.123.0/24# Rede da interface IF_INT case $1 in start) # ## First we want to enable ip forwarding # echo -n Habilitando Compartilhamento ... echo 1 /proc/sys/net/ipv4/ip_forward echo Pronto! # ## Secondly we want to enable dynamic ips # echo -n Habilitando IP Dinamico ... echo 1 /proc/sys/net/ipv4/ip_forward echo Pronto. # ## Now lets clear all the tables incase they were improperly shutdown # echo -n Descarregando regras e tabelas ... $IPTABLES -P INPUT DROP $IPTABLES -F INPUT $IPTABLES -P FORWARD DROP $IPTABLES -F FORWARD $IPTABLES -P OUTPUT DROP $IPTABLES -F OUTPUT $IPTABLES -t nat -F $IPTABLES -t mangle -F echo Pronto. # ## Its time to start setting up our rules and policies # echo -n Setando o firewall agora ... # # CHAIN DE PREROUTING # echo -n Setando as regras de PREROUTING ... #Libera o VNC na porta 5900 $IPTABLES -t nat -A PREROUTING -p tcp -i $EXTDEV --dport 5800:5900 -j DNAT --to 192.168.123.1:5800-5900 $IPTABLES -t nat -A PREROUTING -p udp -i $EXTDEV --dport 5800:5900 -j DNAT --to 192.168.123.1:5800-5900 #Libera o servidor WEB na porta 80 $IPTABLES -t nat -A PREROUTING -p tcp -i $EXTDEV --dport 80 -j DNAT --to 192.168.123.1:80 http://192.168.123.1/ echo Pronto! # # REGRAS DE INPUT E OUTPUT # echo -n Setando as regras de input e output ... #LIbera interface local echo -n Liberando interface local ... $IPTABLES -A OUTPUT -j ACCEPT -o $IF_LOC $IPTABLES -A INPUT -j ACCEPT -i $IF_LOC echo Pronto! ## First we want to allow only incoming connections that we establish first echo -n Liberando conexões que foram
[Ubuntu-BR] Script Iptables não faz o que eu que ro :(
Pessoal vou explicar a minha situação: Tenho um computador AMD DURON 900Mhz com 256Mb de memoria aqui na empresa, ele tava encostado sem fazer nada, ai decidi colocar ele como firewall, instalei o ubuntu recompilei o kernel deixei enxuto, ficou bala. Sim, mas vamos seguir ao firewall: Ele tem 2 placas de rede,obvio, uma de cara para internet outra que vai ser ligada na porta WAN de um roteador wireless, a empresa toda wifi :). O que eu quero com o firewall é liberar o acesso aos serviços básicos http,https,ssh,vnc, entre outros, além do que eu tenho um servidor web que vai ficar atras do roteador ao qual eu preciso redirecionar a porta 80 para este servidor, além da porta de vnc para ele. Depois de 2 dias tentando configurar tudo isso aqui no iptables eu acho que cheguei a algo que faz sentido pelo menos pra mim mas que não está funcionando do jeito que eu quero. Abaixo vai o script do iptables que eu fiz, eu que dei a ideia o chefe adorou e me deu até sexta-feira dia 25, mas como eu me empolguei com a ideia quero acabar logo e botar essa budega pra funcionar. Por favor me ajudem :) #!/bin/sh # # Script iptables para firewall. # Feito para empresa Intertech - Soluções em Informática # Autor: Bruno Seabra Nogueira Mendonça Lima - 16-04-2008 # # # Libera as portas do SVN (8080), VNC(5800/5900), SSH(22) # Redireciona as portas da WEB(80) e VNC(5801/5901) para a máquina 192.168.123.1 (SERVIDOR SOL) # Aceita conexões da rede interna # # # IPTABLES=/sbin/iptables ## location to iptables binary file EXTDEV=eth0 ## external device that connects to modem INTDEV=eth1 ## internal device that connects to lan IF_LOC=lo # Interface Loopback EXTIP=`ifconfig $EXTDEV | grep inet | cut -f2 -d: | cut -f1 -dB` ## external ip address INTIP=`ifconfig $INTDEV | grep inet | cut -f2 -d: | cut -f1 -dB` ## internal ip address NET_INT=192.168.123.0/24# Rede da interface IF_INT case $1 in start) # ## First we want to enable ip forwarding # echo -n Habilitando Compartilhamento ... echo 1 /proc/sys/net/ipv4/ip_forward echo Pronto! # ## Secondly we want to enable dynamic ips # echo -n Habilitando IP Dinamico ... echo 1 /proc/sys/net/ipv4/ip_forward echo Pronto. # ## Now lets clear all the tables incase they were improperly shutdown # echo -n Descarregando regras e tabelas ... $IPTABLES -P INPUT DROP $IPTABLES -F INPUT $IPTABLES -P FORWARD DROP $IPTABLES -F FORWARD $IPTABLES -P OUTPUT DROP $IPTABLES -F OUTPUT $IPTABLES -t nat -F $IPTABLES -t mangle -F echo Pronto. # ## Its time to start setting up our rules and policies # echo -n Setando o firewall agora ... # # CHAIN DE PREROUTING # echo -n Setando as regras de PREROUTING ... #Libera o VNC na porta 5900 $IPTABLES -t nat -A PREROUTING -p tcp -i $EXTDEV --dport 5800:5900 -j DNAT --to 192.168.123.1:5800-5900 $IPTABLES -t nat -A PREROUTING -p udp -i $EXTDEV --dport 5800:5900 -j DNAT --to 192.168.123.1:5800-5900 #Libera o servidor WEB na porta 80 $IPTABLES -t nat -A PREROUTING -p tcp -i $EXTDEV --dport 80 -j DNAT --to 192.168.123.1:80 echo Pronto! # # REGRAS DE INPUT E OUTPUT # echo -n Setando as regras de input e output ... #LIbera interface local echo -n Liberando interface local ... $IPTABLES -A OUTPUT -j ACCEPT -o $IF_LOC $IPTABLES -A INPUT -j ACCEPT -i $IF_LOC echo Pronto! ## First we want to allow only incoming connections that we establish first echo -n Liberando conexões que foram estabelicidas primeiro ... $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT echo Pronto! #Aceita que o firewall acesse a web echo -n Liberando acesso a WEB ... $IPTABLES -A OUTPUT -j ACCEPT -p tcp --dport 80 $IPTABLES -A INPUT -j ACCEPT -p tcp --sport 80 echo Pronto! #Liberando que o firewall acesse o msn echo -n Liberando acesso a MSN ... $IPTABLES -A OUTPUT -j ACCEPT -p tcp --dport 1863 $IPTABLES -A INPUT -j ACCEPT -p tcp --sport 1863 echo Pronto! #Aceita que o firewall faca ssh pra fora echo -n Liberando SSH para a internet ... $IPTABLES -A OUTPUT -j ACCEPT -p tcp --dport ssh $IPTABLES -A INPUT -j ACCEPT -p tcp --sport ssh echo Pronto! #Aceita conexao com o no-ip.com echo -n Liberando conexão com o no-ip.com (8245) ... $IPTABLES -A OUTPUT -j ACCEPT -p tcp --dport 8245 $IPTABLES -A INPUT -j ACCEPT -p tcp --sport 8245 echo Pronto! #Aceita conexao com o Apache echo -n Liberando conexão com Apache (SVN:8080) ... $IPTABLES -A OUTPUT -j ACCEPT -p tcp --dport 8080 $IPTABLES -A INPUT -j ACCEPT -p tcp --sport 8080 echo Pronto! #Aceita conexao com o ssh echo -n Liberando conexão com SSH (22) ...
[Ubuntu-BR] Erro no Openoffice Xine
[EMAIL PROTECTED]:~$ openoffice Fatal exception: Signal 8 Stack: /usr/lib/openoffice/program/libuno_sal.so.3[0xb757751f] /usr/lib/openoffice/program/libuno_sal.so.3[0xb757783f] /usr/lib/openoffice/program/libuno_sal.so.3[0xb75778dd] [0xe420] /usr/lib/openoffice/program/libvclplug_gen680li.so[0xb3dbc60b] /usr/lib/openoffice/program/libvclplug_gen680li.so(_ZN10SalDisplay4InitEmP6Visualb+0x169)[0xb3dbad33] /usr/lib/openoffice/program/libvclplug_gtk680li.so[0xb4242e1c] /usr/lib/openoffice/program/libvclplug_gtk680li.so[0xb42441a4] /usr/lib/openoffice/program/libvclplug_gtk680li.so[0xb4244572] /usr/lib/openoffice/program/libvclplug_gtk680li.so(create_SalInstance+0xef)[0xb4245293] /usr/lib/openoffice/program/libvcl680li.so[0xb7f8f369] /usr/lib/openoffice/program/libvcl680li.so[0xb7f8f46a] /usr/lib/openoffice/program/libvcl680li.so(_Z7InitVCLRKN3com3sun4star3uno9ReferenceINS1_4lang20XMultiServiceFactoryEEE+0xb7)[0xb7df2ad3] /usr/lib/openoffice/program/libvcl680li.so[0xb7df2c31] /usr/lib/openoffice/program/libvcl680li.so(_Z6SVMainv+0x29)[0xb7df2cf9] /usr/lib/openoffice/program/soffice.bin(sal_main+0x47)[0x80646db] /lib/tls/i686/cmov/libc.so.6(__libc_start_main+0xd2)[0xb6f97ea2] /usr/lib/openoffice/program/soffice.bin(_ZN6Window11RequestHelpERK9HelpEvent+0x31)[0x8064615] /usr/lib/openoffice/program/soffice: line 233: 9738 Cancelado $sd_prog/$sd_binary $@ ** (process:9725): WARNING **: Unknown error forking main binary / abnormal early exit ... [EMAIL PROTECTED]:~$ xine This is xine (X11 gui) - a free video player v0.99.4. (c) 2000-2004 The xine Team. Exceção de ponto flutuante [EMAIL PROTECTED]:~$ Alguem sabe que isso isso ? -- Bruno Seabra Mendoça Lima UFMA - Universidade Federal do Maranhão DEINF - Departamento de Informática LAbMint - Laboratorio de Midias Interativas Telefone: 3217-8239 -- ubuntu-br mailing list ubuntu-br@lists.ubuntu.com www.ubuntu-br.org https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
[Ubuntu-BR] Br Ubuntu Server
Alguem mais tá tendo o problema nesse momento com os servidores br.ubuntu ? Aqui tá dando FORBIDEN e quando vou tentar acessar no browser dá a mesma msg. =/ -- Bruno Seabra Mendoça Lima UFMA - Universidade Federal do Maranhão DEINF - Departamento de Informática LAbMint - Laboratorio de Midias Interativas Telefone: 3217-8239 -- ubuntu-br mailing list ubuntu-br@lists.ubuntu.com www.ubuntu-br.org https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Re: [Ubuntu-BR] Fwd: Re: Configurando duas placas de rede para compartilhamento de internet
Vamos com calma. O problema do DNSMASQ é por que você está configurando errado suas placas de rede. Vamos por passos: Servidor: rede local eth0: IP: 192.168.0.1 NETMASK: *255.255.255.0* rede a cabo eth2: Coloque DHCP é melhor :) Clientes: [1] IP: 192.168.0.6 Mask: *255.255.255.0* Gateway: 192.168.0.1 DNS Preferencial: 192.168.0.1 ou DNS Preferencial: DNS do seu provedor de internet Acho que só. Volte desde do começo do tutorial e poste seus resultados :) On 9/11/06, Ricardo Duarte [EMAIL PROTECTED] wrote: On 09/09/06, Bruno Lima [EMAIL PROTECTED] wrote: http://www.ubuntuforums.org/showthread.php?t=91370 Melhor jeito de fazer impossivel :) Segui esse tutorial acima, mas não consegui fazer o dnsmasq funcionar. Ao tentar iniciar o serviço (Etapa 4): [EMAIL PROTECTED]:~# /etc/init.d/dnsmasq restart Restarting DNS forwarder and DHCP server: dnsmasqdnsmasq: failed to bind listening socket for 192.168.0.1: Address already in use (failed to start). Continuei com o tutorial, e agora já estou com a internet sendo roteada pelo servidor. Mas, no terminal configurado com os dados abaixo[1], não consigo acessar o servidor pelo host[2], somente pelo IP[3]. --- [1] IP: 192.168.0.6 Mask: 255.255.0.0 Gateway: 192.168.0.1 DNS1: 201.10.120.3 DNS2: 201.10.120.2 --- [2] C:\ping zeus A solicitação ping não pôde encontrar o host zeus. Verifique o nome e tente novamente. --- [3] C:\ping 192.168.0.1 Disparando contra 192.168.0.1 com 32 bytes de dados: Resposta de 192.168.0.1: bytes=32 tempo1ms TTL=64 Resposta de 192.168.0.1: bytes=32 tempo1ms TTL=64 (..) --- Revisando as configurações do servidor: --- [EMAIL PROTECTED]:~# ifconfig eth0 Link encap:Ethernet HWaddr 00:E0:7D:F8:F6:B8 inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.0.0 inet6 addr: fe80::2e0:7dff:fef8:f6b8/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:3475 errors:0 dropped:0 overruns:0 frame:0 TX packets:2607 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:740571 (723.2 KiB) TX bytes:1899017 (1.8 MiB) Interrupt:12 Base address:0xec00 eth2 Link encap:Ethernet HWaddr 00:30:4F:10:2A:77 inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::230:4fff:fe10:2a77/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1792 errors:0 dropped:0 overruns:0 frame:0 TX packets:1596 errors:0 dropped:0 overruns:0 carrier:0 collisions:6 txqueuelen:1000 RX bytes:1674737 (1.5 MiB) TX bytes:233658 (228.1 KiB) Interrupt:11 loLink encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:872 errors:0 dropped:0 overruns:0 frame:0 TX packets:872 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:69479 (67.8 KiB) TX bytes:69479 (67.8 KiB) --- Sendo que o cabo que vem do modem está na eth2 e o cabo ligado no hub está na eth0. A tabela de roteamento está assim: --- [EMAIL PROTECTED]:~# route -nv Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface 192.168.1.0 0.0.0.0 255.255.255.0 U 0 00 eth2 192.168.0.0 0.0.0.0 255.255.0.0 U 0 00 eth0 0.0.0.0 192.168.1.1 0.0.0.0 UG0 00 eth2 --- Respondendo ao Patrick: IP do Modem: 192.168.1.1 DNS das estações e do servidor: 201.10.120.3 e 201.10.120.2 Alguma sugestão de como resolver o problema do dnsmasq e do terminal não conseguir resolver o host do servidor? PS. Muito obrigado a todos que estão acompanhando e dando as sugestões de como configurar meu servidor. -- Ricardo Antonio Duarte [EMAIL PROTECTED] http://ricardoduarte.com/ -- ubuntu-br mailing list ubuntu-br@lists.ubuntu.com www.ubuntu-br.org https://lists.ubuntu.com/mailman/listinfo/ubuntu-br -- Bruno Seabra Mendoça Lima UFMA - Universidade Federal do Maranhão DEINF - Departamento de Informática LAbMint - Laboratorio de Midias Interativas Telefone: 3217-8239 -- ubuntu-br mailing list ubuntu-br@lists.ubuntu.com www.ubuntu-br.org https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Re: [Ubuntu-BR] Fwd: Re: Configurando duas placas de rede para compartilhamento de internet
http://www.ubuntuforums.org/showthread.php?t=91370 Melhor jeito de fazer impossivel :) On 9/9/06, Raphael Menezes [EMAIL PROTECTED] wrote: Resolveu, Ricardo?! On 9/6/06, hexa [EMAIL PROTECTED] wrote: só configure 1 gateway... o da eth0 talvez tenha faltado a regra de mascaramento no iptables iptables -t nat -A POSTROUTING -j MASQUERADE faca os testes com sua firewall desabilitada se nao der certo, qual o ip do modem? qual dns esta usando no server e nas maquinas? vlw Em Terça 05 Setembro 2006 20:27, Ricardo Duarte escreveu: Tentei fazer isso que você falou e não consegui. Qual será o gateway do eth1? O /proc/sys/net/ipv4/ip_forward já estava com o valor 1. Segue abaixo o meu /etc/network/interfaces -- [EMAIL PROTECTED]:~# cat /etc/network/interfaces # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 192.168.1.2 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 gateway 192.168.1.1 # The secundary network interface auto eth1 iface eth1 inet static address 192.168.0.1 netmask 255.255.0.0 network 192.168.0.0 broadcast 192.168.0.255 gateway 192.168.1.1 -- Ricardo Antonio Duarte [EMAIL PROTECTED] http://ricardoduarte.com/ On 05/09/06, hexa [EMAIL PROTECTED] wrote: coloque as duas interfaces em redes diferentes, por exemplo: eth0 na rede 192.168.1.0/24 eth1 na rede 192.168.0.0/24 para ser mais claro, supondo que o ip do modem seja 192.168.1.1, configure a eth0 para o ip 192.168.1.2 e faca com que o gateway desse server seja o modem supondo q sua rede interna seja 192.168.0.0/24 e que o ip 192.168.0.1 ainda nao esteja sendo usado... configure sua eth1 com o ip 192.168.0.1 habilite o roteamento (echo 1 /proc/sys/net/ipv4/ip_forward) e faca com que o gateway de suas estacoes seja o server (192.168.0.1 ) vlw -- Patrick Silva Ximenes GULMS - Grupo de Usuarios Linux MS ([EMAIL PROTECTED]) PSLMS - Projeto Software Livre MS --- -- Patrick Silva Ximenes GULMS - Grupo de Usuarios Linux MS ([EMAIL PROTECTED]) PSLMS - Projeto Software Livre MS -- ubuntu-br mailing list ubuntu-br@lists.ubuntu.com www.ubuntu-br.org https://lists.ubuntu.com/mailman/listinfo/ubuntu-br -- ubuntu-br mailing list ubuntu-br@lists.ubuntu.com www.ubuntu-br.org https://lists.ubuntu.com/mailman/listinfo/ubuntu-br -- Bruno Seabra Mendoça Lima UFMA - Universidade Federal do Maranhão DEINF - Departamento de Informática LAbMint - Laboratorio de Midias Interativas Telefone: 3217-8239 -- ubuntu-br mailing list ubuntu-br@lists.ubuntu.com www.ubuntu-br.org https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Re: [Ubuntu-BR] Reservar largura de banda para compartilhamento
wondershaper ... alguem já ouviu falar ? parace que ele é um front end para o CBQ/HTB .. On 9/9/06, Diogo R. Semann [EMAIL PROTECTED] wrote: Bruno, Procure pelo CBQ, ele faz o que você quer. Em Sáb, 2006-09-09 às 10:35 -0300, Bruno Lima escreveu: Ai pessoal ? Nada? tou querendo algo como BANDWIDTH MANAGER ?!?!?! Alguem conhece alguma coisA ? On 9/8/06, Bruno Lima [EMAIL PROTECTED] wrote: E ai pessoal tava sumidão, pela europa mas agora estou de volta. Estou com um pequeno problema tenho 600k da velox aqui em casa, e tou compartilhando internet, mas como eu uso muita banda, os 2 outros pontos da casa ficam muito lento, não tem como eu reservar uma largura de banda para os outros 2 pontos. Tipo colocar 400k para eu usar e 200k para os outros usarem ? Alguem tem alguma experiência com isso ? -- Bruno Seabra Mendoça Lima UFMA - Universidade Federal do Maranhão DEINF - Departamento de Informática LAbMint - Laboratorio de Midias Interativas Telefone: 3217-8239 -- Bruno Seabra Mendoça Lima UFMA - Universidade Federal do Maranhão DEINF - Departamento de Informática LAbMint - Laboratorio de Midias Interativas Telefone: 3217-8239 -- ubuntu-br mailing list ubuntu-br@lists.ubuntu.com www.ubuntu-br.org https://lists.ubuntu.com/mailman/listinfo/ubuntu-br -- Bruno Seabra Mendoça Lima UFMA - Universidade Federal do Maranhão DEINF - Departamento de Informática LAbMint - Laboratorio de Midias Interativas Telefone: 3217-8239 -- ubuntu-br mailing list ubuntu-br@lists.ubuntu.com www.ubuntu-br.org https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Re: [Ubuntu-BR] Conexão com a internet.
Configurou o IP DNS e tudo mais ? On 9/8/06, Wanderson Luiz [EMAIL PROTECTED] wrote: Oi pessoal, sou iniciante em linux e acabei de instala-lo e não estou conseguindo configurar a internet na minha maquina. Eu tenho um acesso via rádio, como fazer para configurar, ja coloquei o ip mas não vai?... Wanderson Luiz Clemente Jornal A Gazeta de Vitória Impressor - Offset Tel: 32817039 - 92718566 _ Experimente o Live.com: seu mundo online em um só lugar - com notícias, esportes, clima e muito mais. http://www.live.com/getstarted -- ubuntu-br mailing list ubuntu-br@lists.ubuntu.com www.ubuntu-br.org https://lists.ubuntu.com/mailman/listinfo/ubuntu-br -- Bruno Seabra Mendoça Lima UFMA - Universidade Federal do Maranhão DEINF - Departamento de Informática LAbMint - Laboratorio de Midias Interativas Telefone: 3217-8239 -- ubuntu-br mailing list ubuntu-br@lists.ubuntu.com www.ubuntu-br.org https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Re: [Ubuntu-BR] Criar similar ao arquivo .bat no Ubuntu.
Bom temos o shell script basicamente a estrutura é a seguinda #!/bin/bash comandos salvar com a extensão .sh e para rodar ./nome.sh ou sh nome.sh :) outras informações google mesmo On 9/8/06, Jonh Wendell [EMAIL PROTECTED] wrote: Em Sex, 2006-09-08 às 17:10 -0300, Petter Rafael Villa Real escreveu: O Linux tem algum similar? Como é feito? Similar? Sinto lhe informar, tem não... Tem uma ferramenta MUITO MAIS poderosa, shell script. Google nele! -- Jonh Wendell Santana Analista de Sistemas Site: http://www.bani.com.br MSN / Google Talk: [EMAIL PROTECTED] Linux User #114432 -- ubuntu-br mailing list ubuntu-br@lists.ubuntu.com www.ubuntu-br.org https://lists.ubuntu.com/mailman/listinfo/ubuntu-br -- Bruno Seabra Mendoça Lima UFMA - Universidade Federal do Maranhão DEINF - Departamento de Informática LAbMint - Laboratorio de Midias Interativas Telefone: 3217-8239 -- ubuntu-br mailing list ubuntu-br@lists.ubuntu.com www.ubuntu-br.org https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
