Gente preciso de ajuda. Fiz meu primeiro firewall, utilizando iptables,
criei a pasta chamada firewall depois dentro da pasta firewall, criei um
arquivo chamado firewall e dei as permissões de execução.
Depois dentro da pasta firewall, eu o testei o script para verificar se
tinha alguma regra invalida ./firewall onde tive todos as partes executadas sem
erro.
Entretanto depois que eu coloquei-o no arquivo rc.local (
/etc/firewall/firewall ), e executei o ./rc.local ele não carregou a internet
nem no servidor e nem compartilhou a internet com outras máquinas, tentei então
reiniciando o computador, e as placas de rede, porém mesmo assim não funcionou,
ou seja continuou sem carregar a internet no servidor e nas outras máquinas via
compartilhamento.
///////////////////////////////////////
rc.local ( Chamando o script do firewall )
///////////////////////////////////////
#!/bin/sh
#script que do firewall
touch /var/lock/subsys/local
/etc/firewall/firewall
squid start
///////////////////////////////////////
Aí eu tiro a linha que chama o script ( /etc/firewall/firewall ),
executo novamente o ./rc.local e a internet volta a funcionar
/////////////////////////////////
rc.local (sem chamar o script do firewall)
/////////////////////////////////
#!/bin/sh
touch /var/lock/subsys/local
iptables -F
iptables -t nat -F
echo "1" >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
squid start
///////////////////////////////////////
Eu não sei o que estou fazendo de errado, já verifiquei tudo, já
pesquisei na internet, mas não consegui fazer ele funcionar.
Por favor deem uma olhada e me digam o onde estou errando.
Obs.: Os IP´s da placa placa eth0, que é a placa ethernet foram
modificados.
=======================
-=======================
Abaixo as configuração das placas eth0 e eth1
# Silicon Integrated Systems [SiS] SiS900 PCI Fast Ethernet
DEVICE=eth1
BOOTPROTO=none
BROADCAST=192.168.1.255
HWADDR=00:11:D8:6B:AB:4A
IPADDR=192.168.1.1
NETMASK=255.255.255.0
NETWORK=192.168.1.0
ONBOOT=yes
TYPE=Ethernet
USERCTL=yes
IPV6INIT=no
PEERDNS=yes
/////////////////////////////////
DEVICE=eth0
BOOTPROTO=none
BROADCAST=210.111.111.199
HWADDR=00:11:95:E3:3A:04
IPADDR=210.111.111.193
NETMASK=255.255.255.288
NETWORK=210.111.111.192
ONBOOT=yes
USERCTL=yes
IPV6INIT=no
PEERDNS=yes
GATEWAY=210.111.111.198
TYPE=Ethernet
////////////////////////////////////////////////////////
abaixo segue o script chamado firewall
///////////////////////////////////////////////////////
echo " INICIANDO REGRA DE FIREWALL "
# ----------------------------------------------------------------
# Ativa modulos
# ----------------------------------------------------------------
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
echo "Carga dos Modulos OK!"
# ----------------------------------------------------------------
# Zera regras
# ----------------------------------------------------------------
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
echo "Zeramento das regras OK!"
# ----------------------------------------------------------------
# Mascaramento ( NAT )
# ----------------------------------------------------------------
# Mascarar pacotes de saida para a internet
# Habilitando o recurso de IP forwarding
echo "1" >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# ----------------------------------------------------------------
# Proteções Contra Ataques
# ----------------------------------------------------------------
# bloqueia ping
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
#Proteção contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Protege contra os "Ping of Death"
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j
ACCEPT
# Protege contra os ataques do tipo "Syn-flood, DoS, etc"
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
# Protege contra port scanners avançados (Ex.: nmap)
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s
-j ACCEPT
# Protege AS PORTAS PROIBIDAS
iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "Porta do FTP "
iptables -A INPUT -p tcp --dport 23 -j LOG --log-prefix "Porta do TELNET "
iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "Porta do SSH "
iptables -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix "Porta do NETBEUI "
# Protege contra BackDoors Wincrash e BackOrifice
iptables -A INPUT -p tcp --dport 5042 -j LOG --log-prefix "Porta do Wincrash "
iptables -A INPUT -p tcp --dport 12345 -j LOG --log-prefix "Porta do
BackOrifice "
# ----------------------------------------------------------------
#libera o loopback
# ----------------------------------------------------------------
iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
echo "Proteção das regras OK!"
# ----------------------------------------------------------------
# libera conexoes de fora pra dentro
# ----------------------------------------------------------------
iptables -A INPUT -p tcp --destination-port 443 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 20 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
# ----------------------------------------------------------------
#libera conexoes de dentro pra fora:
# ----------------------------------------------------------------
iptables -A OUTPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 22 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 20 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 21 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 86 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 5190 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 443 -j ACCEPT
echo "Carga do Firewall OK!"
__________________________________________________
Fale com seus amigos de graça com o novo Yahoo! Messenger
http://br.messenger.yahoo.com/
__________________________________________________
Fale com seus amigos de graça com o novo Yahoo! Messenger
http://br.messenger.yahoo.com/
[As partes desta mensagem que não continham texto foram removidas]
