Só mais um pouquinho de informação: # To save the current set of iptables rules for use at next reboot: # # iptables-save > /etc/sysconfig/iptables # # To dynamically restart iptables after modifying /etc/sysconfig/iptables: # # /etc/rc.d/init.d/iptables restart # # Note that /etc/rc.d/init.d/iptables is a script. You can read it to # gain understanding of how iptables uses iptables-restore to restore # iptables firewall rules at reboot. # # To examine the current set of rules in effect: # # /etc/rc.d/init.d/iptables status
Tchau Erino. Se a sua distribuição for das mais modernas, também existe a solução de você configurar o seu firewall e depois gravar as configurações utilizando o comando iptables-save; ele vai gerar um script de nome /etc/sysconfig/iptables que vai ser carregado toda a vez que você reiniciar a máquina (sem a necessidade de alterar o rc.local). Tchau Erino. Eduardo Alvarenga A Ferreira wrote: > > Cara > > Use o comando ln -s /destino do link /destino do link simbolico > > Assim ele vai executar o teu script através do link simbolico. Vc esta > inicializando o em modo grafico ou texto? > ser for em texto, faça isso em /etc/rc3.d/ se for em modo grafico, > faça isso em /etc/rc5.d - aqui deve ficar o link. > > Att, > > Eduardo Alvarenga > Cuiaba/MT > > ----- Original Message ----- > From: surfistabr surfistabr > To: [email protected] <mailto:servux%40yahoogrupos.com.br> > Sent: Thursday, December 21, 2006 3:36 PM > Subject: [servux] Problemas no servidor com Iptables > > Gente preciso de ajuda. Fiz meu primeiro firewall, utilizando iptables, > criei a pasta chamada firewall depois dentro da pasta firewall, criei > um arquivo chamado firewall e dei as permissões de execução. > Depois dentro da pasta firewall, eu o testei o script para verificar > se tinha alguma regra invalida ./firewall onde tive todos as partes > executadas sem erro. > Entretanto depois que eu coloquei-o no arquivo rc.local ( > /etc/firewall/firewall ), e executei o ./rc.local ele não carregou a > internet nem no servidor e nem compartilhou a internet com outras > máquinas, tentei então reiniciando o computador, e as placas de rede, > porém mesmo assim não funcionou, ou seja continuou sem carregar a > internet no servidor e nas outras máquinas via compartilhamento. > > /////////////////////////////////////// > rc.local ( Chamando o script do firewall ) > /////////////////////////////////////// > #!/bin/sh > #script que do firewall > touch /var/lock/subsys/local > /etc/firewall/firewall > squid start > /////////////////////////////////////// > > Aí eu tiro a linha que chama o script ( /etc/firewall/firewall ), > executo novamente o ./rc.local e a internet volta a funcionar > > ///////////////////////////////// > rc.local (sem chamar o script do firewall) > ///////////////////////////////// > #!/bin/sh > > touch /var/lock/subsys/local > iptables -F > iptables -t nat -F > echo "1" >/proc/sys/net/ipv4/ip_forward > iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE > iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE > squid start > /////////////////////////////////////// > > Eu não sei o que estou fazendo de errado, já verifiquei tudo, já > pesquisei na internet, mas não consegui fazer ele funcionar. > Por favor deem uma olhada e me digam o onde estou errando. > Obs.: Os IP´s da placa placa eth0, que é a placa ethernet foram > modificados. > > ======================= > -======================= > > Abaixo as configuração das placas eth0 e eth1 > > # Silicon Integrated Systems [SiS] SiS900 PCI Fast Ethernet > DEVICE=eth1 > BOOTPROTO=none > BROADCAST=192.168.1.255 > HWADDR=00:11:D8:6B:AB:4A > IPADDR=192.168.1.1 > NETMASK=255.255.255.0 > NETWORK=192.168.1.0 > ONBOOT=yes > TYPE=Ethernet > USERCTL=yes > IPV6INIT=no > PEERDNS=yes > > ///////////////////////////////// > > DEVICE=eth0 > BOOTPROTO=none > BROADCAST=210.111.111.199 > HWADDR=00:11:95:E3:3A:04 > IPADDR=210.111.111.193 > NETMASK=255.255.255.288 > NETWORK=210.111.111.192 > ONBOOT=yes > USERCTL=yes > IPV6INIT=no > PEERDNS=yes > GATEWAY=210.111.111.198 > TYPE=Ethernet > > //////////////////////////////////////////////////////// > abaixo segue o script chamado firewall > /////////////////////////////////////////////////////// > > echo " INICIANDO REGRA DE FIREWALL " > > # ---------------------------------------------------------- > # Ativa modulos > # ---------------------------------------------------------- > /sbin/modprobe iptable_nat > /sbin/modprobe ip_conntrack > /sbin/modprobe ip_conntrack_ftp > /sbin/modprobe ip_nat_ftp > /sbin/modprobe ipt_LOG > /sbin/modprobe ipt_REJECT > /sbin/modprobe ipt_MASQUERADE > echo "Carga dos Modulos OK!" > > # ---------------------------------------------------------- > # Zera regras > # ---------------------------------------------------------- > iptables -F > iptables -X > iptables -F -t nat > iptables -X -t nat > iptables -F -t mangle > iptables -X -t mangle > echo "Zeramento das regras OK!" > > # ---------------------------------------------------------- > # Mascaramento ( NAT ) > # ---------------------------------------------------------- > # Mascarar pacotes de saida para a internet > # Habilitando o recurso de IP forwarding > echo "1" >/proc/sys/net/ipv4/ip_forward > iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE > iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE > > # ---------------------------------------------------------- > # Proteções Contra Ataques > # ---------------------------------------------------------- > > # bloqueia ping > echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all > > #Proteção contra Syn-floods > iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT > > # Protege contra os "Ping of Death" > iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit > 1/s -j ACCEPT > > # Protege contra os ataques do tipo "Syn-flood, DoS, etc" > iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT > > # Protege contra port scanners avançados (Ex.: nmap) > iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit > --limit 1/s -j ACCEPT > > # Protege AS PORTAS PROIBIDAS > iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "Porta do FTP " > iptables -A INPUT -p tcp --dport 23 -j LOG --log-prefix "Porta do TELNET " > iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "Porta do SSH " > iptables -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix "Porta do > NETBEUI " > > # Protege contra BackDoors Wincrash e BackOrifice > iptables -A INPUT -p tcp --dport 5042 -j LOG --log-prefix "Porta do > Wincrash " > iptables -A INPUT -p tcp --dport 12345 -j LOG --log-prefix "Porta do > BackOrifice " > > # ---------------------------------------------------------- > #libera o loopback > # ---------------------------------------------------------- > iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT > > echo "Proteção das regras OK!" > > # ---------------------------------------------------------- > # libera conexoes de fora pra dentro > # ---------------------------------------------------------- > > iptables -A INPUT -p tcp --destination-port 443 -j ACCEPT > iptables -A INPUT -p tcp --destination-port 20 -j ACCEPT > iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT > iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT > > # ---------------------------------------------------------- > #libera conexoes de dentro pra fora: > # ---------------------------------------------------------- > > iptables -A OUTPUT -p tcp --destination-port 80 -j ACCEPT > iptables -A OUTPUT -p tcp --destination-port 22 -j ACCEPT > iptables -A OUTPUT -p tcp --destination-port 20 -j ACCEPT > iptables -A OUTPUT -p tcp --destination-port 21 -j ACCEPT > iptables -A OUTPUT -p tcp --destination-port 86 -j ACCEPT > iptables -A OUTPUT -p tcp --destination-port 5190 -j ACCEPT > iptables -A OUTPUT -p tcp --destination-port 443 -j ACCEPT > > echo "Carga do Firewall OK!" > > __________________________________________________ > Fale com seus amigos de graça com o novo Yahoo! Messenger > http://br.messenger.yahoo.com/ <http://br.messenger.yahoo.com/> > __________________________________________________ > Fale com seus amigos de graça com o novo Yahoo! Messenger > http://br.messenger.yahoo.com/ <http://br.messenger.yahoo.com/> > > [As partes desta mensagem que não continham texto foram removidas] > > [As partes desta mensagem que não continham texto foram removidas] > >
