Oi Gente,
Primeiramente queria agradecer a ajuda de todos, com o meu problema
anterior.
Porém agora tenho outro problema, ou seja:
O script arq_firewall, está sendo executado sem erros, consigo navegar
na internet normalmente no servidor "FC5", porém nas estações linux ou Windows
não consigo navegar na internet. Entretanto se eu tiro o script rq_firewall do
arquivo rc.local, e o susbtituo pelo modo simples conforme modelo abaixo:
#!/bin/sh
touch /var/lock/subsys/local
modprobe iptable_nat
echo "1" >/proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
squid start
# FIM
O servidor "FC5" e as estações navegam normalmente na internet.
Novamente peço a ajuda de vocês, para me ajudarem a solucionar este problema.
BOAS FESTAS E FELIZ ANO NOVO !!!!!!!!!
Felipe
***************************************************
rc.local
************************************************
#!/bin/sh
touch /var/lock/subsys/local
. /etc/firewall/arq_firewall
squid start
# FIM
************************************************
script de nome: firewall
************************************************
#!/bin/sh
echo " INICIANDO REGRA DE FIREWALL "
# ----------------------------------------------------------------
# Zera regras
# ----------------------------------------------------------------
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -F -t mangle
/sbin/iptables -X -t mangle
echo "Zeramento das regras OK!"
# ----------------------------------------------------------------
# Ativa modulos
# ----------------------------------------------------------------
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
echo "Carga dos Modulos OK!"
# ----------------------------------------------------------------
# Mascaramento ( NAT )
# ----------------------------------------------------------------
# Mascarar pacotes de saida para a internet
# Habilitando o recurso de IP forwarding
echo "1" >/proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# ----------------------------------------------------------------
# VNC regras de iptables pra repassar pra maquina local
# ----------------------------------------------------------------
iptables -A FORWARD -i eth1 -p tcp --dport 5800:5900 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -p udp --dport 5800:5900 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5800:5900 -j DNAT --to
192.168.1.30:5800-5900
iptables -t nat -A PREROUTING -p udp -i eth1 --dport 5800:5900 -j DNAT --to
192.168.1.30:5800-5900
# ----------------------------------------------------------------
# Proteções Contra Ataques
# ----------------------------------------------------------------
# bloqueia ping
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
#Proteção contra Syn-floods
/sbin/iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Protege contra os "Ping of Death"
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
1/s -j ACCEPT
# Protege contra os ataques do tipo "Syn-flood, DoS, etc"
/sbin/iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
# Protege contra port scanners avançados (Ex.: nmap)
/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
--limit 1/s -j ACCEPT
# Protege AS PORTAS PROIBIDAS
/sbin/iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "Porta do FTP "
/sbin/iptables -A INPUT -p tcp --dport 23 -j LOG --log-prefix "Porta do TELNET
"
/sbin/iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "Porta do SSH "
/sbin/iptables -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix "Porta do
NETBEUI "
# Protege contra BackDoors Wincrash e BackOrifice
/sbin/iptables -A INPUT -p tcp --dport 5042 -j LOG --log-prefix "Porta do
Wincrash "
/sbin/iptables -A INPUT -p tcp --dport 12345 -j LOG --log-prefix "Porta do
BackOrifice "
# ----------------------------------------------------------------
#libera o loopback
# ----------------------------------------------------------------
/sbin/iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
echo "Proteção das regras OK!"
# ----------------------------------------------------------------
# libera conexoes de fora pra dentro
# ----------------------------------------------------------------
/sbin/iptables -A INPUT -p tcp --destination-port 443 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --destination-port 20 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
# ----------------------------------------------------------------
#libera conexoes de dentro pra fora:
# ----------------------------------------------------------------
/sbin/iptables -A OUTPUT -p tcp --destination-port 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --destination-port 22 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --destination-port 20 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --destination-port 21 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --destination-port 86 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --destination-port 5190 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --destination-port 443 -j ACCEPT
echo "Carga do Firewall Concluída com Sucesso "
/////////////////////////////////////////////////////////////////////
******************************
Configuração do arquivo: sysctl.conf
******************************
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
********************************************************
Abaixo as configuração das placas eth0 e eth1
********************************************************
# Silicon Integrated Systems [SiS] SiS900 PCI Fast Ethernet
DEVICE=eth1
BOOTPROTO=none
BROADCAST=192. 168.1.255
HWADDR=00:11: D8:6B:AB: 4A
IPADDR=192.168. 1.1
NETMASK=255. 255.255.0
NETWORK=192. 168.1.0
ONBOOT=yes
TYPE=Ethernet
USERCTL=yes
IPV6INIT=no
PEERDNS=yes
//////////// ///////// ///////// ///
DEVICE=eth0
BOOTPROTO=none
BROADCAST=210. 111.111.199
HWADDR=00:11: 95:E3:3A: 04
IPADDR=210.111. 111.193
NETMASK=255. 255.255.288
NETWORK=210. 111.111.192
ONBOOT=yes
USERCTL=yes
IPV6INIT=no
PEERDNS=yes
GATEWAY=210. 111.111.198
TYPE=Ethernet
__________________________________________________
Fale com seus amigos de graça com o novo Yahoo! Messenger
http://br.messenger.yahoo.com/
__________________________________________________
Fale com seus amigos de graça com o novo Yahoo! Messenger
http://br.messenger.yahoo.com/
[As partes desta mensagem que não continham texto foram removidas]
