e aí washington blzzzzz essa regra está descomentada
# aceita conexoes vindas da rede interna com destino ao web server iptables -A INPUT -p tcp -i $INTERNA --syn --dport 80 -j ACCEPT o que em "teoria" deveria permitir o acesso da minha rede interna ao servidor web. Mas ele ainda não está acessível ! obrigado pela ajuda.... PaulinhoLinux _______________________________________________________________ PaulinhoLinux >> e-mail.... paulinholinux arroba yahoo ponto com ponto br >> msn....... paulinholinux arroba hotmail ponto com >> Ter problemas na vida é inevitável, ser derrotado por eles é opcional. << _______________________________________________________________ ----- Mensagem original ---- De: Washington Alves <wae...@gmail.com> Para: Lista de discussão do LoCoTeam Brasileiro <ubuntu-br@lists.ubuntu.com> Enviadas: Quarta-feira, 1 de Abril de 2009 23:29:42 Assunto: Re: [Ubuntu-BR] Firewall iptables bloqueando web server interno Olá, Verificando suas regras de firewall notei que a regra para acesso ao servidor apache, que teoricamente esta rodando na porta 80, esta comentada, experimente descomentar a linha que libera o acesso a porta 80 para ver se o problema é resolvido, ou, simplesmente, digite na linha de comando iptables -A INPUT --dport 80 -j ACCEPT, esse comando irá liberar o acesso na porta 80 para as redes interna e externa. Atenciosamente, Washington 2009/4/1 Thiago Silveira Alexandre <thsa...@gmail.com>: > você já olhou os logs de erro do apache? > de um tail -f no /var/log/apache2/error.log, tente acessar o site e cole > aqui a saida do log. > Outra coisa, como está configurado seu SELinux? > Se tiver enforce tem que criar uma police para liberar o apache, senao ele > não deixa acessar o site mesmo. > aguardo resposta > > 2009/4/1 PaulinhoLinux <ph...@yahoo.com.br> > >> >> E aí galera blzzzz >> >> estou com o seguinte problema, criei um script contendo regras com o >> iptables e estou rodando ele no meu gateway. Este equipamento roda tbem o >> squid e o MySAR para gerar relatórios dos acessos. >> >> só que não estou conseguindo acessar o servidor web contido neste servidor. >> Para que eu acesse o servidor web eu tenho que dar um stop (parar) o >> firewall (ou seja limpar as regras e mudar a politica padão para accept), >> qdo o firewall está rodando ao tentar acesso ao servidor web recebo a >> seguinte mensagem: >> >> >> ERRO >> A URL solicitada não pode ser recuperada >> >> O seguinte erro foi encontrado: >> * Requisição inválida. >> Já analisei as minhas regras e não consegui encontrar a origem do problema, >> por favor preciso de ajuda. >> >> Obrigado >> >> PaulinhoLinux >> >> OBS: Segue abaixo o meu script firewall >> >> #!/bin/bash >> >> firewall_start(){ >> >> EXTERNA=eth0 >> INTERNA=eth1 >> >> # Abre para a interface de loopback. >> iptables -A INPUT -i lo -j ACCEPT >> >> # regra para permitir acesso a conectividade social - caixa >> #iptables -t nat -A PREROUTING -i eth0 -d ! 200.201.174.0/24 -p tcp >> --dport 80 -j REDIRECT --to-port 8080 >> >> ##### Liberar Conectividade Social para todos >> # liberando acesso a toda a rede 200.201 e pode liberar sites alem da >> CAIXA. >> iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT >> iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT >> >> ##### Filtros - DROP nos pacotes TCP indesejaveis >> iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level >> 6 --log-prefix "FIREWALL: NEW sem syn: " >> iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP >> >> ##### ACCEPT (libera) pacotes de retorno da internet >> iptables -A INPUT -i ! $EXTERNA -j ACCEPT >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT >> iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT >> >> # Fechando as portas do samba caso fique de cara para a internet. >> #iptables -A INPUT -p tcp -i $EXTERNA --syn --dport 139 -j DROP >> #iptables -A INPUT -p tcp -i $EXTERNA --syn --dport 138 -j DROP >> >> # aceita conexoes vindas da rede interna com destino ao web server >> iptables -A INPUT -p tcp -i $INTERNA --syn --dport 80 -j ACCEPT >> >> >> # NAT para os demais serviços que trabalham em outras portas >> iptables -A POSTROUTING -t nat -o $EXTERNA -j MASQUERADE >> echo "1" > /proc/sys/net/ipv4/ip_forward >> >> ##### Libera acesso externo para ssh e servidor web >> #iptables -A INPUT -p tcp --dport 80 -i $EXTERNA -j ACCEPT >> #iptables -A INPUT -p tcp --dport 80 -i $INTERNA -j ACCEPT >> #iptables -A INPUT -p tcp --dport 22 -i $EXTERNA -j ACCEPT >> iptables -A INPUT -p tcp --dport 22 -i $INTERNA -j ACCEPT >> >> # REDIRECIONAR PARA O PROXY SQUID >> iptables -t nat -A PREROUTING -i $INTERNA -s ! 192.168.10.2 -p tcp -m >> multiport --dport 80,443 -j REDIRECT --to-ports 8080 >> >> >> firewall_start(){ >> # Ativa módulos >> modprobe ip_tables >> modprobe iptable_nat >> modprobe ip_conntrack >> modprobe ip_nat_ftp >> modprobe ipt_REJECT >> modprobe ipt_MASQUERADE >> >> # Zera regras >> iptables -F >> iptables -X >> iptables -t nat -F >> iptables -t nat -X >> >> # define a politica padrao >> iptables -P INPUT DROP >> iptables -P FORWARD DROP >> iptables -P OUTPUT DROP >> } >> } >> firewall_stop(){ >> # Zera regras >> iptables -F >> iptables -X >> iptables -t nat -F >> iptables -X -t nat >> iptables -F -t filter >> iptables -X -t filter >> >> # define a politica padrao >> iptables -P INPUT ACCEPT >> iptables -P FORWARD ACCEPT >> iptables -P OUTPUT ACCEPT >> >> } >> >> case "$1" in >> "start") >> firewall_start >> echo " Firewall iniciando" >> sleep 2 >> echo "ok" >> ;; >> "stop") >> firewall_stop >> echo "O firewall esta sendo desativado" >> sleep 2 >> echo "ok" >> ;; >> "restart") >> echo "O firewall esta sendo reiniciado" >> sleep 1 >> echo "ok." >> firewall_stop; firewall_start >> ;; >> *) >> esac >> >> >> _______________________________________________________________ >> >> >> PaulinhoLinux >> >> >> >> e-mail.... paulinholinux arroba yahoo ponto com ponto br >> >> msn....... paulinholinux arroba hotmail ponto com >> >> >> Ter problemas na vida é inevitável, >> ser derrotado por eles é opcional. << >> >> >> _______________________________________________________________ >> >> >> >> Veja quais são os assuntos do momento no Yahoo! +Buscados >> http://br.maisbuscados.yahoo.com >> >> -- >> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece >> >> Lista de discussão Ubuntu Brasil >> Histórico, descadastramento e outras opções: >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br >> > > > > -- > Thiago Silveira Alexandre > -- > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > Lista de discussão Ubuntu Brasil > Histórico, descadastramento e outras opções: > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br Veja quais são os assuntos do momento no Yahoo! +Buscados http://br.maisbuscados.yahoo.com -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br