Diêgo, basta você colocar uma chamado a esse script no rc.local. Ex: Se o seu script estiver em /etc/firewall, dê permissão de execução pra ele e depois adicione a seguinte linha /etc/firewall antes do exit no arquivo /etc/rc.local
2009/4/2 Diêgo Figueiredo <[email protected]> > > gostaria de aproveitar a dúvida do nosso colega pra perguntar se existe > alguma forma de rodar um script de firewall na inicialização do Sistema > Operacional , pois já fiz de tudo, e só consigo fazer rodar chamando o > script.... > > estou usando ubuntu server 8.04 > > ps. Amigo não é uma boa prática expor assim o ip da sua rede, isso abre um > leque imenso pra invasão.... se o ambiente em que vc trabalha é de produção, > com essas informações, alguém poderia invadir a sua rede facilmente... > > > > > > > Date: Wed, 1 Apr 2009 23:29:42 -0300 > > From: [email protected] > > To: [email protected] > > Subject: Re: [Ubuntu-BR] Firewall iptables bloqueando web server interno > > > > Olá, > > > > Verificando suas regras de firewall notei que a regra para acesso > > ao servidor apache, que teoricamente esta rodando na porta 80, esta > > comentada, experimente descomentar a linha que libera o acesso a porta > > 80 para ver se o problema é resolvido, ou, simplesmente, digite na > > linha de comando iptables -A INPUT --dport 80 -j ACCEPT, esse comando > > irá liberar o acesso na porta 80 para as redes interna e externa. > > > > Atenciosamente, > > > > Washington > > > > > > > > > > > > 2009/4/1 Thiago Silveira Alexandre <[email protected]>: > > > você já olhou os logs de erro do apache? > > > de um tail -f no /var/log/apache2/error.log, tente acessar o site e > cole > > > aqui a saida do log. > > > Outra coisa, como está configurado seu SELinux? > > > Se tiver enforce tem que criar uma police para liberar o apache, senao > ele > > > não deixa acessar o site mesmo. > > > aguardo resposta > > > > > > 2009/4/1 PaulinhoLinux <[email protected]> > > > > > >> > > >> E aí galera blzzzz > > >> > > >> estou com o seguinte problema, criei um script contendo regras com o > > >> iptables e estou rodando ele no meu gateway. Este equipamento roda > tbem o > > >> squid e o MySAR para gerar relatórios dos acessos. > > >> > > >> só que não estou conseguindo acessar o servidor web contido neste > servidor. > > >> Para que eu acesse o servidor web eu tenho que dar um stop (parar) o > > >> firewall (ou seja limpar as regras e mudar a politica padão para > accept), > > >> qdo o firewall está rodando ao tentar acesso ao servidor web recebo a > > >> seguinte mensagem: > > >> > > >> > > >> ERRO > > >> A URL solicitada não pode ser recuperada > > >> > > >> O seguinte erro foi encontrado: > > >> * Requisição inválida. > > >> Já analisei as minhas regras e não consegui encontrar a origem do > problema, > > >> por favor preciso de ajuda. > > >> > > >> Obrigado > > >> > > >> PaulinhoLinux > > >> > > >> OBS: Segue abaixo o meu script firewall > > >> > > >> #!/bin/bash > > >> > > >> firewall_start(){ > > >> > > >> EXTERNA=eth0 > > >> INTERNA=eth1 > > >> > > >> # Abre para a interface de loopback. > > >> iptables -A INPUT -i lo -j ACCEPT > > >> > > >> # regra para permitir acesso a conectividade social - caixa > > >> #iptables -t nat -A PREROUTING -i eth0 -d ! 200.201.174.0/24 -p tcp > > >> --dport 80 -j REDIRECT --to-port 8080 > > >> > > >> ##### Liberar Conectividade Social para todos > > >> # liberando acesso a toda a rede 200.201 e pode liberar sites alem da > > >> CAIXA. > > >> iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT > > >> iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT > > >> > > >> ##### Filtros - DROP nos pacotes TCP indesejaveis > > >> iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG > --log-level > > >> 6 --log-prefix "FIREWALL: NEW sem syn: " > > >> iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP > > >> > > >> ##### ACCEPT (libera) pacotes de retorno da internet > > >> iptables -A INPUT -i ! $EXTERNA -j ACCEPT > > >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT > > >> iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT > > >> > > >> # Fechando as portas do samba caso fique de cara para a internet. > > >> #iptables -A INPUT -p tcp -i $EXTERNA --syn --dport 139 -j DROP > > >> #iptables -A INPUT -p tcp -i $EXTERNA --syn --dport 138 -j DROP > > >> > > >> # aceita conexoes vindas da rede interna com destino ao web server > > >> iptables -A INPUT -p tcp -i $INTERNA --syn --dport 80 -j ACCEPT > > >> > > >> > > >> # NAT para os demais serviços que trabalham em outras portas > > >> iptables -A POSTROUTING -t nat -o $EXTERNA -j MASQUERADE > > >> echo "1" > /proc/sys/net/ipv4/ip_forward > > >> > > >> ##### Libera acesso externo para ssh e servidor web > > >> #iptables -A INPUT -p tcp --dport 80 -i $EXTERNA -j ACCEPT > > >> #iptables -A INPUT -p tcp --dport 80 -i $INTERNA -j ACCEPT > > >> #iptables -A INPUT -p tcp --dport 22 -i $EXTERNA -j ACCEPT > > >> iptables -A INPUT -p tcp --dport 22 -i $INTERNA -j ACCEPT > > >> > > >> # REDIRECIONAR PARA O PROXY SQUID > > >> iptables -t nat -A PREROUTING -i $INTERNA -s ! 192.168.10.2 -p tcp -m > > >> multiport --dport 80,443 -j REDIRECT --to-ports 8080 > > >> > > >> > > >> firewall_start(){ > > >> # Ativa módulos > > >> modprobe ip_tables > > >> modprobe iptable_nat > > >> modprobe ip_conntrack > > >> modprobe ip_nat_ftp > > >> modprobe ipt_REJECT > > >> modprobe ipt_MASQUERADE > > >> > > >> # Zera regras > > >> iptables -F > > >> iptables -X > > >> iptables -t nat -F > > >> iptables -t nat -X > > >> > > >> # define a politica padrao > > >> iptables -P INPUT DROP > > >> iptables -P FORWARD DROP > > >> iptables -P OUTPUT DROP > > >> } > > >> } > > >> firewall_stop(){ > > >> # Zera regras > > >> iptables -F > > >> iptables -X > > >> iptables -t nat -F > > >> iptables -X -t nat > > >> iptables -F -t filter > > >> iptables -X -t filter > > >> > > >> # define a politica padrao > > >> iptables -P INPUT ACCEPT > > >> iptables -P FORWARD ACCEPT > > >> iptables -P OUTPUT ACCEPT > > >> > > >> } > > >> > > >> case "$1" in > > >> "start") > > >> firewall_start > > >> echo " Firewall iniciando" > > >> sleep 2 > > >> echo "ok" > > >> ;; > > >> "stop") > > >> firewall_stop > > >> echo "O firewall esta sendo desativado" > > >> sleep 2 > > >> echo "ok" > > >> ;; > > >> "restart") > > >> echo "O firewall esta sendo reiniciado" > > >> sleep 1 > > >> echo "ok." > > >> firewall_stop; firewall_start > > >> ;; > > >> *) > > >> esac > > >> > > >> > > >> _______________________________________________________________ > > >> > > >> > > >> PaulinhoLinux > > >> > > >> > > >> >> e-mail.... paulinholinux arroba yahoo ponto com ponto br > > >> >> msn....... paulinholinux arroba hotmail ponto com > > >> > > >> >> Ter problemas na vida é inevitável, > > >> ser derrotado por eles é opcional. << > > >> > > >> > > >> _______________________________________________________________ > > >> > > >> > > >> > > >> Veja quais são os assuntos do momento no Yahoo! +Buscados > > >> http://br.maisbuscados.yahoo.com > > >> > > >> -- > > >> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > >> > > >> Lista de discussão Ubuntu Brasil > > >> Histórico, descadastramento e outras opções: > > >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > > >> > > > > > > > > > > > > -- > > > Thiago Silveira Alexandre > > > -- > > > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > > > > > Lista de discussão Ubuntu Brasil > > > Histórico, descadastramento e outras opções: > > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > > > > > > > -- > > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > > > Lista de discussão Ubuntu Brasil > > Histórico, descadastramento e outras opções: > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > > _________________________________________________________________ > Descubra seu lado desconhecido com o novo Windows Live! > http://www.windowslive.com.br > -- > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > Lista de discussão Ubuntu Brasil > Histórico, descadastramento e outras opções: > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > -- Thiago Silveira Alexandre -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
