clients não tem conectividade! [RESOLVIDO]

1. clients não tem conectividade! [RESOLVIDO]

Eduardo Reichert
kazz

(usa Linux Mint)

Enviado em 30/01/2014 - 08:07h

Bom dia galera, tenho meu ubuntu server com o firewall e um desktop debian (isso tudo em virtual box), estou tentando implementar o firewall nele (iptables) já pesquisei sobre as regras, fiz as regras, criei eth1, botei o client na mesma rede da eth1, mas nem se quer um pinga o outro. Pelo virtual box tenho duas placas no ubuntu, uma em bridge e outra em rede interna.

rc.firewall do firewall:

#ifinternet "eth0"
#Configuração de rede WAN
#IP: 192.168.25.11
#Mascara: 255.255.255.0
#Gateway: 192.168.25.1
#iflocal "eth1"
#IP: 10.0.0.1
#Mascara: 255.255.255.0
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -s 10.0.0.0/24 -d 0/0 -j MASQUERADE
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
iptables -A INPUT -s 127.0.0.1 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -s 10.0.0.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j ACCEPT
iptables -A INPUT -s 10.0.0.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j RETURN
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 110 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 143 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 25 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 587 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 80 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 443 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 22 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 23 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p UDP -s 10.0.0.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 445 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 80 -j ACCEPT



  


2. Re: clients não tem conectividade! [RESOLVIDO]

Diego Garcia
Diego-Garcia

(usa Linux Mint)

Enviado em 30/01/2014 - 08:21h

kazz escreveu:

Bom dia galera, tenho meu ubuntu server com o firewall e um desktop debian (isso tudo em virtual box), estou tentando implementar o firewall nele (iptables) já pesquisei sobre as regras, fiz as regras, criei eth1, botei o client na mesma rede da eth1, mas nem se quer um pinga o outro. Pelo virtual box tenho duas placas no ubuntu, uma em bridge e outra em rede interna.

rc.firewall do firewall:

#ifinternet "eth0"
#Configuração de rede WAN
#IP: 192.168.25.11
#Mascara: 255.255.255.0
#Gateway: 192.168.25.1
#iflocal "eth1"
#IP: 10.0.0.1
#Mascara: 255.255.255.0
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -s 10.0.0.0/24 -d 0/0 -j MASQUERADE
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
iptables -A INPUT -s 127.0.0.1 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -s 10.0.0.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j ACCEPT
iptables -A INPUT -s 10.0.0.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j RETURN
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 110 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 143 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 25 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 587 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 80 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 443 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 22 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 23 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p UDP -s 10.0.0.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 445 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 80 -j ACCEPT


Bom dia Amigo,

Você esta com uma regra no local errado.
A limpeza das regras tem que vir primeiro e depois o masquerade.

Tente assim:


#ifinternet "eth0"
#Configuração de rede WAN
#IP: 192.168.25.11
#Mascara: 255.255.255.0
#Gateway: 192.168.25.1
#iflocal "eth1"
#IP: 10.0.0.1
#Mascara: 255.255.255.0
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -s 10.0.0.0/24 -d 0/0 -j MASQUERADE
iptables -A INPUT -s 127.0.0.1 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -s 10.0.0.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j ACCEPT
iptables -A INPUT -s 10.0.0.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j RETURN
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 110 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 143 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 25 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 587 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 80 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 443 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 22 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 23 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p UDP -s 10.0.0.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 445 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 80 -j ACCEPT


Tente assim depois nos diga se funcionou.


3. clients não tem conectividade!

Eduardo Reichert
kazz

(usa Linux Mint)

Enviado em 30/01/2014 - 08:40h

não deu certo, o client continua não pingando o servidor, muito menos a internet...


4. Re: clients não tem conectividade! [RESOLVIDO]

Diego Garcia
Diego-Garcia

(usa Linux Mint)

Enviado em 30/01/2014 - 09:05h

kazz escreveu:

não deu certo, o client continua não pingando o servidor, muito menos a internet...


Bom. Vamos refazer tudo por partes.
Vou te passar a minha forma de fazer, ai você adapta ao seu modo.

1 - Editar o arquivo /etc/rc.local


sh /etc/init.d/firewall.sh

exit 0


2 - Criar o arquivo /etc/init.d/firewall.sh


#!/bin/sh -e

echo "# Limpando regras anteriores."
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle

echo "# Configuracao de interfaces."
IP_range=192.168.0.0/24 # Faixa de IP.
WAN_iface=eth0 # Conexao com a internet.
LAN_iface=eth1 # Conexao com a rede interna.

echo "1" > /proc/sys/net/ipv4/ip_forward

echo "# Mascaramento."
iptables -t nat -A POSTROUTING -s $IP_range -o $WAN_iface -j MASQUERADE

exit 0;



3 - Rode o seguinte comando para dar permissão ao arquivo de firewall


chmod +x /etc/init.d/firewall.sh


4 - Verifique se o seu arquivo /etc/network/interfaces esta configurado parecido com este:


# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.1.2
netmask 255.255.255.0
broadcast 192.168.1.255
gateway 192.168.1.200

# The secondary network interface
auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
broadcast 192.168.0.255


5 - Reinicie o seu servidor.

OBS: Neste modelo, a eth0 é a placa que recebe a internet e a eth1 e a que manda a internet para a rede local.
Faça assim, caso funcione, ai sim você passa para implementar mais detalhes no codigo do firewall.
Não esqueça de colocar ip fixo nas estações, pois você ainda não configurou o DHCP para que elas pequem ip dinamicamente.


5. clients não tem conectividade!

Eduardo Reichert
kazz

(usa Linux Mint)

Enviado em 30/01/2014 - 10:16h

sem conectividade ou ping, fiz exatamente o que escreveu, e continuo sem ping, uma dúvida, como ficaria a config da eth0 do meu client? o meu ficou assim:
auto eth0
iface eth0 inet static
address 10.0.0.2
netmask 255.255.255.0
broadcast 10.0.0.255



6. clients não tem conectividade!

Eduardo Reichert
kazz

(usa Linux Mint)

Enviado em 30/01/2014 - 10:45h

agora deu certo, consigo pingar no 10.0.0.1 que é a eth1 do servidor, mas estou sem conectividade no client, nem apt-get update


7. Re: clients não tem conectividade! [RESOLVIDO]

Diego Garcia
Diego-Garcia

(usa Linux Mint)

Enviado em 30/01/2014 - 14:10h

No servidor Linux tem acesso normal a internet?

faz um ping no servidor para um site ex: www.google.com.br e depois para um ip ex: 173.194.118.191

Como é tudo virtualizado, a eth0 precisa ser configurada como Bridge ou NAT.
Prefiro usar Bridge. Depois, a eth1 como Rede Interna. As estações todas como Rede Interna e todas com ip fixado.

Ex:


# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.1.2
netmask 255.255.255.0
broadcast 192.168.1.255
gateway 192.168.1.200



8. clients não tem conectividade!

Eduardo Reichert
kazz

(usa Linux Mint)

Enviado em 30/01/2014 - 16:33h

O ping pelo servidor está normal seja para google ou por ip, e os micros virtuais estão assim como disses, a eth0 do servidor está como bridge a eth 1 rede interna, e a eth0 do client esta como rede interna.
Fico na duvida sobre os route -n se fiz certo, se era necessário fazer, e como seria o correto.


9. clients não tem conectividade!

Eduardo Reichert
kazz

(usa Linux Mint)

Enviado em 31/01/2014 - 08:06h

galera é o seguinte, o meu clinet de ip 10.0.0.7 se conecta na eth1 do server 10.0.0.1 que este server tem a eth0 em 192.168.25.11, meu server tem conexão com a internet porem com o client eu consigo pingar a eth1 e eth0 do server porém não tenho conectividade, alguém pode me ajudar?


10. Re: clients não tem conectividade! [RESOLVIDO]

Diego Garcia
Diego-Garcia

(usa Linux Mint)

Enviado em 31/01/2014 - 08:06h

Bom dia Kazz

Poste por favor os arquivos:

/etc/network/interfaces
/etc/rc.local
/etc/init.d/firewall.sh

Me diga também qual a versão do seu Ubuntu.


11. clients não tem conectividade!

Eduardo Reichert
kazz

(usa Linux Mint)

Enviado em 31/01/2014 - 08:18h

ubuntu 12.04 LTS server 32 bit

/etc/network/interfaces

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.25.11
netmask 255.255.255.0
broadcast 192.168.25.255
gateway 192.168.25.1

# The secondary network interface
auto eth1
iface eth1 inet static
address 10.0.0.1
netmask 255.255.255.0
broadcast 10.0.0.255

/etc/rc.local

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

"obs: eu uso as config do firewall no /etc/rc.firewall e não no /etc/init.d/firewall.sh não sei se tem alguma diferença"
/etc/rc.firewall
#ifinternet "eth0"
#Configuração de rede WAN
#IP: 192.168.25.11
#Mascara: 255.255.255.0
#Gateway: 192.168.25.1
#iflocal "eth1"
#IP: 10.0.0.1
#Mascara: 255.255.255.0
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -s 10.0.0.0/24 -d 0/0 -j MASQUERADE
iptables -A INPUT -s 127.0.0.1 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -s 10.0.0.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j ACCEPT
iptables -A INPUT -s 10.0.0.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j RETURN
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 110 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 143 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 25 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 587 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 80 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 443 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 22 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 23 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p UDP -s 10.0.0.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 445 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 80 -j ACCEPT




12. Re: clients não tem conectividade! [RESOLVIDO]

Eduardo Reichert
kazz

(usa Linux Mint)

Enviado em 04/02/2014 - 08:52h

Diego-Garcia escreveu:

kazz escreveu:

não deu certo, o client continua não pingando o servidor, muito menos a internet...


Bom. Vamos refazer tudo por partes.
Vou te passar a minha forma de fazer, ai você adapta ao seu modo.

1 - Editar o arquivo /etc/rc.local


sh /etc/init.d/firewall.sh

exit 0


2 - Criar o arquivo /etc/init.d/firewall.sh


#!/bin/sh -e

echo "# Limpando regras anteriores."
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle

echo "# Configuracao de interfaces."
IP_range=192.168.0.0/24 # Faixa de IP.
WAN_iface=eth0 # Conexao com a internet.
LAN_iface=eth1 # Conexao com a rede interna.

echo "1" > /proc/sys/net/ipv4/ip_forward

echo "# Mascaramento."
iptables -t nat -A POSTROUTING -s $IP_range -o $WAN_iface -j MASQUERADE

exit 0;



3 - Rode o seguinte comando para dar permissão ao arquivo de firewall


chmod +x /etc/init.d/firewall.sh


4 - Verifique se o seu arquivo /etc/network/interfaces esta configurado parecido com este:


# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.1.2
netmask 255.255.255.0
broadcast 192.168.1.255
gateway 192.168.1.200

# The secondary network interface
auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
broadcast 192.168.0.255


5 - Reinicie o seu servidor.

OBS: Neste modelo, a eth0 é a placa que recebe a internet e a eth1 e a que manda a internet para a rede local.
Faça assim, caso funcione, ai sim você passa para implementar mais detalhes no codigo do firewall.
Não esqueça de colocar ip fixo nas estações, pois você ainda não configurou o DHCP para que elas pequem ip dinamicamente.


Diego-Garcia, muito obrigado cara, valeu, eu instalei um novo do zero com as suas dicas e funcionou, obrigado!




01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts