não pega as regras [RESOLVIDO]

1. não pega as regras [RESOLVIDO]

Eduardo Reichert
kazz

(usa Linux Mint)

Enviado em 04/02/2014 - 09:25h

galera é o seguinte se eu boto as regras na mão ele pega, já se eu modo no arquivo /etc/init.d/firewall.sh ele não pega, tanto que se eu bloquear a porta 80 ele continua navegando.


  


2. Re: não pega as regras [RESOLVIDO]

Daniel Lara Souza
danniel-lara

(usa Fedora)

Enviado em 04/02/2014 - 09:39h

posta ai o conteúdo do seu arquivo para podemos analisar


3. não pega as regras

Eduardo Reichert
kazz

(usa Linux Mint)

Enviado em 04/02/2014 - 10:05h

danniel-lara escreveu:

posta ai o conteúdo do seu arquivo para podemos analisar


#WAN eth0
#address 192.168.25.100
#netmask 255.255.255.0
#broadcast 192.168.25.255
#gateway 192.168.25.1

#LAN eth1
#adress 10.1.1.1
#netmask 255.255.255.0
#broadcast 10.1.1.255


iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP

#modo router
echo 1 > /proc/sys/net/ipv4/ip_forward

#conexao WAN
iptables -A POSTROUTING -t nat -s 10.1.1.0/24 -d 0/0 -j MASQUERADE

# trafego loopback
iptables -A INPUT -s 127.0.0.1 -d 0/0 -j ACCEPT


#liberar conexões relativas
iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

#Controle de ping icmp
iptables -A INPUT -s 10.1.1.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j ACCEPT
iptables -A INPUT -s 10.1.1.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j RETURN


#regras de nat para serviços:
#ssh
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 22 -j ACCEPT
#email
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 110 -j ACCEPT
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 143 -j ACCEPT
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 25 -j ACCEPT
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 587 -j ACCEPT
#ftp
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 21 -j ACCEPT
#telnet
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 23 -j ACCEPT
#http e https
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 80 -j DROP
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 443 -j DROP
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 8080 -j DROP

#regras para rede local
#samba
iptables -A INPUT -p UDP -s 10.1.1.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p TCP -s 10.1.1.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p TCP -s 10.1.1.0/24 -d 0/0 --dport 445 -j ACCEPT
#apache 80
iptables -A INPUT -p TCP -s 10.1.1.0/24 -d 0/0 --dport 80 -j ACCEPT
#ssh
iptables -A INPUT -p TCP -s 10.1.1.0/24 -d 0/0 --dport 22 -j ACCEPT




4. Re: não pega as regras [RESOLVIDO]

Pedro
px

(usa Debian)

Enviado em 04/02/2014 - 10:23h

kazz escreveu:

danniel-lara escreveu:

posta ai o conteúdo do seu arquivo para podemos analisar


#WAN eth0
#address 192.168.25.100
#netmask 255.255.255.0
#broadcast 192.168.25.255
#gateway 192.168.25.1

#LAN eth1
#adress 10.1.1.1
#netmask 255.255.255.0
#broadcast 10.1.1.255


iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP

#modo router
echo 1 > /proc/sys/net/ipv4/ip_forward

#conexao WAN
iptables -A POSTROUTING -t nat -s 10.1.1.0/24 -d 0/0 -j MASQUERADE

# trafego loopback
iptables -A INPUT -s 127.0.0.1 -d 0/0 -j ACCEPT


#liberar conexões relativas
iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

#Controle de ping icmp
iptables -A INPUT -s 10.1.1.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j ACCEPT
iptables -A INPUT -s 10.1.1.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j RETURN


#regras de nat para serviços:
#ssh
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 22 -j ACCEPT
#email
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 110 -j ACCEPT
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 143 -j ACCEPT
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 25 -j ACCEPT
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 587 -j ACCEPT
#ftp
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 21 -j ACCEPT
#telnet
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 23 -j ACCEPT
#http e https
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 80 -j DROP
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 443 -j DROP
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 8080 -j DROP

#regras para rede local
#samba
iptables -A INPUT -p UDP -s 10.1.1.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p TCP -s 10.1.1.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p TCP -s 10.1.1.0/24 -d 0/0 --dport 445 -j ACCEPT
#apache 80
iptables -A INPUT -p TCP -s 10.1.1.0/24 -d 0/0 --dport 80 -j ACCEPT
#ssh
iptables -A INPUT -p TCP -s 10.1.1.0/24 -d 0/0 --dport 22 -j ACCEPT



Você colocou a entrada /etc/init.d/firewall.sh no arquivo do seu rc.conf?? ele só executa uma vez o script na inicialização se autera-lo após o boot só no outro que iriam ser aplicadas as regras.

Deve-se dar permição de execução e permição de acesso também:

chmod +x /etc/init.d/firewall.sh

chmod 755 /etc/init.d/firewall.sh

Tem erro de sintaxe ai, é tcp minusculo não TCP... mesma coisa pra UDP


5. Re: não pega as regras [RESOLVIDO]

Roberto Costa
asparion

(usa Ubuntu)

Enviado em 04/02/2014 - 10:28h

Bom dia, nem sei como que ta funcionando essas suas regras ai com TCP e UDP todos maiusculo.

usa dessa forma bem melhor.


modprobe iptable_nat
modprobe iptable_mangle
modprobe iptable_filter

iptables -N PORTAS

iptables -I INPUT -j PORTAS
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

iptables -I OUTPUT -j PORTAS
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -I FORWARD -j PORTAS
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A PORTAS -m state --state RELATED,ESTABLISHED -j ACCEPT

#Controle de ping icmp
iptables -A PORTAS -s 10.1.1.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j ACCEPT
iptables -A PORTAS -s 10.1.1.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j RETURN

#regras de liberacao de portas para serviços:
# ssh
iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 22 -j ACCEPT

# email
iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 110 -j ACCEPT
iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 143 -j ACCEPT
iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 25 -j ACCEPT
iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 587 -j ACCEPT

# ftp
iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 21 -j ACCEPT

# telnet
iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 23 -j ACCEPT

# http e https
iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 80 -j DROP
iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 443 -j DROP
iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 8080 -j DROP

# regras para rede local
# samba
iptables -A PORTAS -p udp -s 10.1.1.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A PORTAS -p tcp -s 10.1.1.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A PORTAS -p tcp -s 10.1.1.0/24 -d 0/0 --dport 445 -j ACCEPT

# modo router
echo 1 > /proc/sys/net/ipv4/ip_forward

# conexao WAN
iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -d 0/0 -j MASQUERADE


bem mais organizado

salva o arquivo em /etc


iptables-save > /etc/iptables

e coloca ele para subir com a rede na inicialização bem melhor

adiciona no final do arquivo /etc/network/interfaces a linha abaixo

pre-up iptables-restore < /etc/iptables


eu uso centos nao preciso disso, mas no ubuntu eu acho essa opção bem mais facil

obs: note que INPUT OUTPUT e FORWARD estao todas com jump para a chain PORTAS, sendo assim voce so adiciona novas regras em PORTAS que ela ja atribui as chains INPUT, FORWARD e OUTPUT..

Abraçs




6. não pega as regras

Eduardo Reichert
kazz

(usa Linux Mint)

Enviado em 04/02/2014 - 11:22h

valeu ai pessoal realmente era problema de sintaxe e botar no rc.local para iniciar, muito obrigado, estou aprendendo, valeu ai


7. Re: não pega as regras [RESOLVIDO]

Pedro
px

(usa Debian)

Enviado em 04/02/2014 - 18:46h

asparion escreveu:

eu uso centos nao preciso disso, mas no ubuntu eu acho essa opção bem mais facil




Me tira uma dúvidazinha o CentOS ta usando o Systemd também??






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts