Dúvidas iptables [RESOLVIDO]

mshonorato
(usa Debian)

Enviado em 12/02/2009 - 15:15h

Boa tarde!

Desenvolvi um script iptables bloqueando tudo e liberei somente a porta 80 e 22, pq o msn conecta normalmente?

O MSN não teria que estar bloqueado?

O bloqueio e liberação foram feitos assim:

#----SETA POLITICAS-----
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

#----INPUT-----
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -s $REDE -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#----FORWARD-----
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -s $REDE -j ACCEPT

#----NAT------
$IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE

jesmarcelo
(usa CentOS)

Enviado em 12/02/2009 - 15:20h

Vc está liberando todas as portas no forward.... tenta liberarar somente as portas 80 e 22....

rrafael
(usa Debian)

Enviado em 12/02/2009 - 15:24h

No FORWARD faz assim

Tira essa
$IPTABLES -A FORWARD -s $REDE -j ACCEPT

deixa essa
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

mshonorato
(usa Debian)

Enviado em 12/02/2009 - 15:36h

Mas se eu tirar a linha:

$IPTABLES -A FORWARD -s $REDE -j ACCEPT

A rede vai ficar sem internet...

jesmarcelo
(usa CentOS)

Enviado em 12/02/2009 - 15:43h

Substitui a linha:

$IPTABLES -A FORWARD -s $REDE -p tcp -j ACCEPT

por:

$IPTABLES -A FORWARD -s $REDE -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -s $REDE -p tcp --dport 22 -j ACCEPT

mshonorato
(usa Debian)

Enviado em 12/02/2009 - 16:11h

Boa, funcionou camaradas...

Desculpem a ignorância, é que estou aprendendo iptables há umas 2 semanas...

Valew

mshonorato
(usa Debian)

Enviado em 12/02/2009 - 16:12h

Agora qual a porta para eu liberar o MSN?

valew

ST. RaLF
(usa Arch Linux)

Enviado em 12/02/2009 - 17:09h

Porta 1863.

mshonorato
(usa Debian)

Enviado em 13/02/2009 - 09:43h

Xiii, na verdade minha porta 80 e 22 não estão liberadas...

Não está funcionando...

vejam:

echo "Ativando as Regras de Firewall..."
echo
echo

IPTABLES="/usr/sbin/iptables"

#----INTERFACE DE REDE----
WAN="eth0"
LAN="eth1"
WIRELESS="wlan0"
REDE="10.1.0.0/24"

#----MAQUINAS-----
FIREWALL="10.1.0.1"
MARCOS="10.1.0.10"

#----MODULOS-----
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_tables
modprobe ipt_MASQUERADE
modprobe ipt_state
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_REJECT

#----LIMPA TABELA NAT-----
$IPTABLES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t nat -Z
$IPTABLES -t nat -F POSTROUTING
$IPTABLES -t nat -F PREROUTING

#----LIMPA REGRAS-----
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD

#----SETA POLITICAS-----
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

#----INPUT-----
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -s $REDE -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 1863 -j ACCEPT
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#----FORWARD-----
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -s $MARCOS -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -s $MARCOS -p tcp --dport 22 -j ACCEPT
$IPTABLES -A FORWARD -s $MARCOS -p tcp --dport 1863 -j ACCEPT

#----NAT------
$IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE

#----ROTEAMENTO----
echo 1 > /proc/sys/net/ipv4/ip_forward

echo "Regras de Firewall Ativadas com Sucesso!!"

# EOF

eduardo
(usa Linux Mint)

Enviado em 13/02/2009 - 09:52h

Bom dia amigo,

As portas 80 e 22 irão funcionar apenas para o MARCOS, pois você liberou apenas para ele. Você precisa liberar para a REDE também, com as mesmas regras.


Abraços

mshonorato
(usa Debian)

Enviado em 13/02/2009 - 10:14h

Sim, liberei as portas apenas para o MARCOS, mas o MARCOS não consegue navegar.

Acho que falta alguma coisa...

eduardo
(usa Linux Mint)

Enviado em 13/02/2009 - 10:22h

Faça o seguinte, monitore a máquina dele com tcpdump, assim você verá o que ele tenta acessar.

tcpdump -i eth1 -n host ip_do_cara

Você não tem squid nessa rede, né?

Abraços.