Firewall bloqueando aplicativos

1. Firewall bloqueando aplicativos

kakashi963
(usa Debian)

Enviado em 17/04/2011 - 18:21h

Boa tarde.

gente, seguinte, meu firewall está bloqueando todos os meus aplicativos.
Aqui utilizo vários aplicativos que se conectam a servidores em algumas portas, que são:
10009
10060
10080

Liberei as portas no firewall, mas não consigo acessar mesmo assim.
Meu iptables:

iniciar(){
##### Carregando modulos
modprobe iptable_nat
modprobe ipt_LOG
echo "LEVANTANDO FIREWALL"
echo "O log do iptables se encontra no arquivo /var/log/messages"

##### Compartilhando a conexao
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -I PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j LOG --log-prefix "Acesso a http: "
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -i lo -j ACCEPT

echo "LIBERANDO PORTAS...."
##### Portas abertas
iptables -I INPUT -p tcp --dport 22 -j LOG --log-prefix " Acesso a ssh: "
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -I INPUT -p tcp --dport 10081 -j LOG --log-prefix "Acesso a porta 10081: "
iptables -A INPUT -p tcp --dport 10081 -j ACCEPT
iptables -I INPUT -p tcp --dport 10009 -j LOG --log-prefix "Acesso a porta 10009: "
iptables -A INPUT -p tcp --dport 10009 -j ACCEPT
iptables -I INPUT -p tcp --dport 10060 -j LOG --log-prefix "Acesso a porta 10060: "
iptables -A INPUT -p tcp --dport 10060 -j ACCEPT
iptables -I INPUT -p tcp --dport 139 -j LOG --log-prefix "Acesso a porta 139: "
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -I INPUT -p tcp --dport 137 -j LOG --log-prefix "Acesso a porta 137: "
iptables -A INPUT -p tcp --dport 137 -j ACCEPT
iptables -I INPUT -p tcp --dport 9100 -j LOG --log-prefix "Acesso a porta 9100 unicom: "
iptables -A INPUT -p tcp --dport 9100 -j ACCEPT

echo "FEITO"

echo "LIBERANDO REGRAS GERAIS DE OUTPUT..."
##### Regras gerais para output
iptables -I OUTPUT -j LOG --log-prefix "Saida Liberada: "
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 10060 -j ACCEPT
echo "FEITO"

echo "LIBERANDO HTTPS..."
iptables -A FORWARD -i eth1 -p tcp --dport 443 -j LOG --log-prefix "Saida HTTPS: "
iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT

echo "FEITO"

echo "LIBERANDO REDE LOCAL..."
##### Abre para rede local
iptables -I INPUT -p tcp --syn -s 192.168.0.0/24 -j LOG --log-prefix "Liberando rede interna: "
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

echo "FEITO"

echo "MANTENDO CONEXOES..."
##### Mantendo conexao
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

echo "FEITO"

echo "REGRAS DE FORWARD..."
iptables -I FORWARD -s 0/0 -d 0/0 -m tcp -m multiport -p tcp --dports 135,445 -j LOG --log-prefix "Portas 445 e 135 bloqueadas: "
iptables -A FORWARD -s 0/0 -d 0/0 -m tcp -m multiport -p tcp --dports 135,445 -j DROP

echo "FEITO"
echo "LIBERANDO SMTP E POP..."
iptables -A FORWARD -p tcp -m multiport --dport 25,110 -j ACCEPT
iptables -A POSTROUTING -t nat -p tcp -m multiport --dport 25,110 -o eth1 -j MASQUERADE

echo "FEITO"

echo "FECHANDO ICMP..."

##### Fechando ICMP
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo "FEITO"

echo "FECHANDO ORIGENS DESCONHECIDAS..."

##### Fechando origens desconhecidas
iptables -I INPUT -p ALL -s 109.230.220.33 -j DROP
iptables -I INPUT -p ALL -s 118.160.210.106 -j DROP
iptables -I INPUT -p ALL -s 94.178.94.147 -j DROP
iptables -I INPUT -p ALL -s 122.124.157.157 -j DROP
iptables -I INPUT -p ALL -s 93.63.185.90 -j DROP
iptables -I INPUT -p ALL -s 210.216.169.105 -j DROP
iptables -I INPUT -p ALL -s 175.180.183.42 -j DROP
iptables -I OUTPUT -p ALL -s 109.230.220.33 -j DROP
iptables -I OUTPUT -p ALL -s 210.216.169.105 -j DROP
iptables -I OUTPUT -p ALL -s 93.63.185.90 -j DROP
iptables -I OUTPUT -p ALL -s 118.160.210.106 -j DROP
iptables -I OUTPUT -p ALL -s 94.178.94.147 -j DROP
iptables -I OUTPUT -p ALL -s 122.124.157.157 -j DROP
iptables -I OUTPUT -p ALL -s 175.180.183.42 -j DROP
iptables -I INPUT -p ALL -s 200.205.146.54 -j LOG --log-prefix "Acesso ao funcional card: "
iptables -A INPUT -p ALL -s 200.205.146.54 -j ACCEPT
iptables -I OUTPUT -p ALL -s 200.205.146.54 -j LOG --log-prefix "Saida para funcional card: "
iptables -A OUTPUT -p ALL -s 200.205.146.54 -j ACCEPT

echo "FEITO"

echo "FECHANDO UDP.."

##### Fechando portas UDP
iptables -A INPUT -p udp --dport 0:1023 -j DROP

echo "FEITO"

echo "FECHANDO TODO O RESTO..."

##### Fecha todo o resto
iptables -I INPUT -p tcp --syn -j LOG --log-prefix "portas bloqueadas: "
iptables -A INPUT -p tcp --syn -j DROP
echo "FEITO"
}

parar(){
iptables -F
iptables -F -t nat
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parametros start, stop ou restart"
esac

0 0

Quote

2. Re: Firewall bloqueando aplicativos

Diede
(usa Debian)

Enviado em 17/04/2011 - 23:06h

Só lembrando que a chain INPUT é para os pacotes cujo DESTINO é o servidor firewall no qual as regras rodam.
Se entendi bem, os servidores a qual seus aplicativos conectam estão na internet, certo?
Se a resposta for sim, você usará as chains FORWARD (para que as máquinas da sua rede tenham acesso) e OUTPUT (para que o próprio servidor tenha acesso).

No caso as regras seriam:
iptables -A FORWARD -p tcp --dport porta -j ACCEPT
iptables -A OUTPUT -p tcp --dport porta -j ACCEPT

Onde "porta" será substituído por 10009, 10060 e 10080, gerando assim 6 regras diferentes.

0 0

Quote