Liberando o acesso à net

tacitoregis
(usa Ubuntu)

Enviado em 06/12/2011 - 18:42h

Boa noite meus amigos do linux.
Me ajudem.

Seguinte: tenho um firewall dist ubuntu 10.04 lts.
Estou montando uma configuração de firewall.. fiz o seguinte.

iptables -P INPUT DROP
daí saí liberando uma série de portas... mas quando eu coloquei o squid p rodar e fiz o direcionamento da porta 80 para a 3128 não funcionou mais a net. Porém o msn e skype conectam normal, mas nao abre a página... acredito q seja algo relacionado a dns, mas o pior é ki eu fiz:
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

e mesmo assim não funcionou... alguém pode me ajudar??
Espero respostas o quanto antes.

abraços!!!

danniel-lara
(usa Fedora)

Enviado em 06/12/2011 - 18:50h

coloque
iptables -P INPUT ACCEPT

e testa

tacitoregis
(usa Ubuntu)

Enviado em 06/12/2011 - 18:57h

Parceiro.. assim dá certo.. mas eu não quero ki a política seja ACCEPT.. EU prefiro barrar tudo para depois fazer a liberação daquilo q realmente eu vou precisar na minha rede, pois assim com ACCEPT eu posso me esquecer de dropar alguma porta indesejada.
Se você ou outra pessoa tiver alguma solução por favor poste aqui!!

viniciospbi
(usa Debian)

Enviado em 06/12/2011 - 19:30h

Você liberou a porta 80 e a 443?

nicolas.cb
(usa Debian)

Enviado em 06/12/2011 - 20:21h

Digita no terminal iptables -L -n, e cola aqui :)

renato_pacheco
(usa Debian)

Enviado em 06/12/2011 - 22:32h

Neste caso, faltou vc liberar a porta 3128:

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT

 

tacitoregis
(usa Ubuntu)

Enviado em 07/12/2011 - 08:59h

Bom dia amigos.. Estas são as minhas políticas já liberadas.. mas lembrando q quando ponho p o squid gerenciar td a net n funciona. e a porta do squid está liberada, postem aí alguma ajuda. vlw

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT icmp -- 0.0.0.0/0 192.168.53.2
DROP icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:3128
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8139
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:9000
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389

Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 tcpmss match 1400:1536 TCPMSS clamp to PMTU

saitam
(usa Slackware)

Enviado em 07/12/2011 - 09:42h

o que vc precisa é liberar no OUTPUT (o que sai da máquina)
iptables -P OUTPUT ACCEPT

INPUT, FORWARD pode estar em DROP, mas OUTPUT deve estar em ACCEPT, pois é o tráfego que sai do servidor)

Experimenta colocar DROP no INPUT,FORWARD,OUTPUT, verá que nem o servidor conseguirá acessar internet, por causa do DROP em OUTPUT.
Em seguida coloque apenas ACCEPT no OUTPUT.

Pensa assim:
INPUT o que é entra no servidor
OUTPUT o que sai do servidor
FORWARD o que atravessa o servidor (ponte)

tacitoregis
(usa Ubuntu)

Enviado em 07/12/2011 - 10:10h

Meu caro Saitam,

Entendi sua analogia e te agradeço por isto.
Mas gostaria de informá-lo que a cadeia OUTPUT está com a política ACCEPT, a única cadeia de eu alterei foi a INPUT para DROP, ainda alterarei as cadeias FORWARD e OUTPUT, mas num outro momento, portanto a OUTPUT está ACCEPT mas mesmo assim as estações não funcionam. Se puderes me ajudar, te agradeço!!!

saitam
(usa Slackware)

Enviado em 07/12/2011 - 10:31h

Ok, e na estação definiu o gw apontando o ip do servidor e o DNS(ex: Google - 8.8.8.8/8.8.4.4)?

A estação obtém resposta de ping do servidor e vice-versa?
Qual é sua rota?
#route -nv

tacitoregis
(usa Ubuntu)

Enviado em 07/12/2011 - 10:42h

Bom na minha estação eu não coloco ip fixo, mas o meu dhcp informa os dns certinho. segue a minha rota

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
200.217.19.112 0.0.0.0 255.255.255.252 U 0 0 0 eth1
192.168.53.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 200.217.19.113 0.0.0.0 UG 100 0 0 eth1


Abraços

saitam
(usa Slackware)

Enviado em 07/12/2011 - 11:10h

Analisando a rota podemos dizer que:
eth1 é de conexão(internet) e eth0 da rede(intranet)

Com base dessa informação, já add essa regra no script de firewall?
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE