não pega as regras [RESOLVIDO]

kazz
(usa Linux Mint)

Enviado em 04/02/2014 - 09:25h

galera é o seguinte se eu boto as regras na mão ele pega, já se eu modo no arquivo /etc/init.d/firewall.sh ele não pega, tanto que se eu bloquear a porta 80 ele continua navegando.

danniel-lara
(usa Fedora)

Enviado em 04/02/2014 - 09:39h

posta ai o conteúdo do seu arquivo para podemos analisar

kazz
(usa Linux Mint)

Enviado em 04/02/2014 - 10:05h

#WAN eth0
#address 192.168.25.100
#netmask 255.255.255.0
#broadcast 192.168.25.255
#gateway 192.168.25.1

#LAN eth1
#adress 10.1.1.1
#netmask 255.255.255.0
#broadcast 10.1.1.255


iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP

#modo router
echo 1 > /proc/sys/net/ipv4/ip_forward

#conexao WAN
iptables -A POSTROUTING -t nat -s 10.1.1.0/24 -d 0/0 -j MASQUERADE

# trafego loopback
iptables -A INPUT -s 127.0.0.1 -d 0/0 -j ACCEPT


#liberar conexões relativas
iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

#Controle de ping icmp
iptables -A INPUT -s 10.1.1.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j ACCEPT
iptables -A INPUT -s 10.1.1.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j RETURN


#regras de nat para serviços:
#ssh
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 22 -j ACCEPT
#email
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 110 -j ACCEPT
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 143 -j ACCEPT
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 25 -j ACCEPT
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 587 -j ACCEPT
#ftp
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 21 -j ACCEPT
#telnet
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 23 -j ACCEPT
#http e https
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 80 -j DROP
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 443 -j DROP
iptables -A FORWARD -s 10.1.1.0/24 -p tcp -d 0/0 --dport 8080 -j DROP

#regras para rede local
#samba
iptables -A INPUT -p UDP -s 10.1.1.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p TCP -s 10.1.1.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p TCP -s 10.1.1.0/24 -d 0/0 --dport 445 -j ACCEPT
#apache 80
iptables -A INPUT -p TCP -s 10.1.1.0/24 -d 0/0 --dport 80 -j ACCEPT
#ssh
iptables -A INPUT -p TCP -s 10.1.1.0/24 -d 0/0 --dport 22 -j ACCEPT

px
(usa Debian)

Enviado em 04/02/2014 - 10:23h

Você colocou a entrada /etc/init.d/firewall.sh no arquivo do seu rc.conf?? ele só executa uma vez o script na inicialização se autera-lo após o boot só no outro que iriam ser aplicadas as regras.

Deve-se dar permição de execução e permição de acesso também:

chmod +x /etc/init.d/firewall.sh

chmod 755 /etc/init.d/firewall.sh

Tem erro de sintaxe ai, é tcp minusculo não TCP... mesma coisa pra UDP

asparion
(usa Ubuntu)

Enviado em 04/02/2014 - 10:28h

Bom dia, nem sei como que ta funcionando essas suas regras ai com TCP e UDP todos maiusculo.

usa dessa forma bem melhor.

modprobe iptable_nat

modprobe iptable_mangle

modprobe iptable_filter



iptables -N PORTAS



iptables -I INPUT -j PORTAS

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT



iptables -I OUTPUT -j PORTAS

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT



iptables -I FORWARD -j PORTAS

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT



iptables -A PORTAS -m state --state RELATED,ESTABLISHED -j ACCEPT



#Controle de ping icmp

iptables -A PORTAS -s 10.1.1.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j ACCEPT

iptables -A PORTAS -s 10.1.1.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j RETURN



#regras de liberacao de portas para serviços:

# ssh

iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 22 -j ACCEPT



# email

iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 110 -j ACCEPT

iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 143 -j ACCEPT

iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 25 -j ACCEPT

iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 587 -j ACCEPT



# ftp

iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 21 -j ACCEPT



# telnet

iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 23 -j ACCEPT



# http e https

iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 80 -j DROP

iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 443 -j DROP

iptables -A PORTAS -s 10.1.1.0/24 -p tcp -d 0/0 --dport 8080 -j DROP



# regras para rede local

# samba

iptables -A PORTAS -p udp -s 10.1.1.0/24 -d 0/0 --dport 137:139 -j ACCEPT

iptables -A PORTAS -p tcp -s 10.1.1.0/24 -d 0/0 --dport 137:139 -j ACCEPT

iptables -A PORTAS -p tcp -s 10.1.1.0/24 -d 0/0 --dport 445 -j ACCEPT



# modo router

echo 1 > /proc/sys/net/ipv4/ip_forward



# conexao WAN

iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -d 0/0 -j MASQUERADE

 

bem mais organizado

salva o arquivo em /etc

iptables-save > /etc/iptables 

e coloca ele para subir com a rede na inicialização bem melhor

adiciona no final do arquivo /etc/network/interfaces a linha abaixo

pre-up iptables-restore < /etc/iptables 

eu uso centos nao preciso disso, mas no ubuntu eu acho essa opção bem mais facil

obs: note que INPUT OUTPUT e FORWARD estao todas com jump para a chain PORTAS, sendo assim voce so adiciona novas regras em PORTAS que ela ja atribui as chains INPUT, FORWARD e OUTPUT..

Abraçs

kazz
(usa Linux Mint)

Enviado em 04/02/2014 - 11:22h

valeu ai pessoal realmente era problema de sintaxe e botar no rc.local para iniciar, muito obrigado, estou aprendendo, valeu ai

px
(usa Debian)

Enviado em 04/02/2014 - 18:46h

Me tira uma dúvidazinha o CentOS ta usando o Systemd também??