Ajuda iptables! [RESOLVIDO]

1. Ajuda iptables! [RESOLVIDO]

thimedeal
(usa Debian)

Enviado em 07/07/2009 - 16:39h

Pessoal sei que voces ja devem estar cheios de responderem esses topicos, mais nao to conseguindo fazer esse iptables funcionar.. nao sei se esta faltando regras ou algo esta no lugar errado. sou totalmente leigo nessa parte estou lendo um monte para entender.. mais eu nao estou conseguindo achar uma resposta para o problemas.
Peço desculpa por isso e tambem peço a ajuda de voces.

Estou querendo montar um iptables bom, pratico e facil de configurar.
Se voces puderem me ajudar.

Segue as minhas configuraçoes.

#!/bin/bash
INET_IFACE="eth0"
IPT="/sbin/iptables"

# Localhost Interface

LO_IFACE="lo"
LO_IP="127.0.0.1"

#Libera Roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward

$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t mangle -P PREROUTING ACCEPT
$IPT -t mangle -P OUTPUT ACCEPT

$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Allow all on localhost interface
$IPT -A INPUT -p ALL -i $LO_IFACE -j ACCEPT

# Localhost
$IPT -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPT -A OUTPUT -p ALL -o $LO_IFACE -j ACCEPT

#SSH Firewall
$IPT -A FORWARD -p tcp --dport 9922 -j ACCEPT

# sshd e no-ip
$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 9922 -j ACCEPT
$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 8245 -j ACCEPT
$IPT -A tcp_outbound -p TCP -s 0/0 --destination-port 8245 -j ACCEPT

#Libera Ip
/etc/fw/liberaip.sh

#Msn-Proxy
$IPT -t nat -A PREROUTING -i eth1 -p tcp --dport 1863 -j REDIRECT --to-port 1863
$IPT -A INPUT -i eth0 -p tcp -s 192.168.0.0/255.255.255.0 --dport 25000:30000 -j ACCEPT

#NAT

#SSH - Banco de Dados
$IPT -t nat -A PREROUTING -p tcp -i $INET_IFACE --destination-port 9920 -j DNAT --to-destination 192.168.0.253:9920

#Terminal Server 2003 - KNT
$IPT -t nat -A PREROUTING -p tcp -i $INET_IFACE --destination-port 3389 -j DNAT --to-destination 192.168.0.252:3389

#SSH - Samba KNT
$IPT -t nat -A PREROUTING -p tcp -i $INET_IFACE --destination-port 9921 -j DNAT --to-destination 192.168.0.250:9921

#SSH - TS Monitor
$IPT -t nat -A PREROUTING -p tcp -i $INET_IFACE --destination-port 9022 -j DNAT --to-destination 192.168.0.1:22

#Ts Monitor - Servidor 2003
$IPT -t nat -A PREROUTING -p tcp -i $INET_IFACE --destination-port 9023 -j DNAT --to-destination 192.168.0.1:3389

#Emule
$IPT -t nat -A PREROUTING -p tcp -i $INET_IFACE --destination-port 20449 -j DNAT --to-destination 192.168.0.79:20449
$IPT -t nat -A PREROUTING -p udp -i $INET_IFACE --destination-port 10805 -j DNAT --to-destination 192.168.0.79:10805

#Torrent
$IPT -t nat -A PREROUTING -p tcp -i $INET_IFACE --destination-port 45659:45659 -j DNAT --to-destination 192.168.0.79:45659

**Libera ip funciona assim
#!/bin/bash
IPT="/sbin/iptables"
for cx in `cat /etc/fw/ips`
do
$IPT -t nat -A PREROUTING -i eth0 -p tcp -d ! $cx --dport 80 -j REDIRECT --to-port 3128
$IPT -t nat -A POSTROUTING -o eth1 -j MASQUERADE
$IPT -I FORWARD -s 192.168.0.0/24 -d 200.201.174.207 -j ACCEPT
$IPT -I FORWARD -s 200.201.174.207 -d 192.168.0.0/24 -j ACCEPT
done

** A minha placa de rede que sai pra internet é a ETH0 e a rede internet é ETH1.
**Minha internet é da GVT de 10MB.

desculpe a minha falta de entendimento neste assunto.
Obrigado..e peço a ajuda de todos.
Thiago Medeiros.

0 0

Quote

2. Re: Ajuda iptables! [RESOLVIDO]

gesousa
(usa Ubuntu)

Enviado em 07/07/2009 - 20:28h

Pelo que vi seu erro é meio basico.

Primeiro é a ordem da politica e da função de limpesas...
As Regras de Limpezas deve sempre ser a primeira a ser chamada no script.

Segundo é que a sua politica padrão devia ser negar tudo e liberar somente o que fosse especificado nas regras de baixo, no caso a sua politica padrão está liberar tudo, deixando as regras que vc criou sem sentido.

O certo é utilizar DROP no lugar do ACCEPT. Além é claro da varialvel -j (job) que faltou...

Ficaria assim:

# Limpar Regras de Iptables

$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

#Politicas Padrões

$IPT -P INPUT -j DROP
$IPT -P FORWARD -j DROP
$IPT -P OUTPUT -j DROP
$IPT -t nat -P PREROUTING -j DROP
$IPT -t nat -P POSTROUTING -j DROP
$IPT -t nat -P OUTPUT -j DROP
$IPT -t mangle -P PREROUTING -j DROP
$IPT -t mangle -P OUTPUT -j DROP

0 0

Quote