iptables bloqueando tudo [RESOLVIDO]

1. iptables bloqueando tudo [RESOLVIDO]

Eliseu Diniz Felix
felixdinizz

(usa Ubuntu)

Enviado em 10/04/2014 - 15:36h

Prezados,
Estou tentando configurar o iptables na empresa onde trabalho para aumentar o nível de segurança, mas as regras que adicionei não está funcionando coloquei as políticas padrão como DROP e vou liberando as portas que preciso que são: (http, https, dns, dhcp, pop, smtp e ssh). Mesmo liberando nada funciona (tudo bloqueado).

Se alguém tiver uma sugestão, agradeço.

placa de rede interna: eth1 ip fixo "192.168.1.254" (ligada no meu switch)
placa de rede externa: eth0 ip dinâmico (ligada no modem/roteador com dhcp ativado)


#!/bin/bash

iniciar(){
#Limpa regras
iptables -X
iptables -F
iptables -t nat -F

# Politicas padrao
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Compartilha a conexao com a internet
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#libera pacotes de retorno da internet
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

#Liberando porta http
iptables -A FORWARD -s 192.168.1.0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

#Liberando porta SQUID
iptables -A FORWARD -s 192.168.1.0 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 3128 -j ACCEPT

#Liberando a porta https
iptables -A FORWARD -s 192.168.1.0 -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

#Liberando a portas POP3 e SMTP
iptables -A FORWARD -s 192.168.1.0 -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 587 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT

#Liberando a porta SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

#CONECTIVIDADE SOCIAL
iptables -A OUTPUT -p tcp --dport 2631 -j ACCEPT

#Liberando DHCP
iptables -A OUTPUT -p tcp --dport 67 -j ACCEPT

#Liberando o DNS
iptables -A FORWARD -s 192.168.1.0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0 -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT

#Gerando os logs do Iptables
#iptables -A INPUT -p tcp -j LOG
}
parar(){
echo Limpando as tabelas e Chains
iptables -F
iptables -F -t nat
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -t mangle -F
iptables -t nat -F
iptables -X
echo Limpeza das Tabelas ..... [ok]
}
case "$1" in
"start") iniciar ;; "stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parametros start ou stop"
esac



  


2. MELHOR RESPOSTA

André Canhadas
andrecanhadas

(usa Debian)

Enviado em 10/04/2014 - 23:22h

Veja aqui:

-s 192.168.1.0


?????
quem é 192.168.1.0 ? se sua intenção era liberar para toda a rede deveria ser:

-s 192.168.1.0/24


E isto em todas as linhas que deixou -s 192.168.1.0

3. Re: iptables bloqueando tudo [RESOLVIDO]

Marcio
ZeroTrinta1

(usa Red Hat)

Enviado em 10/04/2014 - 20:33h

Hey man, tente tirar esse comando iniciar(){} e o parar tbm !



Deixe isso para proxima versão.
Verifique as regras #iptables -S
#iptables -n -L -v


Verifique aos erros após rodar o script novamente
$dmesg


4. Re: iptables bloqueando tudo [RESOLVIDO]

Carlos Alberto de Souza Barbosa
souzacarlos

(usa Outra)

Enviado em 10/04/2014 - 22:31h

Boa noite, complementando o amigo acima, creio que vc não entendeu bem oq está fazendo certo? Associando regra de FORWARD com OUTPUT, faz o seguinte adiciona essa linha aqui..

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

vc também pode tirar o -tcp de:

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT



Se não gerar resultado vc remove oq o amigo pediu pra fazer...

aguardo.