CHEGA - alguem me ajuda com meu firewall?

raschadeck
(usa Ubuntu)

Enviado em 26/08/2011 - 08:30h

Cara, serio mesmo ta virando dor de cabeça isso daqui, meu firewall, volta e meia tenho q desativa-lo pq o pessoal nao pode trabalhar ele trava tudo praticamente...
O diretor ja ta me pressionando e eu realmente nao sei mais o q fazer... ja estou com meu iptables com politicas ACPT ACPT ACPT em tudo e ainda assim ele volta e meia trava algumas portas...
eu trabalho so demanha na empresa e as vezes ocorre no periodo da tarde e atrasa TUDO aqui... pq o problema so eh solucionado qndo eu limpo todas as tabelas do iptables e depois mando rodar o firewall.sh denovo...


vou postar o meu firewall.sh aqui, deem uma olhada por favor e me ajuuudem por favooor.


"
## Ativando compartilhamento de internet
echo "Ativando compartilhamento de internet"
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Compartilhamento ativado"

#==================#

### Interfaces de rede
INT=eth1
EXT=eth0

#==================#

### Mensagem de inicialização do Firewall
/sbin/modprobe ip_nat_ftp
/sbin/modprobe iptable_nat
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe ipt_state
/sbin/modprobe ipt_multiport
/sbin/modprobe ipt_tos
/sbin/modprobe ipt_limit


iptables -F INPUT
iptables -P INPUT ACCEPT
iptables -F OUTPUT
iptables -P OUTPUT ACCEPT
iptables -F FORWARD
iptables -P FORWARD ACCEPT
iptables -t nat -F


iptables -t nat -A PREROUTING -p tcp --dport 20 -j DNAT --to 10.1.1.254:20
iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to 10.1.1.254:21

iptables -t nat -I PREROUTING -i $INT -m tcp -p tcp -d 200.201.173.0/255.255.255.0 --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -i $INT -m tcp -p tcp -d 200.201.174.0/255.255.255.0 --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -i $INT -m tcp -p tcp -d 200.201.166.0/255.255.255.0 --dport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -s 0.0.0.0 -d 200.201.174.0/255.255.255.0 -j MASQUERADE
iptables -t nat -A POSTROUTING -d 0.0.0.0 -s 200.201.174.0/255.255.255.0 -j MASQUERADE

iptables -I FORWARD -s 0.0.0.0 -d 200.201.174.0/255.255.255.0 -j ACCEPT
iptables -I FORWARD -d 0.0.0.0 -s 200.201.174.0/255.255.255.0 -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT

#iptables -t nat -A PREROUTING -i $INT -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -A INPUT -p tcp -m tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.173.68 --dport 80 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT

#==================#

iptables -A FORWARD -p TCP --dport 3389 -j ACCEPT
iptables -A FORWARD -p UDP --dport 3389 -j ACCEPT

iptables -A FORWARD -p TCP --dport 110 -j ACCEPT
iptables -A FORWARD -p UDP --dport 110 -j ACCEPT

iptables -A FORWARD -p TCP --dport 25 -j ACCEPT
iptables -A FORWARD -p UDP --dport 25 -j ACCEPT

iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp --dport 20 -j ACCEPT

iptables -t nat -A POSTROUTING -o $EXT -j MASQUERADE


echo "Regras do Firewall ativadas!!!"


"



de qlqr forma agradeco...

renato_pacheco
(usa Debian)

Enviado em 26/08/2011 - 09:26h

Sinceramente, acho q isso não são por causa das suas regras, mas deve ser algum problema d arquivo corrompido ou algo semelhante. Se puder, pegue outra máquina e instale outro firewall nele. Substitua por esse antigo ae e veja no q dá.

raschadeck
(usa Ubuntu)

Enviado em 26/08/2011 - 09:41h

nem lembro mais como que instala tudo denovo... vou ter q configurar sarg, squid, iptables, enfim...

nao sei se seria viavel, so para VERIFICAR se realmente nao eh bug do linux corrompido...


existe alguma forma de verificar se ta algo corrompido?

renato_pacheco
(usa Debian)

Enviado em 26/08/2011 - 10:14h

Tem uma forma, q é com o fsck, só q vc teria q fazê-lo com a partição desmontada. Se msm assim não der resultado, tente com outro hardware msm. Esse comportamento não é normal, pois o iptables não tem problemas desse tipo. Outra coisa q vc pode fazer tb é tentar atualizar a versão do iptables (pode estar bugada).

raschadeck
(usa Ubuntu)

Enviado em 26/08/2011 - 10:33h

como executo esse fsck?
tem q ser desmontada, ou seja na inicializacao, certo?

tem como ~agendar~ o fsck?


grato

renato_pacheco
(usa Debian)

Enviado em 26/08/2011 - 10:36h

Se não me engano, tem como agendar pelo aplicativo, mas não me lembro. Olhe o manual dele:

# man fsck

raschadeck
(usa Ubuntu)

Enviado em 26/08/2011 - 10:48h

touch /forcefsck

dai ao reiniciar vai rodar... depois q der algum resultado posto aqui...


valeu

ricardo_lda
(usa Slackware)

Enviado em 26/08/2011 - 11:13h

Vc falou que possui outros serviços rodando na maquina, como o squid e o sarg. Quando trava, ele trava algumas portas ou para a navegação?, se para a navegação, dá uma olhada no squid!! talvez possa ser algo nele!!.

renato_pacheco
(usa Debian)

Enviado em 26/08/2011 - 11:15h

O @ricardo_lda tem razão. Pelo q entendi, vc tinha só o firewall...

jgodoi
(usa CentOS)

Enviado em 26/08/2011 - 11:22h

Dá uma analisada no /var/log/squid/access.log para saber se não estão usando teu squid a vontade.

raschadeck
(usa Ubuntu)

Enviado em 26/08/2011 - 11:26h

o squid iria travar outras portas q nao fossem a 80???

enfim, no log do squid nao diz nada... inclusive eh autenticado, algumas vezes rodamos os navegadores sem ele para testar e nadica de nada...