Firewall Iptables

saitam
(usa Slackware)

Enviado em 13/08/2013 - 17:45h

O erro esta que na regra que esta antes compartilha internet e depois fecha tudo e libera as portas 21,22,23,80,443.
Precisa liberar mais portas também como 53,25,587,110,143, etc... se necessário...

A regra que fecha tudo nas chains INPUT, OUTPUT e FORWARD deve estar logo após da limpeza das regras, depois as regras de liberação nas respectivas chains citadas e por último a regra que faz NAT compartilhando conexão com internet na rede local.


Mais explicado em http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html

vlcunes
(usa Debian)

Enviado em 14/08/2013 - 10:59h

Não sei qual o detalhe que falta. Liberei apenas para meu computador(192.168.50.3) e mesmo assim não consigo acesso.
Só funciona a internet quando deixo iptables -P FORWARD ACCEPT.
SE EU DEIXAR COMO DROP E PERMITIR AS PORTAS ABAIXO, COMO INFORMADO, DAR ERRO.

#!/bin/sh -e
##Firewall Criado
# Inicio (31/07)

## COMPARTILHAMENTO DA INTERNET
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -F
iptables -X

## POLITICAS PADRAO
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

####### TABELA FILTER #######
## INPUT
#Liberando interfaces loopback
iptables -A INPUT -i lo -j ACCEPT
#Liberar conexoes estabelecidas e relatadas
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.50.3 -p tcp --dport 22 -j ACCEPT


iptables -A FORWARD -s 192.168.50.3 -m multiport -p tcp --dport 80,443 -j ACCEPT

andrecanhadas
(usa Debian)

Enviado em 14/08/2013 - 11:08h

Libere tambem o forward para a porta 53 udp

vlcunes
(usa Debian)

Enviado em 14/08/2013 - 11:52h

O PROBLEMA CONTINUA MESMO APÓS TER INSERIDO A REGRA DE DNS



#!/bin/sh -e
##Firewall Criado
# Inicio (31/07)

## COMPARTILHAMENTO DA INTERNET
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -F
iptables -X

## POLITICAS PADRAO
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

####### TABELA FILTER #######
## INPUT
#Liberando interfaces loopback
iptables -A INPUT -i lo -j ACCEPT
#Liberar conexoes estabelecidas e relatadas
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.50.3 -p tcp --dport 22 -j ACCEPT


iptables -A FORWARD -s 192.168.50.3 -m multiport -p tcp --dport 80,443 -j ACCEPT
iptables -A FORWARD -s 192.168.50.3 -p udp --dport 53 -j ACCEPT

andrecanhadas
(usa Debian)

Enviado em 14/08/2013 - 12:01h

http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel/?pagina=2

voce liberou apenas para a maquina 102.168.50.3 logo ninguém navega

vlcunes
(usa Debian)

Enviado em 14/08/2013 - 12:06h

Mas assim, eu sou 192.168.50.3. Portando meu computador com esse IP 192.168.50.3 deveria ter acesso, correto?

Buckminster
(usa Debian)

Enviado em 15/08/2013 - 01:40h

Comente as duas regras e insira essas abaixo e teste. E poste aqui se conseguiu navegar com a máquina desse IP abaixo.

iptables -A INPUT -s 192.168.50.3 -m multiport -p tcp --dport 80,443 -j ACCEPT
iptables -A INPUT -s 192.168.50.3 -p udp --dport 53 -j ACCEPT

E deixe a política padrão da chain OUTPUT como ACCEPT.

vlcunes
(usa Debian)

Enviado em 15/08/2013 - 09:39h

Buckminster, fiz conforme me orientou e não conseguir.

Você pode passar seu script iptables para comparar?

vlcunes
(usa Debian)

Enviado em 15/08/2013 - 12:45h

Resolvi!

Adicionei a linha "iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT" ao acript.

jtdest
(usa CentOS)

Enviado em 15/08/2013 - 15:05h

libera porta dns 53 sem ele impossível navegar

vlcunes
(usa Debian)

Enviado em 15/08/2013 - 15:42h

Pronto!!

Segue Script pronto!!
Agradeço por todos que ajudaram.
Estou à disposição para qualquer consulta ou observação referente ao script abaixo.

#!/bin/sh -e
##Firewall Criado por Vitor Lucas
# Inicio (31/07)

## INTERFACES
#ifacenet="eth1"
#ifacelocal="eth2"

## LIMPAR REGRAS
iptables -F
iptables -X
iptables -t nat -F

## POLITICAS PADRAO
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#############################
####### TABELA FILTER #######
############################

##### INPUT #####
#Liberando interfaces loopback
iptables -A INPUT -i lo -j ACCEPT
#Liberar conexoes estabelecidas e relatadas
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Acesso SSH ao servidor pelo IP citado.
iptables -A INPUT -s 192.168.50.3 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.50.0/255.255.255.0 -p tcp --dport 3128 -j ACCEPT
#iptables -A INPUT -s 192.168.50.1 -j ACCEPT

##### FORWARD #####
iptables -A FORWARD -s 192.168.50.1 -j ACCEPT
iptables -A FORWARD -s 192.168.50.0/255.255.255.0 -m multiport -p tcp --dport 25,53,110,443,587,80,8291 -j ACCEPT
iptables -A FORWARD -s 192.168.50.0/255.255.255.0 -p udp --dport 53 -j ACCEPT
#Liberar conexoes estabelecidas e Relatadas
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT


#############################
##### TABELA NAT ###########
#############################

#REDIRECIONAMENTO PROXY SQUID
#iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
#COMPARTILHAR A INTERNET
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.50.0/255.255.255.0 -o eth1 -j MASQUERADE