Firewall bloqueia ping tipo terra.com.br [RESOLVIDO]

maninhx
(usa Slackware)

Enviado em 19/06/2009 - 11:27h

Tenho firewall.iptables

se eu pingar terra.com.br não pinga. mas se eu pingar um DNS 200.180.112.1 ou um do terra mesmo 200.176.2.10 ele pinga certinho. se eu pingar por nome o ping não acontece. Sendo assim meu squid ta dando erro no Performing DNS testing para iniciar.

eduardo
(usa Linux Mint)

Enviado em 19/06/2009 - 11:29h

O que está acontecendo é que o seu DNS não está configurado na sua máquina, ou não está legal no servidor.

Verifique isso.

leoberbert
(usa Debian)

Enviado em 19/06/2009 - 11:47h

Verique se existe a linha no firewall:

iptable -t filter -A INPUT -i ethX -p icmp -j DROP

Caso sim... comenta, restarta o firewall e seja feliz :D

Qualquer coisa.. Posta o script de firewall aqui para que possamos ver.

[]`s leoberbert

maninhx
(usa Slackware)

Enviado em 19/06/2009 - 11:48h

na verdade está.
se eu tirar as regras do firewall o servidor ping terra.com.br.reinicio o firewall dai para.

sendo que os terminais estão pingando normalmente, tanto por nomes ou não. mesmo com o firewall ativado.

maninhx
(usa Slackware)

Enviado em 19/06/2009 - 11:54h

#Limpar Regras
iptables -F #Limpa todas a regras da tabela filter
iptables -X #Deleta todas as cadeias da tabela filter
iptables -Z #Zera o contador de tabela filter
iptables -t nat -F #Limpa todas as regras da tabela NAT
iptables -t nat -X #Deleta todas as cadeias da tabela NAT
iptables -t nat -Z #Zera os contadores da tabela NAT
iptables -t mangle -F
iptables -t mangle -X

# Adicionando modulos do iptables (OBS: remova o serviço de iptables e ipchains na inicialização)
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe iptable_nat
modprobe ip_nat_ftp

WAN=eth0
LAN=eth1
RINTERNA=192.168.5.0/24
#ENDREMOTO="192.168.1.199"
#UP_PORTS=1024:
#D_PORTS=:1024


##### Protecao contra IP Spoofing #####
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 >$i
done

##### Ativamos o redirecionamento de pacotes (requerido para NAT) #####
echo "1" >/proc/sys/net/ipv4/ip_forward


##liberar OUTPUT e FORWARD
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

##### Chain INPUT #####
#liberar SSH na LAN
iptables -A INPUT -i $LAN -p tcp --dport 22 -j ACCEPT

# Aceita todo o trafego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT

# Todo trafego vindo da rede interna tambem aceito
iptables -A INPUT -s $RINTERNA -i $WAN -j ACCEPT

# Liberacao de PING (ICMP) na Interface Externa com certa limitacao
iptables -A INPUT -i $LAN -p icmp -m limit --limit 2/s -j ACCEPT

#liberar ping para internet
iptables -A FORWARD -p icmp --icmp-type ping -s $RINTERNA -i $LAN -d 0/0 -o $WAN -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type ping -s 0/0 -i $WAN -d $RINTERNA -o $LAN -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s $RINTERNA -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -s $RINTERNA -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -i $WAN -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -i $WAN -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type 8 -i $WAN -j ACCEPT

# Bloqueia qualquer tentativa de nova conexao de fora para esta maquina
iptables -A INPUT -i $LAN -m state --state ! ESTABLISHED,RELATED -j LOG --log-level 6 --log-prefix "FIREWALL: IN "
iptables -A INPUT -i $LAN -m state --state ! ESTABLISHED,RELATED -j DROP

# Qualquer outro tipo de trafego aceito
iptables -A INPUT -i $LAN -j ACCEPT

#Bloqueio de ataque SSH de forca bruta
iptables -N SSH-BRUT-FORCE
iptables -A INPUT -i $WAN -p tcp --dport 22 -j SSH-BRUT-FORCE
iptables -A SSH-BRUT-FORCE -m limit --limit 2/s --limit-burst 4 -j RETURN
iptables -A SSH-BRUT-FORCE -j DROP

#Bloqueio Anti-Spoofing
iptables -A INPUT -s 192.168.1.0/8 -i $WAN -j DROP

#Liberar POP3
iptables -A INPUT -p tcp --sport 1024: --dport 25 -i $WAN -j ACCEPT

#Bloqueio de Scanners ocultos (Shealt Scan)
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK, FIN, -m limit --limit 1/s -j ACCEPT

#######################################################
# Tabela nat #
#######################################################

##### Chain PREROUTING #####

# Redirecionando Porta 80 para SQUID (somente para proxy transparente)
iptables -t nat -A PREROUTING -p tcp -i $WAN --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p udp -i $WAN --dport 80 -j REDIRECT --to-port 3128


# Masquerade
iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE

#Bloquear MSN
iptables -A FORWARD -s $RINTERNA -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s $RINTERNA -d loginnet.passport.com -j REJECT

#Protecao contra Worms
iptables -A FORWARD -p tcp --dport 135 -i $WAN -j DROP

#Protecao contra Syn-Flood
iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT

#Protecao contra ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP
iptables -A INPUT -j DROP
#iptables -t filter -P INPUT -j DROP

#Bloqueia pacotes danificados (atques DOS?)
#iptables -A FORWARD -m unclean -j DROP

leoberbert
(usa Debian)

Enviado em 19/06/2009 - 12:07h

Primeiramente

$ nmap localhost

E cola ai as portas pra eu ver... Depois... Libera a porta 53 :D , Creio que assim ele vai deixar.

Aguardando!

maninhx
(usa Slackware)

Enviado em 19/06/2009 - 13:24h

nmap

22/tcp open ssh
37/tcp open time
113/tcp open auth

maninhx
(usa Slackware)

Enviado em 19/06/2009 - 13:45h

tentei
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

mas mesmo assim não pinga.
o problema ta no INPUT pois quando deixo
iptables -P INPUT -j ACCEPT dai ele volta a pingar, com DROP para o ping por nomes.

grodriguesq
(usa Slackware)

Enviado em 19/06/2009 - 14:36h

Se o pc que nao pinga por dns estiver com o DNS primario configurado para o Firewall tenta colocar um outro DNS...

no arquivo resolv.conf

nameserver 201.17.0.15 #dns do Virtua (sempre online)

maninhx
(usa Slackware)

Enviado em 19/06/2009 - 14:48h

no meu resolv.conf tenho
nameserver 200.180.112.1 #DNS do provedor local da minha cidade
nameserver 200.176.2.10 #DNS do terra.

sendo que quando mudo para ACCEPT a politica de INPUT ele volta a pingar.

maninhx
(usa Slackware)

Enviado em 19/06/2009 - 15:29h

mesmo depois de colocar as regras para porta 53 eu digitei

#nmap -p 53 localhost

deu porta fechada.
53/tcp closed domain

leoberbert
(usa Debian)

Enviado em 19/06/2009 - 15:46h

Ta estranho... pq quando vc deu nmap... a porta do DNS ta fechada.. e deveria estar aberta este é o fato de não aceitar ping nos DNS... VC tem Bind Instalado ai?

Fico no aguardo!