Liberar endereços ip e portas no Iptables

jcarlosrl22
(usa Ubuntu)

Enviado em 28/10/2010 - 17:08h

Boa tarde,

Estou com um problema no envio de arquivos por um programa na empresa onde trabalho. Aqui utilizamos o squid e o iptables. A empresa que cuida deste programa me passou os ips e portas a serem desbloqueados no firewall. Por ter pouca experiência com Linux e menor ainda com iptables, pesquisei no google e principalmente no VOL sobre este tipo de liberação. Ao ler alguns artigos e respostas a perguntas de colegas inserí algumas chains no iptables:

-A INPUT -p tcp -s 192.168.0.34 -d 200.246.193.237 --dport 21 -j ACCEPT
-A INPUT -p tcp -s 192.168.0.34 -d 200.246.193.32 --dport 80 -j ACCEPT
-A INPUT -p tcp -s 192.168.0.34 -d 200.246.193.28 --dport 80 -j ACCEPT
-A INPUT -p tcp -s 192.168.0.34 -d 200.246.193.56 --dport 80 -j ACCEPT

-A FORWARD -p tcp -s 192.168.0.34 -d 200.246.193.237 --dport 21 -j ACCEPT
-A FORWARD -p tcp -s 192.168.0.34 -d 200.246.193.32 --dport 80 -j ACCEPT
-A FORWARD -p tcp -s 192.168.0.34 -d 200.246.193.28 --dport 80 -j ACCEPT
-A FORWARD -p tcp -s 192.168.0.34 -d 200.246.193.56 --dport 80 -j ACCEPT

-A OUTPUT -p tcp -s 192.168.0.34 -d 200.246.193.237 --dport 21 -j ACCEPT
-A OUTPUT -p tcp -s 192.168.0.34 -d 200.246.193.32 --dport 80 -j ACCEPT
-A OUTPUT -p tcp -s 192.168.0.34 -d 200.246.193.28 --dport 80 -j ACCEPT
-A OUTPUT -p tcp -s 192.168.0.34 -d 200.246.193.56 --dport 80 -j ACCEPT

Nâo sei se estas chains estão corretas, o que sei é que o problema continua. Os ips e portas as quais necessito liberar são esses:

ftp.ssinfo.com.br , cujo IP: 200.246.193.237 -> Liberar no Firewall ou Proxy a porta 21, protocolo FTP www.genexis.com , cujo IP: 200.246.193.32 -> Liberar no Firewall ou Proxy a porta 80, protocolo HTTP www.ibportals.com.br , cujo IP: 200.246.193.28 -> Liberar no Firewall ou Proxy a porta 80, protocolo HTTP srvwebmet.genexis.com , cujo IP: 200.246.193.56 -> Liberar no Firewall ou Proxy a porta 80, protocolo HTTP e SOAP(81 ou 6000 ou 18000).

Por favor alguém me ajude, serei muito grato.

signout
(usa Slackware)

Enviado em 28/10/2010 - 21:27h

Boas...

A liberação destes IPs/Ports é simples, mas você precisa ter em mãos algumas informações:
Qual a politica padrao para as chains, quais endereços acessarão estes sites e quais regras voce tem configuradas, ou seja, sempre que possivel envie a configuração/mensagem de erro para que possamos te ajudar.
Como não existem essas informações, suponhamos que:

1 - A sua rede seja 192.168.0.0;
2 - A politica padrão para a chain FORWARD é DROP;
3 - Qualquer maquina da sua rede pode acessar estes endereços;
4 - Existe uma regra na chain FORWARD do tipo
-A FORWARD -p tcp -m state --state RELATED, ESTABLISHED -j ACCEPT (esta regra permite que novas conexões sejam feitas a partir de conexões existentes);

Se os quatro itens forem verdadeiros, entao as regras serão:

-A FORWARD -p tcp -d 200.246.193.237 --dport 21 -j ACCEPT
-A FORWARD -p tcp -d 200.246.193.32 --dport 80 -j ACCEPT
-A FORWARD -p tcp -d 200.246.193.28 --dport 80 -j ACCEPT
-A FORWARD -p tcp -d 200.246.193.56 --dport 80 -j ACCEPT
-A FORWARD -p tcp -d 200.246.193.56 --dport 6000 -j ACCEPT
-A FORWARD -p tcp -d 200.246.193.56 --dport 18000 -j ACCEPT


Espero que ajude.
[]s

jcarlosrl22
(usa Ubuntu)

Enviado em 01/11/2010 - 19:17h

Boa tarde,

Desculpe a demora a responder sua mensagem, é que estava viajando e não consegui responder de onde estava.
Segue abaixo a resposta dos itens que você citou:

1 e 3 - O meu ip é 192.168.0.34 e por enquanto somente ele terá acesso a estes ips/portas.
2 - Não sei qual o padrão para as chains FORWARD. Não sei se está seria a resposta mas no iptables na tabela nesta tabela tem: Policy Accept.
4 - Nâo existe nenhuma chain FORWARD da forma como você citou.

No aguardo.
Até mais