Rede/Sistema lento

1. Rede/Sistema lento

cleber
clesousa

(usa Outra)

Enviado em 20/02/2014 - 11:53h

Pessoal bom dia!

Hoje pela manhã fiz uma alteração, na verdade implantei um novo firewall na minha rede, e após ser implantando um sistema que é utilizado internamente ficou super lento para ser acessado das máquinas, porém acesso a internet, e-mail está tudo ok.
A questão é, o suporte do sistema nao ajuda muito nessa questão de firewall, eles nao souberam dizer se é preciso liberar algum tipo de porta ou algo do tipo para o sistema funcionar normalmente..

Abaixo segue meu script, agradeço qualquer ajuda.

##################### INICIO ################################
# INTERFACE LOCAL = ETH0
# INTERFACE PÚBLICA = ETH1


### Regras para Limpar e Habilitar politcas padrao ###

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -L -n

### Ativar modulos ###
modprobe iptable_nat
modprobe ip_tables

### Mascarar trafego que sai para internet
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


### Ativar roteamento ###
echo 1 > /proc/sys/net/ipv4/ip_forward

### Regras de INPUT na tabela filter ###
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -p tcp -i lo -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT # VOU DEIXAR POR ENQUANTO ASSIM
iptables -t filter -A INPUT -s 192.168.0.0/24 -j ACCEPT


### Regras de FORWARD na tabela filter ###


#iptables -t filter -A FORWARD -p tcp --dport 443 -j DROP
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

# A regra abaixo bloqueia um range de ip´s que estiverem sem proxy de acessarem sites que utilizam a porta 443, exemplo facebook, youtube, etc
iptables -t filter -I FORWARD -p tcp -m iprange --src-range 192.168.0.1-192.168.0.200 --dport 443 -j DROP

# teste - iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to-dest 192.168.0.230:8080 # OCS INVENTORY
# teste - iptables -t filter -A FORWARD -p tcp -i eth1 --dport 8080 -d 192.168.0.230 -j ACCEPT

# Aceitando a passagem dos pacotes para as portas de Câmeras, OCS e VNC
iptables -t filter -A FORWARD -p tcp -i eth1 --dport 8080 -d 192.168.0.230 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -i eth1 --dport 15000 -d 192.168.0.10 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -i eth1 --dport 16000 -d 192.168.0.10 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -i eth1 --dport 17000 -d 192.168.0.10 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -i eth1 --dport 5501 -d 192.168.0.171 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -i eth1 --dport 5500 -d 192.168.0.170 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -i eth1 --dport 5502 -d 192.168.0.172 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -i eth1 --dport 3389 -d 192.168.0.111 -j ACCEPT # teste

# liberando passagem de pacotes udp porta 53 ao IP dns
iptables -A FORWARD -p udp --dport 53 -s 192.168.0.0/24 -d 201.46.240.45 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -s 192.168.0.0/24 -d 201.46.240.40 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -s 192.168.0.0/24 -d 8.8.8.8 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -s 192.168.0.0/24 -d 8.8.4.4 -j ACCEPT

# Liberando passagem de pacotes tcp com origem a rede local, nas portas utilizadas por clientes de e-mail.
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -m multiport --dports 25,587,110,995 -j ACCEPT # SMTP-POP3-SUBMISSION-PO3S


# Regras de OUTPUT - Saindo do Firewall
#iptables -I FORWARD -m iprange --src-range 192.168.0.1-192.168.0.200 -m string --algo bm --string "facebook.com" -j DROP
#iptables -I OUTPUT -m iprange --src-range 192.168.0.1-192.168.0.200 -m string --algo bm --string "facebook.com" -j DROP

### Regras de PREROUTING na tabela NAT ###

iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.100 -m multiport --dport 80,443 -j ACCEPT #JANAINA EM TESTE
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.201 -m multiport --dport 80,443 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.202 -m multiport --dport 80,443 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.203 -m multiport --dport 80,443 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.204 -m multiport --dport 80,443 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.205 -m multiport --dport 80,443 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.206 -m multiport --dport 80,443 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.207 -m multiport --dport 80,443 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.208 -m multiport --dport 80,443 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.245 -m multiport --dport 80,443 -j ACCEPT #MAQUINA CLEIO TESTANDO
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.4 -m multiport --dport 80,443 -j ACCEPT #MAQUINA FERNANDA TESTE


### REDIRECIONA O TRAFEGO DA PORTA 80 PARA 3128, E REJEITA O ACESSO A INTERNET PARA MÁQUINAS SEM PROXY.
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

### Redireciona o trafego das portas x,y,z para determinados ip da rede local - DNAT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-dest 192.168.0.111:3389 # ts_cleio_teste
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to-dest 192.168.0.230:8080 # OCS INVENTORY
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 15000 -j DNAT --to-dest 192.168.0.10:15000 # CAM 02
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 16000 -j DNAT --to-dest 192.168.0.10:16000 # CAM 01
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 17000 -j DNAT --to-dest 192.168.0.10:17000 # CAM 03
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5501 -j DNAT --to-dest 192.168.0.171:5501 # VNC THIAGO
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5500 -j DNAT --to-dest 192.168.0.170:5500 # VNC RENATO
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5502 -j DNAT --to-dest 192.168.0.172:5502 # VNC CLÉIO




  


2. resolvido parcialmente

cleber
clesousa

(usa Outra)

Enviado em 20/02/2014 - 13:52h

Pessoal achei o que estava deixando as máquinas lentas ao acessar o sistema.
Tenho a seguinte regra no meu firewall:
iptables -t filter -I FORWARD -p tcp -m iprange --src-range 192.168.0.1-192.168.0.200 --dport 443 -j DROP

Uso ela para que as máquinas sem proxy não consigam acessar sites como facebook por exemplo..

Troquei o IP das máquinas deixando fora do range e voltou a funcionar normalmente..







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts