erro ao start o firewall [RESOLVIDO]

andre_ramos
(usa openSUSE)

Enviado em 12/06/2009 - 16:01h

Estou com um problema ao start o firewall da o seguinte erro:
Try `iptables -h' or 'iptables --help' for more information

uso o opensuse 11.1

signout
(usa Slackware)

Enviado em 12/06/2009 - 16:03h

Alguma regra no script de inicialização esta com a sintaxe errada ou faltando parametros.

Obs.: sempre que possivel, envie o script/configuração utilizado, para que possamos verificar os erros mais rapidamente.

Espero que ajude.

andre_ramos
(usa openSUSE)

Enviado em 12/06/2009 - 16:08h

#!/bin/bash
#Para apagar as tabelas: iptables -F
#Para listar as regras: -L

#Habilitar duas interfaces de rede para roteamento
IPTABLES=/usr/sbin/iptables
echo 1 > /proc/sys/net/ipv4/ip_forward

#Politicas de acesso geral
$IPTABLES -A INPUT ACCEPT
$IPTABLES -A OUTPUT ACCEPT
$IPTABLES -A FORWARD ACCEPT

#localhost
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

modprobe ip_nat_ftp

# INPUT

$IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT
# ssh
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
# smtp
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT
# pop3
$IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT
# http
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT

# OUTPUT

$IPTABLES -A OUTPUT -p tcp --dport 20 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 21 -j ACCEPT
# ssh
$IPTABLES -A OUTPUT -p tcp --dport 22 -j ACCEPT
# smtp
$IPTABLES -A OUTPUT -p tcp --dport 25 -j ACCEPT
# pop3
$IPTABLES -A OUTPUT -p tcp --dport 110 -j ACCEPT
# http
$IPTABLES -A OUTPUT -p tcp --dport 80 -j ACCEPT

$IPTABLES -A FORWARD -s 10.1.1.0/8 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -s 10.1.1.0/8 -j ACCEPT
$IPTABLES -A FORWARD -d 10.1.1.0/8 -p tcp --dport 1024:65535 -j ACCEPT
$IPTABLES -A FORWARD -s 10.1.1.0/8 -p tcp --dport 1024:65535 -j ACCEPT
$IPTABLES -A FORWARD -s 10.1.1.0/8 -p tcp --dport 3128 -j ACCEPT

signout
(usa Slackware)

Enviado em 12/06/2009 - 16:15h

A sintaxe esta incorreta aqui:

$IPTABLES -A INPUT ACCEPT
$IPTABLES -A OUTPUT ACCEPT
$IPTABLES -A FORWARD ACCEPT

Para definir politica padrão, o parametro é -P, ou seja, voce tem que alterar para

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

Porém por padrão as chains ja vem com politica ACCEPT, faria sentido colocar o contrário:
$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT DROP

Ja que OUTPUT é tudo que tem origem no seu servidor, pode deixar como ACCEPT.
Verifique todas as regras, pois existem regras que estão sobrepondo as demais....por exemplo

$IPTABLES -A FORWARD -s 10.1.1.0/8 -j ACCEPT
$IPTABLES -A FORWARD -s 10.1.1.0/8 -p tcp --dport 1024:65535 -j ACCEPT

A primeira ja esta liberando tudo que vier, e a segunda esta liberando portas entre 1024 e 65535 (esta segunda não tem sentido pq a primeira já liberou tudo...)
uma outra dica é:

Carregue todos os modulos primeiro, limpe as regras, carregue as politicas padrões (-P) e depois coloque as regras, creio que fica mais organizado e facil de ler.

Espero que ajude.

andre_ramos
(usa openSUSE)

Enviado em 12/06/2009 - 16:28h

Desculpe sou inicante, mas como Carregue todos os modulos primeiro e limpe as regras? Alterei oque vc me disse e funcionou mas estou com esta duvida ainda vc pode me esclarecer?

signout
(usa Slackware)

Enviado em 12/06/2009 - 16:38h

Na verdade, seria organizar o seu script para que fique mais facil de ler, por exemplo, se voce carregar os modulos primeiro (modprobe ip_nat_ftp), antes de qq regra, voce podera colocar qualquer regra que necessite deste modulo, colocando os modulos no meio do script, voce pode gerar um outro erro se, por acaso, incluir uma regra antes do modulo que ela necessita....
Sim, poste a duvida, se eu não souber, outros poderão responde-la.
Obs.: qdo o problema for resolvido não esqueça de marcar o topico como resolvido :)

[]s

andre_ramos
(usa openSUSE)

Enviado em 12/06/2009 - 16:42h

de acordo com o meu script acima o modprobe seria antes de
#Politicas de acesso geral
vc pode me dizer onde ficar por favor

Eu start o firewall e funcionou, deixei as politica geral todas com accept, mas as estaçoes deveria ter acesso a net certo, isto nao esta acontecendo pois so tem acesso quando eu coloco o proxy, mas o meu script nao coloquei nenhuma regra para todos os acesso da porta 80 ser transferido para a porta 3128, oque sera que esta acontencendo?
grato

signout
(usa Slackware)

Enviado em 12/06/2009 - 16:50h

voce pode fazer o seguinte:

#!/bin/bash
#Para apagar as tabelas: iptables -F
#Para listar as regras: -L

#Carrega modulos
modprobe ip_nat_ftp


#Limpa Regras
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -X

#Habilitar roteamento
IPTABLES=/usr/sbin/iptables
echo 1 > /proc/sys/net/ipv4/ip_forward

#Politicas de acesso geral
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

#localhost
$IPTABLES -A INPUT -i lo -j ACCEPT



########
# INPUT#
########

#Libera FTP
$IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT

# ssh
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
# smtp

$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT
# pop3
$IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT
# http
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT

##########
# FORWARD#
##########

$IPTABLES -A FORWARD -s 10.1.1.0/8 -j ACCEPT
$IPTABLES -A FORWARD -d 10.1.1.0/8 -j ACCEPT

Basicamente:
1 - carrega modulos
2 - limpa regras
3 - habilita roteamento
4 - define politica padrão
5 - regras definidas por voce

Uma coisa que deve ser observada é que apesar de bloquear tudo na politica padrão, voce esta liberando tudo na regra de forward, as duas ultimas.
Outra coisa é que como OUTPUT é tudo que é gerado no servidor e sai dele, a politica padrão esta como ACCEPT, portanto, não há necessidade de regras para output.
Lembre-se de verificar quais são as necessidades (o que voce quer fazer) pois bloquear por padrão e liberar tudo depois não faz sentido....
Espero que ajude.

andre_ramos
(usa openSUSE)

Enviado em 12/06/2009 - 18:06h

Muito Obrigado deu certo
Abraços