iptables + firewall + Active Directory

al10551
(usa Debian)

Enviado em 23/09/2009 - 17:55h

Oi,

o meu problema é o seguinte:
tenho duas redes indeoendentes:
1ª rede
- gama de ip 192.168.0.X
- controlador de dominio em 192.168.0.13

2ªrede
- gama de ips 192.168.10.X
- para gerir esta rede implementei um firewall/iptables
- eth0 : 192.168.0.10
- eth1 : 192.168.10.254
- implementei squid e funciona tudo bem, todos os micros nesta rede tem internet

meu problema agora é o seguinte: não consigo aceder ao controlador de dominio da rede 192.168.0.13.!!!
Posso utilizar regras no iptbles? tenho que utilizar squid+samba?

Alguem me pode ajudar?

Obrigado.

renato_pacheco
(usa Debian)

Enviado em 23/09/2009 - 20:09h

Amiguim, vc tem q v se vc não bloqueou as portas 139 (smb) e 445 (rpc) e tb dar um forward da rede 192.168.10.x para a máquina 192.168.0.13. Dae as regras ficariam mais ou menos dessa forma:

iptables -A INPUT -s 192.168.10.0/24 -p tcp --dport 139 -j ACCEPT
iptables -A OUTPUT -d 192.168.10.0/24 -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s 192.168.10.0/24 -p tcp --dport 445 -j ACCEPT
iptables -A OUTPUT -d 192.168.10.0/24 -p tcp --dport 445 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -d 192.168.0.13 -p tcp --dport 139 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -d 192.168.0.13 -p tcp --dport 445 -j ACCEPT
iptables -A FORWARD -s 192.168.0.13 -p tcp -d 192.168.10.0/24 --dport 139 -j ACCEPT
iptables -A FORWARD -s 192.168.0.13 -p tcp -d 192.168.10.0/24 --dport 445 -j ACCEPT

Tenta ae e fala se deu certo.

al10551
(usa Debian)

Enviado em 24/09/2009 - 10:54h

Oi Renato

tentei essas regras que tu falou mas o erro o problema continua..

dá sempre o erro ... "impossivel contactar um controlador para o dominio XX".

renato_pacheco
(usa Debian)

Enviado em 24/09/2009 - 11:11h

Vc colocou essas regras em q parte? Ou vc simplesmente digitou no terminal? Pq se vc libera algo q já tá bloqueado, não dá certo (continuará bloqueado), portanto vc deve inseri-las antes das regras d DROP, OK?

al10551
(usa Debian)

Enviado em 24/09/2009 - 11:26h

Olá Renato
Aqui está o meu script...



IP_LAN="192.168.10.0/24"
PLACA_REDE_INTERNET="eth0"
PLACA_REDE_LAN="eth2"
IP_FIREWALL_DA_REDE_INTERNA="192.168.10.254/24"
SERVER="192.168.0.13"

IPTABLES="/usr/local/sbin/iptables"

#############################
### carregando os modulos ###
#############################
modprobe ip_tables
modprobe iptable_nat
modprobe ipt_layer7
modprobe ip_tables
modprobe iptable_nat
modprobe ipt_layer7
#######################
### Flush as regras ###
#######################
iptables -F
iptables -Z
iptables -X
iptables -t nat -F


###############################################
#################Active Directory
###############################################


iptables -A INPUT -s 192.168.10.0/24 -p tcp --dport 139 -j ACCEPT
iptables -A OUTPUT -s 192.168.10.0/24 -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s 192.168.10.0/24 -p tcp --dport 445 -j ACCEPT
iptables -A OUTPUT -s 192.168.10.0/24 -p tcp --dport 445 -j ACCEPT

iptables -A FORWARD -s 192.168.10.0/24 -d 192.168.0.13 -p tcp --dport 139 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -d 192.168.0.13 -p tcp --dport 445 -j ACCEPT

iptables -A FORWARD -s 192.168.0.13 -p tcp -d 192.168.10.0/24 --dport 139 -j ACCEPT
iptables -A FORWARD -s 192.168.0.13 -p tcp -d 192.168.10.0/24 --dport 445 -j ACCEPT




#############################################

#####################
### Apagar regras ###
#####################
$IPTABLES -P INPUT DROP
#$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT

############################
### Activar o roteamento ###
############################
echo "1" > /proc/sys/net/ipv4/ip_forward






#############################################
### mascarar as redes internas e externas ###
#############################################
$IPTABLES -A POSTROUTING -t nat -o $PLACA_REDE_INTERNET -s $IP_LAN -d 0/0 -j MASQUERADE


#########################
### forward das redes ###
#########################
$IPTABLES -A FORWARD -t filter -o $PLACA_REDE_INTERNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -t filter -i $PLACA_REDE_INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT


#########################
### libera o loopback ###
#########################
$IPTABLES -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

############################################
### Ligaçao establizada deve ser mantida ###
############################################
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

####################################################
### Permitir ssh da rede interna para a firewall ###
####################################################
$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 222 -s $IP_LAN -i $PLACA_REDE_LAN
$IPTABLES -A OUTPUT -j ACCEPT -p all -d $IP_LAN -o $PLACA_REDE_LAN


####################################################
### Permitir ssh da REDE EXTERNA ###
### libertar só quando necessario ###
####################################################

$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 22 -i $PLACA_REDE_INTERNET
$IPTABLES -A OUTPUT -j ACCEPT -p all -o $PLACA_REDE_INTERNET



################################
### http do sarg na porta 81 ###
################################
$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 81 -s $IP_LAN -i $PLACA_REDE_LAN


###########################################
### tentar abrir as portas para o proxy ###
### verificar se é mesmo preciso ###
###########################################
$IPTABLES -A INPUT -p tcp --destination-port 3128 -j ACCEPT
$IPTABLES -A INPUT -p udp --destination-port 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp --destination-port 3130 -j ACCEPT
$IPTABLES -A INPUT -p tcp --destination-port 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp --destination-port 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT

$IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 21 -j ACCEPT

$IPTABLES -A INPUT -p udp --dport 389 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 636 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#############################
### permitir dns externos ###
#############################
$IPTABLES -A FORWARD -p udp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 53 -j ACCEPT

#############################################
### permitir o forward para o smtp e pop3 ###
#############################################
$IPTABLES -A FORWARD -p tcp --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 110 -j ACCEPT


###############################################
### Reancaminhar o trafego pela proxy squid ###
################################################

$IPTABLES -t nat -A PREROUTING -i $PLACA_REDE_LAN -d ! $IP_FIREWALL_DA_REDE_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 3128


###############################################
#LIGAÇÕES TERMINAL SERVER para o servidor #
###############################################
$IPTABLES -t nat -A PREROUTING -i $PLACA_REDE_INTERNET -p tcp --dport 3389 -j DNAT --to 192.168.10.67
$IPTABLES -A FORWARD -p tcp --destination-port 3389 -j ACCEPT


######################################
### permitir a resposta do firwall ###
######################################

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "Firewall Inicializada"

renato_pacheco
(usa Debian)

Enviado em 24/09/2009 - 14:02h

Kra, vc inseriu as regras no lugar errado. Vc deve inserir essas regras:

###############################################
#################Active Directory
###############################################


iptables -A INPUT -s 192.168.10.0/24 -p tcp --dport 139 -j ACCEPT
iptables -A OUTPUT -s 192.168.10.0/24 -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s 192.168.10.0/24 -p tcp --dport 445 -j ACCEPT
iptables -A OUTPUT -s 192.168.10.0/24 -p tcp --dport 445 -j ACCEPT

iptables -A FORWARD -s 192.168.10.0/24 -d 192.168.0.13 -p tcp --dport 139 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -d 192.168.0.13 -p tcp --dport 445 -j ACCEPT

iptables -A FORWARD -s 192.168.0.13 -p tcp -d 192.168.10.0/24 --dport 139 -j ACCEPT
iptables -A FORWARD -s 192.168.0.13 -p tcp -d 192.168.10.0/24 --dport 445 -j ACCEPT

Depois do "http 81 sarg", blz?