iptables [RESOLVIDO]

Danielc88
(usa Mandriva)

Enviado em 04/10/2011 - 12:18h

Desculpem se ja existir algum topico repetido sobre o assunto, mas estou com problemas para liberar as portas 25 e 110 no iptables, apesar de haver a linha q libera as portas o outlook da erro.Quando descomento a parte "inicializando de regras" nada funciona.
Alguem saberia dizer por que isso ocorre?
Desde ja agradeço.

segue script:


#!/bin/bash

clear
echo -en "\nFirewall: Desligando o roteamento..."
echo 0 > /proc/sys/net/ipv4/ip_forward
echo -en "ok."

echo -en "\nFirewall: limpando regras..."
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
echo -en "ok."


#echo -en "\nFirewall: Inicializando regras..."
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWARD DROP
#echo -en "ok."

#Criar uma nova regra
iptables -N PERMITIDO
iptables -A PERMITIDO -p tcp --syn -m state --state NEW -j ACCEPT
iptables -A PERMITIDO -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A PERMITIDO -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A PERMITIDO -p tcp -j DROP
#Fim da regra


echo -en "\nFirewall: Liberar acesso local..."
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
echo -en "ok."

echo -en "\nFirewall: Liberar ping..."
iptables -A INPUT -p icmp -j DROP
echo -en "ok."

echo -en "\nFirewall: Liberar porta do DNS..."
iptables -A FORWARD -p udp -s 192.168.1.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -d 192.168.1.0/24 --sport 53 -j ACCEPT
echo -en "ok."

echo -en "\nFirewall: Liberar pacote tcp para maquina 192.168.1.201.".
iptables -A FORWARD -p tcp -s 192.168.1.201 -m multiport --sport 80,443 -j PERMITIDO
iptables -A FORWARD -p tcp -s 192.168.1.201 -m multiport --dport 80,443 -j PERMITIDO
echo -en "ok."

echo -en "\nFirewall: Bloquear msn..."
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j DROP
iptables -A FORWARD -s 192.168.1.0/24 -d loginnet.passport.com -j DROP
echo -en "ok."

iptables -A INPUT -p tcp --dport 111 -j DROP
iptables -A INPUT -p tcp --dport 7741 -j DROP

#echo -en "\nFirewall: liberar porta maquina do proxy...ok"
iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.28 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.24 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -s 192.168.1.15 -p tcp --dport 80 -j ACCEPT
#echo -en "ok."

echo -en "\nFirewall: Roteamento para proxy..."
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to-port 3128
echo -en "ok."

echo -en "\nFirewall: Liberar acesso da rede ao firewall..."
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.254 -j PERMITIDO
iptables -A INPUT -s 192.168.1.254 -d 192.168.1.0/24 -j PERMITIDO
echo -en "ok."

#echo -en "\nFirewall: Liberar porta de e-mail..."
#iptables -A FORWARD -p tcp -i eth1 -s 192.168.1.0/24 -o eth0 --dport 25 -j PERMITIDO
#iptables -A FORWARD -p tcp -i eth1 -s 192.168.1.0/24 -o eth0 --dport 110 -j PERMITIDO
#echo -en "ok."

echo -en "\nFirewall: Fazer mascaramento (NAT)..."
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo -en "ok."

echo -en "\nFirewall: Liberar saida..."
iptables -A OUTPUT -j ACCEPT
echo -en "ok."

echo -en "\nFirewall: Ligando o roteamento..."
echo 1 > /proc/sys/net/ipv4/ip_forward
echo -en "ok."

echo -en "\n."

maurolarrat
(usa Ubuntu)

Enviado em 04/10/2011 - 13:33h

Olá,

passei por um problemão desses na empresa onde trabalhei, com servidor de e-mail no turbosite. Eu uso estas regras para o iptables e nunca mais tive problemas com o outlook:

# SMTP (Configurado para a Turbo Site).
iptables -A FORWARD -p tcp --dport 587 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p udp --dport 587 -j ACCEPT
iptables -A FORWARD -p udp --dport 25 -j ACCEPT

iptables -A FORWARD -p tcp --sport 587 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p udp --sport 587 -j ACCEPT
iptables -A FORWARD -p udp --sport 25 -j ACCEPT

# POP3 (Configurado para a Turbo Site).
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p udp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p udp --sport 110 -j ACCEPT

iptables -A FORWARD -p tcp --dport 143 -j ACCEPT
iptables -A FORWARD -p udp --dport 143 -j ACCEPT
iptables -A FORWARD -p tcp --sport 143 -j ACCEPT
iptables -A FORWARD -p udp --sport 143 -j ACCEPT

# IMAP (Configurado para GMAIL).
# POP3 (Configurado para a Turbo Site).
iptables -A FORWARD -p tcp --dport 993 -j ACCEPT
iptables -A FORWARD -p udp --dport 993 -j ACCEPT
iptables -A FORWARD -p tcp --sport 993 -j ACCEPT
iptables -A FORWARD -p udp --sport 993 -j ACCEPT

# SMTP (Configurado para GMAIL).
# POP3 (Configurado para a Turbo Site).
iptables -A FORWARD -p tcp --dport 465 -j ACCEPT
iptables -A FORWARD -p udp --dport 465 -j ACCEPT
iptables -A FORWARD -p tcp --sport 465 -j ACCEPT
iptables -A FORWARD -p udp --sport 465 -j ACCEPT


Uma amigo aqui do vivaolinux me aconselhou a liberar todas as portas de e-mails mais conhecidas tanto de pop quanto de smtp.

Danielc88
(usa Mandriva)

Enviado em 05/10/2011 - 15:00h

Funcionou, muito obrigado, mas ainda falta aquela regra que esta comentada no inicio do script,e gostaria de saber tb como bloquear o msn sem bloquear o hotmail.

danielc88
(usa Mandriva)

Enviado em 07/10/2011 - 08:52h

Alguem?????

leonardonhesi
(usa Debian)

Enviado em 07/10/2011 - 10:13h

Você fala desta regra?

#echo -en "\nFirewall: Inicializando regras..."
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWARD DROP
#echo -en "ok."

danielc88
(usa Mandriva)

Enviado em 08/10/2011 - 08:28h

isso mesmo é essa ai. quando deswcomento trava tudo. se não me engano as regras abaixo servem para liberar o trafego nescessario, mas não é isso q ocorre.

leonardonhesi
(usa Debian)

Enviado em 10/10/2011 - 13:23h

Esta opção -p define a politica padrão adotada para o firewall, se o pacote não se enquandrar em nenhuma de suas regras ele toma esta atitude como padrão.
No seu caso "DROP" bloqueia tudo so permite o que você liberar explicitamente nas suas regras não se esqueça tem sempre a entrada e saida qualquer coisa to ai pra ajudar falow

danielc88
(usa Mandriva)

Enviado em 13/10/2011 - 08:30h

Entendo mas perceba q nas linhas abaixo da regra que bloqueia tudo, são feitas as liberações, no entanto tudo permanece bloqueado.

maurolarrat
(usa Ubuntu)

Enviado em 26/10/2011 - 12:06h

Acho que você precisa escrever a regra para direcionar para o SQUID no final de todas as regras de liberação.

tipo assim, onde está isso:

echo -en "\nFirewall: Roteamento para proxy..."
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to-port 3128
echo -en "ok."

......
......
......

echo -en "\nFirewall: Fazer mascaramento (NAT)..."
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo -en "ok."

ficaria assim:


echo -en "\nFirewall: Fazer mascaramento (NAT)..."
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo -en "ok."

echo -en "\nFirewall: Roteamento para proxy..."
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to-port 3128
echo -en "ok."


Eu não estou muito lembrado mas acho que o mascarading so é feito na placa de saida da rede...

maurolarrat
(usa Ubuntu)

Enviado em 26/10/2011 - 12:30h

#!/bin/bash


# ========================================================

# === COMANDOS PARA EXECUÇÃO DO FIREWALL NO SHELL:

# === PARA ATIVAR: /etc/network/NG-Firewall.sh ativar

# === PARA desativar: /etc/network/NG-Firewall.sh desativar

#=========================================================


# ========================================================

# === Carregando módulos de iptables e NAT no Kernel.

#=========================================================

echo "Carregando os módulos de Iptables..."
modprobe iptable_filter
modprobe iptable_nat
modprobe iptable_mangle
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_netlink
modprobe ip_conntrack_ftp
modprobe ip_queue
modprobe ip_tables

modprobe nf_conntrack_ipv4

modprobe ipt_LOG
modprobe ipt_MARK
modprobe ipt_MASQUERADE
modprobe ipt_REDIRECT
modprobe ipt_TCPMSS
modprobe ipt_REJECT
modprobe ipt_limit
modprobe ipt_mac
modprobe ipt_mark
modprobe ipt_multiport
modprobe ipt_owner
modprobe ipt_state
modprobe ipt_tos

echo "Módulos carregados."


#=========================================================

# === Declaração e configurações das variáveis de interface de rede.

#=========================================================

echo "Configurando as interfaces de rede, internet e intranet..."
INTRA=eth2
echo " Interface eth2 (INTRANET) com IP 192.168.0.1"
INTER=eth0
echo " Interface eth0 (INTERNET)com IP 200.208.3.178"
LAN=192.168.0.0/24
echo " Intranet local: 192.168.0.0/24"

# ======================= *** ============================

# Inicia as regras do Firewall.
# Este Firewall permite parâmetros de configuração.
# Descrição dos parâmetros:
# desativar :
# Limpa as regras do Firewall (FLUSH).
# Permite acesso à rede sem bloqueios (FULL NAT).
# Configura as Políticas Padrões da tabela filter (ACCEPT).

#=========================================================

#=========================================================

# === Desativar o firewall.

#=========================================================

if [ "$1" = "desativar" ]; then

echo "Desativando o Firewall..."
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
echo "Firewall DESATIVADO. NAT ativado."

#=========================================================

# === Ativa o Firewall.

#=========================================================

elif [ "$1" = "ativar" ]; then

echo "Ativando o Firewall..."
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
echo "Firewall carregado e executando. NAT ativado."

else
echo "Ativando firewall sem parâmetros. NAT ativado."
fi


# Limpa todas as regras de política.
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z


# Permissão de LOOPBACK para processos do Firewall.
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


# Mascaramento da rede local (Intranet).
iptables -t nat -A POSTROUTING -o $INTER -j MASQUERADE


# Statefull inspection
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# FTP-DATA FTP SSH
iptables -A FORWARD -p tcp --dport 20:22 -j ACCEPT


# DNS (TCP e UDP)
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT


##############################
# FAÇA AS SUAS LIBERAÇÕES AQUI
##############################



# E-MAIL TURBOSITE
iptables -I FORWARD -s 201.87.225.0/24 -p all -j ACCEPT
iptables -I FORWARD -s 201.87.225.53 -p all -j ACCEPT
iptables -I FORWARD -s 201.87.225.54 -p all -j ACCEPT
# SMTP (Configurado para a Turbo Site).
iptables -A FORWARD -p tcp --dport 587 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p udp --dport 587 -j ACCEPT
iptables -A FORWARD -p udp --dport 25 -j ACCEPT

iptables -A FORWARD -p tcp --sport 587 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p udp --sport 587 -j ACCEPT
iptables -A FORWARD -p udp --sport 25 -j ACCEPT

# POP3 (Configurado para a Turbo Site).
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p udp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p udp --sport 110 -j ACCEPT

iptables -A FORWARD -p tcp --dport 143 -j ACCEPT
iptables -A FORWARD -p udp --dport 143 -j ACCEPT
iptables -A FORWARD -p tcp --sport 143 -j ACCEPT
iptables -A FORWARD -p udp --sport 143 -j ACCEPT

# IMAP (Configurado para GMAIL).
# POP3 (Configurado para a Turbo Site).
iptables -A FORWARD -p tcp --dport 993 -j ACCEPT
iptables -A FORWARD -p udp --dport 993 -j ACCEPT
iptables -A FORWARD -p tcp --sport 993 -j ACCEPT
iptables -A FORWARD -p udp --sport 993 -j ACCEPT

# SMTP (Configurado para GMAIL).
# POP3 (Configurado para a Turbo Site).
iptables -A FORWARD -p tcp --dport 465 -j ACCEPT
iptables -A FORWARD -p udp --dport 465 -j ACCEPT
iptables -A FORWARD -p tcp --sport 465 -j ACCEPT
iptables -A FORWARD -p udp --sport 465 -j ACCEPT



# HTTP/HTTPS (COM O SQUID)
#FILTER
iptables -A INPUT -i $INTRA -p tcp -m multiport --dport 3128,3130 -j ACCEPT
iptables -A INPUT -i $INTRA -p tcp -m multiport --dport 80,443 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dport 80,443 -j ACCEPT
#NAT Pré-roteamento Squid. DEVE utilizar APPEND (-A) para não bloquear as regras de banco abaixo.
iptables -t nat -A PREROUTING -i $INTRA -p tcp --dport 80 -j REDIRECT --to-port 3128


# HTTP/HTTPS (SEM O SQUID)
#FILTER
#iptables -I FORWARD -i $INTRA -o $INTER -p tcp -m multiport --dport 80,443 -j ACCEPT
#iptables -I FORWARD -i $INTER -o $INTRA -p tcp -m multiport --dport 80,443 -j ACCEPT
# Final do script.

Danielc88
(usa Mandriva)

Enviado em 29/10/2011 - 11:41h

ok galera vou testar aki e ver se vai funcionar e respondo
muito obrigado pela ajuda.

Danielc88
(usa Mandriva)

Enviado em 09/11/2011 - 13:41h

Opa galera consegui, vlw msm.
obrigado a todos...

ate mais...