TS no firewall [RESOLVIDO]

arc
(usa Slackware)

Enviado em 11/10/2010 - 22:53h

Cara ta meio estranho o seu firewall( muito grande o arquivo) fica dificil decifrar
tipo eu diria que faltava liberar o FORWARD na porta 3389 mas com as regras a seguir no seu firewall acho que o DROP NO FORWARD já era

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

esta aceitando novos pacotes com a flag NEW ou será que estou enganado

conselho cria um script com tudo drop e vai liberando aos poucos

outra coisa a porta do mysql esta aberta para a internet tome cuidado

rodrigoh79
(usa Debian)

Enviado em 11/10/2010 - 23:40h

Valeu arc, lejoso. Ainda bem que tem gente no fórum afim de ajudar. Arc, após postar aki eu coloquei a porta 3389 no FORWARD, mesmo assim não deu reultado. Quanto às suas sugestões, vou alterar. valeu a dica. Em outro fórum um cara sugeriu colocar a porta 3389 também liberada no OUTPUT, mas minha política padrão para OUTPUT, é ACCEPT. Outra sugestão foi no PREROUTING E FORWARD da porta 3389, usar o -I ao invés do -A, para dar prioridade àquelas regras. Também não deu certo.

Radiske
(usa Slackware)

Enviado em 12/10/2010 - 00:17h

Olá,

Experimente usar a seguinte linha com essas instruções.

iptables -t nat -A PREROUTING -i Interface_de_Entrada -p tcp --dport 3389 -j DNAT --to ip_do_servidor:3389

Olha, aconselho a resolver seu problema da seguinte forma: Coloque somente essa linha em um script de firewall e teste somente com ele.
Depois, se der certo, vá montando seu script aos poucos.
De qualquer forma, coloque essa instrução antes das instruções de bloqueio.

Atenciosamente,

Radiske

rodrigoh79
(usa Debian)

Enviado em 12/10/2010 - 18:28h

Acho que vou fazer o que o vcs sugeriram. Vou acrescentar somente as linhas do TS, testar, e se funcionar vou acrescentando o restante. Vou retirar essa linhas:

## ACCEPT (libera) pacotes de retorno da internet
# -------------------------------------------------------
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

Mas a primeira vez que coloquei prá funcionar esse firewall, lembro que coloquei somente a regra do Squid, o masquerade, e o TS. Dava o mesmo erro. Continuo na lida e agradeço as respostas do pessoal. Quarta a noite vou fazer mais um teste (depois que fechar o escritório). Valeu galera.

lejoso
(usa Debian)

Enviado em 13/10/2010 - 08:35h

"jejoso, é assim: o servidor é 10.1.1.150, e uma outra estação com a mesma faixa 10.1.1.0. Ambos sob a máscara 255.255.255.0".

Então, como estão no mesmo barramento as requisições nem passam pelo firewall. No TS apenas digite o ip do servidor que tem que acessar. O proxy também não tem nada a ver, pois ele serve para navegação apenas.

rodrigoh79
(usa Debian)

Enviado em 13/10/2010 - 09:56h

pois é lejoso, o estranho é isso. as estações e o servidor estão na mesma rede. Mas quando ligo o proxy não acessa mais. Quando tiro o proxy e coloco o modem de volta, funciona. É isso que me deixa indignado.

arc
(usa Slackware)

Enviado em 13/10/2010 - 16:53h

Achei que não conecta-se apenas na rede externa, caso não esteja conectando internamente também com o proxy habilitado fica dificil ajudar, pois o proxy não tem nada haver com TS. Verifica se a requisição esta chegando ao servidor TS.

qxada07
(usa Slackware)

Enviado em 13/10/2010 - 18:26h

Amigo... Se a politica de INPUT e FORWARD já estão em DROP, vc não precisa dropar elas novamente nas outras linhas..... Caso vc tenha alguma duvida com relação ao firewall, sugiro alterar as politas de DROP e FORWARD para ACCEPT para realizar testes... Porém se seu acesso é dentro da rede interna, então seu problema não será no firewall..... da um tcpdump para cima do TS e tenta realizar a conexão para ver se a conexão esta chegando até o TS ou não...

tcpdump host IP_do_TS

rodrigoh79
(usa Debian)

Enviado em 14/10/2010 - 22:42h

Galera, parece que vai funcionar agora. Esta noite dei uma enxugada no firewall, e ficou funcionando. Vou ver como se comportará amanhã. O script ficou assim:
echo "----------------------------------"
echo "iniciando configuração do Firewall"
echo "----------------------------------"

sleep 3

# --------------Ativa Modulos-----------------------------------------
modprobe ip_tables
modprobe ip_conntrack
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_LOG
modprobe ipt_limit
modprobe ipt_state
modprobe ipt_REDIRECT
modprobe ipt_owner
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

# ------------Zera regras-------------------------------------------
iptables -F
iptables -Z
iptables -X
iptables -t nat -F

# -------------Determina a politica padrao------------------------------------------
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# --------------Ativa roteamento no kernel-----------------------------------------
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# --------------Abre para a interface de loopback.--------------------
iptables -A INPUT -s 127.0.0.1 -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

# --------------Libera o HTTP-----------------------------------------
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# --------------DNS - Libera a resolucao de nomes----------------------
iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT

# --------------Mascaramento de rede para acesso externo---------------
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# --------------Redirencionar portas 80 para 3128----------------------
iptables -A INPUT -p tcp -i eth1 --dport 3128 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

## Liberando porta 443 do Squid (sem isso não funciona orkut, hotmail, etc)
## não adianta redirecionar a porta 443 para a 3128, pois https não funciona
## com Squid transparente.
# -------------------------------------------------------
iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT

# -------------Libera a conexao para a rede interna----------------------
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# --------------Abre para uma faixa de endereco da rede local--------------
iptables -A INPUT -p tcp --syn -i eth1 -j ACCEPT

# --------------Abre rede-----------------------------------------------
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A INPUT -i ppp0 -j ACCEPT
iptables -A OUTPUT -o ppp0 -j ACCEPT

# -------------Libera o MSN---------------------------------------------
iptables -A INPUT -p tcp --dport 1863 -j ACCEPT

# -------------Terminal Server------------------------------------------
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 3389 -j DNAT --to 10.1.1.150
#iptables -t nat -A POSTROUTING -d 10.1.1.150 -j SNAT --to 10.1.1.1

# -------------VNC------------------------------------------
#iptables -A INPUT -p tcp --dport 5900 -j ACCEPT
#iptables -A INPUT -p tcp --dport 5800 -j ACCEPT

# -------------Liberando SSH------------------------------------------
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

## Libera o POP SMTP
# -------------------------------------------------------
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT #SMTP
#iptables -A INPUT -p tcp --dport 110 -j ACCEPT #POP
#iptables -A INPUT -p tcp --dport 465 -j ACCEPT #SMTP
#iptables -A INPUT -p tcp --dport 587 -j ACCEPT #SMTP
#iptables -A INPUT -p tcp --dport 995 -j ACCEPT #POP

# Protecao contra port scanners
# -------------------------------------------------------
iptables -N SCANNER
iptables -A SCANNER -m limit --limit 5/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner: "
iptables -A SCANNER -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i ppp0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL NONE -i ppp0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL ALL -i ppp0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i ppp0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i ppp0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i ppp0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i ppp0 -j SCANNER

# ----------------Protecao contra tronjans-----------------------------------
iptables -N TROJAN
iptables -A TROJAN -m limit --limit 5/m -j LOG --log-level 6 --log-prefix "FIREWALL: trojan: "
iptables -A TROJAN -j DROP
iptables -A INPUT -p tcp -i ppp0 --dport 666 -j TROJAN
iptables -A INPUT -p tcp -i ppp0 --dport 666 -j TROJAN
iptables -A INPUT -p tcp -i ppp0 --dport 4000 -j TROJAN
iptables -A INPUT -p tcp -i ppp0 --dport 6000 -j TROJAN
iptables -A INPUT -p tcp -i ppp0 --dport 6006 -j TROJAN
iptables -A INPUT -p tcp -i ppp0 --dport 16660 -j TROJAN

# Protecao contra trinoo
# -------------------------------------------------------
iptables -N TRINOO
iptables -A TRINOO -m limit --limit 5/m -j LOG --log-level 6 --log-prefix "FIREWALL: trinoo: "
iptables -A TRINOO -j DROP
iptables -A INPUT -p tcp -i ppp0 --dport 1524 -j TRINOO
iptables -A INPUT -p tcp -i ppp0 --dport 27444 -j TRINOO
iptables -A INPUT -p tcp -i ppp0 --dport 27665 -j TRINOO
iptables -A INPUT -p tcp -i ppp0 --dport 31335 -j TRINOO
iptables -A INPUT -p tcp -i ppp0 --dport 34555 -j TRINOO
iptables -A INPUT -p tcp -i ppp0 --dport 35555 -j TRINOO

##Negar Ident
# -------------------------------------------------------
iptables -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset

## Reset em conexoes para portas desconhecidas
# ---------------------------------------------------------
iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset

## Esta regra e coracao do firewall
# -------------------------------------------------------
iptables -A INPUT -p tcp --syn -j DROP

echo "----------------------------------"
echo "Firewall configurado com sucesso!"
echo "----------------------------------"
sleep 1

Mas ainda fiquei com uma dúvida. Alguns de vcs me alertaram que as linhas abaixo estavam deixando meu INPUT e FORWARD como ACCEPT. Removi essas linhas mas aí as estações ficam sem acesso à internet.

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

Tem alguma outra forma de modificar de forma que fique mais seguro? Ainda vou ver amanhã como se comporta o firewall. E ainda tenho que ajustar para acesso à alguns bancos, tenho que configurar para acessar o conectividade social. Grato a todos que ajudaram. Vamos ver se segue funcionando.

hrapytor
(usa Debian)

Enviado em 17/10/2010 - 13:03h

Olá Rodrigo,

Tá muito estranho mesmo seu problema, mas é como o lejoso disse se a conexão é interna não tem necessidade de passar pelo Gateway.

Vai uma dica:

Para dar um pouco mais de segurança ao seu servidor e sua rede interna eu configuraria o seu modem para fazer a conexão com a Internet e liberando um ip 192.168.1.3 ou qualquer outro para seu servidor. Somente com esse procedimento vc eliminaria muitas linhas de regras no seu firewall.

No servidor linux deixaria somente rodando DHCP/Squid/ Iptables(somente com as regras necessárias).

Bom se vc quiser fazer esse teste retirei algumas regras do teu fírewall pode ter faltado alguma mas já é o começo.

## Determina a politica padrao
# -------------------------------------------------------
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

## ACCEPT (libera) pacotes de retorno da internet
# -------------------------------------------------------
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

## Mascaramento de rede para acesso externo
# -------------------------------------------------------
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE


## Ativa roteamento no kernel
# -------------------------------------------------------
echo "1" > /proc/sys/net/ipv4/ip_forward


## Abre para a interface de loopback E TB REDE INTERNA.
# -------------------------------------------------------
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT #ETH1 - rede interna


#FORWARD INTERNO
iptables -A FORWARD -s 10.0.0.0 -d 10.0.0.0 -j ACCEPT

Posta ai se vc consegui com minha dica ou de outra forma.

Até.

rodrigoh79
(usa Debian)

Enviado em 18/10/2010 - 10:12h

Galera, o problema era o seguinte: o firewall do Windows Server 2008. Como todos haviam comentado (e eu inclusive, achava muito estranho) o acesso local so TS não passaria pelo firewall. Mas o firewaal do server 2008 estava barrando o redirecionamento do meu proxy/firewall. Agradeço a todos que ajudaram e opinaram, pois melhorei meu script com suas dicas. Uma dúvida que ficou foi aobre aquelas linhas que vc pediram prá retirar do script, sem as quais fico sem acesso à net. E também se tem algum problema deixar o firewall do server 2008 desativado, sendo que tenho um firewall dedicado na rede. Esse é o espírito do fórum, ajudar a galera. Muito grato a todos.

junior
(usa Ubuntu)

Enviado em 18/10/2010 - 14:54h

Que bom que seu problema foi resolvido.
Quanto a questão de deixar o firewall do Windows 2008, eu aconselho você a deixá-lo ativado.
Visto que o firewall Linux, que é um firewall de borda, irá apenas proteger de ataques externos, sendo que muitas vezes, nossos servidores são alvos de ataques de estações da rede interna.

Agora que você identificou o foco do problema, otimize seu script e mesmo não gostando dos comentários do "irado", siga os link's que o mesmo postou que lhe ajudará a entender melhor o iptables e deixar seu firewall cada vez mais robusto e eficaz.

Um abraço.