[Ubuntu-BR] Help IPTABLES

Marcelo Gondim gondim em linuxinfo.com.br
Terça Julho 8 14:26:19 UTC 2008 

Oi Flávio,

Estou vendo que o pessoal já te ajudou aí bastante :)
Depois com calma dê uma olhada nesse projeto que desenvolvo desde 2000,
faz tempo, chamado TuxFrw. São shell scripts organizados de forma
modular. De lá pra cá algumas pessoas tem até ajudado com idéias de
melhorias mas ultimamente com menos ajuda rsrsrsrs vc pode baixar daqui:

http://www.sourceforge.net/projects/tuxfrw

A versão que está lá é a 2.62 mas já estou com a 2.63 pronta aqui pra
lançar. Tentarei fazer isso até o fim de semana mas se quiser antes só
mandar e-mail. 
Aqui vai um descritivo dele:

TuxFrw é um simples conjunto de scripts, desenvolvido para facilitar a
maneira com que firewalls GNU/Linux baseados em IPTables são
construídos. Usando o TuxFrw um usuario pode configurar seu próprio
firewall, simplesmente fornecendo informações sobre a topologia das
redes e os servicos que deverão ser mantidos. Através de sua organização
flexível e modular, pode-se criar desde um firewall básico para proteger
um único host, ou um poderoso gateway responsável por até três redes
diferentes (Internet, rede local e DMZ).
Também possui suporte à proxy normal e proxy transparente, VPN com pptp
e OpenVPN.

Fica aqui a dica da ferramenta :) quem sabe não consigo mais ajuda no
projeto! rsrsrsrs

Grande abraço à todos.

Em Seg, 2008-07-07 às 16:36 -0300, Thiago escreveu:
> Flávio Alexandre escreveu:
> > Olá pessoal,
> > estou com algumas dúvidas aqui no iptables, podem me ajudar ?
> >
> > Estou instalando um novo servidor que irá compartilhar um linka a EMBRATEL
> > com duas redes, a pricipaio preciso fazer ele funcionar com apenas uma rede,
> > segue minhas chains, porém nao está dando certo, estou estudando o Iptbales
> > pra melhorar cada vez mais meu firewall.
> >
> > peguei ums maquina da intranet pra testar o compartilhamento da conexão,
> > configurei a mesma a seguinte forma
> >
> > ip: 192.168.0.4
> > gateway : 192.168.0.1
> > dns:  informados pela embratel
> >
> > alguem pode me ajduar no que estou errando, pois a maq cliente naotem acesso
> > a internet.
> >
> > #!/bin/bash
> >
> > echo "Iniciando o IPTables..."
> > echo
> >
> > ##############
> > ##Variáveis##
> > #############
> > ip_adm='192.168.0.0'
> > it_ext='eth0'   # ip da embratel
> > it_int='eth1'    # intranet
> > it_com='eth2' # servidor de comunicação
> > cmd_iptables='/sbin/iptables'
> >
> > ###########################################
> > ##   Limpa todas as regras               ##
> > ###########################################
> > echo "Limpando as regras..."
> > $cmd_iptables -F
> > $cmd_iptables -X
> > $cmd_iptables -t nat -F
> > echo
> >
> > ####################################
> > ##Habilita roteamento entre placas##
> > ####################################
> > echo "1" > /proc/sys/net/ipv4/ip_forward
> >
> > ######################
> > ##Carrega os módulos##
> > ######################
> > echo "Carregando novas regras..."
> > echo
> > /sbin/modprobe iptable_natt
> > /sbin/modprobe ip_conntrack_ftp
> > /sbin/modprobe ip_nat_ftp
> >
> > #########################################################
> > ##Trava o envio de entrada/saida de pacotes no Firewall##
> > #########################################################
> > $cmd_iptables -P INPUT DROP
> > $cmd_iptables -P FORWARD DROP
> > $cmd_iptables -P OUTPUT ACCEPT
> >
> > #########################
> > ##Rede Administrativa  ##
> > #########################
> > #NAT
> > $cmd_iptables -t nat -A POSTROUTING -s $ip_adm/24 -o $it_ext -j MASQUERADE
> >
> > #DNS 53
> > $cmd_iptables -A FORWARD -p tcp -s $ip_adm/24 -d 0/0 --dport 53 -j ACCEPT
> > $cmd_iptables -A FORWARD -p udp -s $ip_adm/24 -d 0/0 --dport 53 -j ACCEPT
> >
> > # Web 80/8080/8081
> > $cmd_iptables -A FORWARD -p tcp -s $ip_adm/24 -d 0/0 --dport 80 -j ACCEPT
> > $cmd_iptables -A FORWARD -p tcp -s $ip_adm/24 -d 0/0 --dport 8080 -j ACCEPT
> > $cmd_iptables -A FORWARD -p tcp -s $ip_adm/24 -d 0/0 --dport 8081 -j ACCEPT
> >
> > echo " ############################### "
> > echo " # FINAL DO SCRIPT DE FIREWALL # "
> > echo " ############################### "
> >
> > att:
> >
> > Flavio Alexandre
> >   
> Olá Alexandre,
> 
> Como a política do seu firewall é DROP, então você terá que liberar os 
> pacotes que estão voltando também. No caso das regras do seu script, os 
> pacotes conseguem sair para a internet, mas estão sendo bloqueados na 
> volta. Todo troubleshoot relacionado a rede é necessário a utilização do 
> um sniffer, no seu caso a utilização do tcpdump é imprescindível para a 
> compreensão do problema. Pois não adianta resolver sem saber o fato o 
> que está ocorrendo. Pense nisso!
> 
> Vou colocar aqui 2 regras detalhadas para ver se você entendeu:
> #iptables -A FORWARD -i eth1 -o eth0 -p tcp -s 192.168.0.0/24 --dport 80 
> -j ACCEPT
> #iptables -A FORWARD -i eth0 -o eth1 -p tcp -d 192.168.0.0/24 --sport 80 
> -j ACCEPT
> 
> Não esqueça de executar o tcpdump em cada interface.
> 
> Atenciosamente,
> Thiago
>

More information about the ubuntu-br mailing list