[Ubuntu-BR] Help IPTABLES

Terça Julho 8 16:14:18 UTC 2008

Pessoal,
agradeço muito a tenção de todos, me desculepem pela demora no
agradecimento, tive usn problemas e nao pude olhar o e-mail da lista.

Com certeza todas as respostas são muito bem vindas, e sem duvida alguam
validas para meus estudos.

Abraços a todos

Flávio Alexandre

2008/7/8 Marcelo Gondim <gondim em linuxinfo.com.br>:

> Oi Flávio,
>
> Estou vendo que o pessoal já te ajudou aí bastante :)
> Depois com calma dê uma olhada nesse projeto que desenvolvo desde 2000,
> faz tempo, chamado TuxFrw. São shell scripts organizados de forma
> modular. De lá pra cá algumas pessoas tem até ajudado com idéias de
> melhorias mas ultimamente com menos ajuda rsrsrsrs vc pode baixar daqui:
>
> http://www.sourceforge.net/projects/tuxfrw
>
> A versão que está lá é a 2.62 mas já estou com a 2.63 pronta aqui pra
> lançar. Tentarei fazer isso até o fim de semana mas se quiser antes só
> mandar e-mail.
> Aqui vai um descritivo dele:
>
> TuxFrw é um simples conjunto de scripts, desenvolvido para facilitar a
> maneira com que firewalls GNU/Linux baseados em IPTables são
> construídos. Usando o TuxFrw um usuario pode configurar seu próprio
> firewall, simplesmente fornecendo informações sobre a topologia das
> redes e os servicos que deverão ser mantidos. Através de sua organização
> flexível e modular, pode-se criar desde um firewall básico para proteger
> um único host, ou um poderoso gateway responsável por até três redes
> diferentes (Internet, rede local e DMZ).
> Também possui suporte à proxy normal e proxy transparente, VPN com pptp
> e OpenVPN.
>
> Fica aqui a dica da ferramenta :) quem sabe não consigo mais ajuda no
> projeto! rsrsrsrs
>
> Grande abraço à todos.
>
> Em Seg, 2008-07-07 às 16:36 -0300, Thiago escreveu:
> > Flávio Alexandre escreveu:
> > > Olá pessoal,
> > > estou com algumas dúvidas aqui no iptables, podem me ajudar ?
> > >
> > > Estou instalando um novo servidor que irá compartilhar um linka a
> EMBRATEL
> > > com duas redes, a pricipaio preciso fazer ele funcionar com apenas uma
> rede,
> > > segue minhas chains, porém nao está dando certo, estou estudando o
> Iptbales
> > > pra melhorar cada vez mais meu firewall.
> > >
> > > peguei ums maquina da intranet pra testar o compartilhamento da
> conexão,
> > > configurei a mesma a seguinte forma
> > >
> > > ip: 192.168.0.4
> > > gateway : 192.168.0.1
> > > dns:  informados pela embratel
> > >
> > > alguem pode me ajduar no que estou errando, pois a maq cliente naotem
> acesso
> > > a internet.
> > >
> > > #!/bin/bash
> > >
> > > echo "Iniciando o IPTables..."
> > > echo
> > >
> > > ##############
> > > ##Variáveis##
> > > #############
> > > ip_adm='192.168.0.0'
> > > it_ext='eth0'   # ip da embratel
> > > it_int='eth1'    # intranet
> > > it_com='eth2' # servidor de comunicação
> > > cmd_iptables='/sbin/iptables'
> > >
> > > ###########################################
> > > ##   Limpa todas as regras               ##
> > > ###########################################
> > > echo "Limpando as regras..."
> > > $cmd_iptables -F
> > > $cmd_iptables -X
> > > $cmd_iptables -t nat -F
> > > echo
> > >
> > > ####################################
> > > ##Habilita roteamento entre placas##
> > > ####################################
> > > echo "1" > /proc/sys/net/ipv4/ip_forward
> > >
> > > ######################
> > > ##Carrega os módulos##
> > > ######################
> > > echo "Carregando novas regras..."
> > > echo
> > > /sbin/modprobe iptable_natt
> > > /sbin/modprobe ip_conntrack_ftp
> > > /sbin/modprobe ip_nat_ftp
> > >
> > > #########################################################
> > > ##Trava o envio de entrada/saida de pacotes no Firewall##
> > > #########################################################
> > > $cmd_iptables -P INPUT DROP
> > > $cmd_iptables -P FORWARD DROP
> > > $cmd_iptables -P OUTPUT ACCEPT
> > >
> > > #########################
> > > ##Rede Administrativa  ##
> > > #########################
> > > #NAT
> > > $cmd_iptables -t nat -A POSTROUTING -s $ip_adm/24 -o $it_ext -j
> MASQUERADE
> > >
> > > #DNS 53
> > > $cmd_iptables -A FORWARD -p tcp -s $ip_adm/24 -d 0/0 --dport 53 -j
> ACCEPT
> > > $cmd_iptables -A FORWARD -p udp -s $ip_adm/24 -d 0/0 --dport 53 -j
> ACCEPT
> > >
> > > # Web 80/8080/8081
> > > $cmd_iptables -A FORWARD -p tcp -s $ip_adm/24 -d 0/0 --dport 80 -j
> ACCEPT
> > > $cmd_iptables -A FORWARD -p tcp -s $ip_adm/24 -d 0/0 --dport 8080 -j
> ACCEPT
> > > $cmd_iptables -A FORWARD -p tcp -s $ip_adm/24 -d 0/0 --dport 8081 -j
> ACCEPT
> > >
> > > echo " ############################### "
> > > echo " # FINAL DO SCRIPT DE FIREWALL # "
> > > echo " ############################### "
> > >
> > > att:
> > >
> > > Flavio Alexandre
> > >
> > Olá Alexandre,
> >
> > Como a política do seu firewall é DROP, então você terá que liberar os
> > pacotes que estão voltando também. No caso das regras do seu script, os
> > pacotes conseguem sair para a internet, mas estão sendo bloqueados na
> > volta. Todo troubleshoot relacionado a rede é necessário a utilização do
> > um sniffer, no seu caso a utilização do tcpdump é imprescindível para a
> > compreensão do problema. Pois não adianta resolver sem saber o fato o
> > que está ocorrendo. Pense nisso!
> >
> > Vou colocar aqui 2 regras detalhadas para ver se você entendeu:
> > #iptables -A FORWARD -i eth1 -o eth0 -p tcp -s 192.168.0.0/24 --dport 80
> > -j ACCEPT
> > #iptables -A FORWARD -i eth0 -o eth1 -p tcp -d 192.168.0.0/24 --sport 80
> > -j ACCEPT
> >
> > Não esqueça de executar o tcpdump em cada interface.
> >
> > Atenciosamente,
> > Thiago
> >
>
>
> --
> Interessado em aprender mais sobre o Ubuntu em português?
> http://wiki.ubuntu-br.org/ComeceAqui  -
> ubuntu-br mailing list
> ubuntu-br em lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>