[Ubuntu-BR] Firewall iptables bloqueando web server interno

Washington Alves waes60 em gmail.com
Quinta Abril 2 02:29:42 UTC 2009


Olá,

   Verificando suas regras de firewall notei que a regra para acesso
ao servidor apache, que teoricamente esta rodando na porta 80, esta
comentada, experimente descomentar a linha que libera o acesso a porta
80 para ver se o problema é resolvido, ou, simplesmente, digite na
linha de comando iptables -A INPUT --dport 80 -j ACCEPT, esse comando
irá liberar o acesso na porta 80 para as redes interna e externa.

Atenciosamente,

Washington





2009/4/1 Thiago Silveira Alexandre <thsalex em gmail.com>:
> você já olhou os logs de erro do apache?
> de um tail -f no /var/log/apache2/error.log, tente acessar o site e cole
> aqui a saida do log.
> Outra coisa, como está configurado seu SELinux?
> Se tiver enforce tem que criar uma police para liberar o apache, senao ele
> não deixa acessar o site mesmo.
> aguardo resposta
>
> 2009/4/1 PaulinhoLinux <phga1 em yahoo.com.br>
>
>>
>> E aí galera blzzzz
>>
>> estou com o seguinte problema, criei um script contendo regras com o
>> iptables e estou rodando ele no meu gateway. Este equipamento roda tbem o
>> squid e o MySAR para gerar relatórios dos acessos.
>>
>> só que não estou conseguindo acessar o servidor web contido neste servidor.
>> Para que eu acesse o servidor web eu tenho que dar um stop (parar) o
>> firewall (ou seja limpar as regras e mudar a politica padão para accept),
>> qdo o firewall está rodando ao tentar acesso ao servidor web recebo a
>> seguinte mensagem:
>>
>>
>> ERRO
>> A URL solicitada não pode ser recuperada
>>
>> O seguinte erro foi encontrado:
>>        * Requisição inválida.
>> Já analisei as minhas regras e não consegui encontrar a origem do problema,
>> por favor preciso de ajuda.
>>
>> Obrigado
>>
>> PaulinhoLinux
>>
>> OBS: Segue abaixo o meu script firewall
>>
>> #!/bin/bash
>>
>> firewall_start(){
>>
>> EXTERNA=eth0
>> INTERNA=eth1
>>
>> # Abre para a interface de loopback.
>> iptables -A INPUT -i lo -j ACCEPT
>>
>> # regra para permitir acesso a conectividade social - caixa
>> #iptables -t nat -A PREROUTING -i eth0 -d ! 200.201.174.0/24 -p tcp
>> --dport 80 -j REDIRECT --to-port 8080
>>
>> ##### Liberar Conectividade Social para todos
>> # liberando acesso a toda a rede 200.201 e pode liberar sites alem da
>> CAIXA.
>> iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
>> iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
>>
>> ##### Filtros - DROP nos pacotes TCP indesejaveis
>> iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level
>> 6 --log-prefix "FIREWALL: NEW sem syn: "
>> iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
>>
>> ##### ACCEPT (libera) pacotes de retorno da internet
>> iptables -A INPUT -i ! $EXTERNA -j ACCEPT
>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
>> iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
>>
>> # Fechando as portas do samba caso fique de cara para a internet.
>> #iptables -A INPUT -p tcp -i $EXTERNA --syn --dport 139 -j DROP
>> #iptables -A INPUT -p tcp -i $EXTERNA --syn --dport 138 -j DROP
>>
>> # aceita conexoes vindas da rede interna com destino ao web server
>> iptables -A INPUT -p tcp -i $INTERNA --syn --dport 80 -j ACCEPT
>>
>>
>> # NAT para os demais serviços que trabalham em outras portas
>> iptables -A POSTROUTING -t nat -o $EXTERNA -j MASQUERADE
>> echo "1" > /proc/sys/net/ipv4/ip_forward
>>
>> ##### Libera acesso externo para ssh e servidor web
>> #iptables -A INPUT -p tcp --dport 80 -i $EXTERNA -j ACCEPT
>> #iptables -A INPUT -p tcp --dport 80 -i $INTERNA -j ACCEPT
>> #iptables -A INPUT -p tcp --dport 22 -i $EXTERNA -j ACCEPT
>> iptables -A INPUT -p tcp --dport 22 -i $INTERNA -j ACCEPT
>>
>> # REDIRECIONAR PARA O PROXY SQUID
>> iptables -t nat -A PREROUTING -i $INTERNA -s ! 192.168.10.2 -p tcp -m
>> multiport  --dport 80,443 -j REDIRECT --to-ports 8080
>>
>>
>> firewall_start(){
>> # Ativa módulos
>> modprobe ip_tables
>> modprobe iptable_nat
>> modprobe ip_conntrack
>> modprobe ip_nat_ftp
>> modprobe ipt_REJECT
>> modprobe ipt_MASQUERADE
>>
>> # Zera regras
>> iptables -F
>> iptables -X
>> iptables -t nat -F
>> iptables -t nat -X
>>
>> # define a politica padrao
>> iptables -P INPUT DROP
>> iptables -P FORWARD DROP
>> iptables -P OUTPUT DROP
>> }
>> }
>> firewall_stop(){
>> # Zera regras
>> iptables -F
>> iptables -X
>> iptables -t nat -F
>> iptables -X -t nat
>> iptables -F -t filter
>> iptables -X -t filter
>>
>> # define a politica padrao
>> iptables -P INPUT ACCEPT
>> iptables -P FORWARD ACCEPT
>> iptables -P OUTPUT ACCEPT
>>
>> }
>>
>> case "$1" in
>> "start")
>> firewall_start
>> echo " Firewall iniciando"
>> sleep 2
>> echo "ok"
>> ;;
>> "stop")
>> firewall_stop
>> echo "O firewall esta sendo desativado"
>> sleep 2
>> echo "ok"
>> ;;
>> "restart")
>> echo "O firewall esta sendo reiniciado"
>> sleep 1
>> echo "ok."
>> firewall_stop; firewall_start
>> ;;
>> *)
>> esac
>>
>>
>>  _______________________________________________________________
>>
>>
>> PaulinhoLinux
>>
>>
>> >> e-mail.... paulinholinux arroba yahoo ponto com ponto br
>> >> msn....... paulinholinux arroba hotmail ponto com
>>
>> >> Ter problemas na vida é inevitável,
>> ser derrotado por eles é opcional. <<
>>
>>
>> _______________________________________________________________
>>
>>
>>
>>      Veja quais são os assuntos do momento no Yahoo! +Buscados
>> http://br.maisbuscados.yahoo.com
>>
>> --
>> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>>
>> Lista de discussão Ubuntu Brasil
>> Histórico, descadastramento e outras opções:
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>>
>
>
>
> --
> Thiago Silveira Alexandre
> --
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>




More information about the ubuntu-br mailing list