[Ubuntu-BR] Firewall iptables bloqueando web server interno

Diêgo Figueiredo diegolcf em hotmail.com
Quinta Abril 2 04:11:34 UTC 2009


gostaria de aproveitar a dúvida do nosso colega pra perguntar se existe alguma forma de rodar um script de firewall na inicialização do Sistema Operacional , pois já fiz de tudo, e só consigo fazer rodar chamando o script....

estou usando ubuntu server 8.04

ps. Amigo não é uma boa prática expor assim o ip da sua rede, isso abre um leque imenso pra invasão.... se o ambiente em que vc trabalha é de produção, com essas informações, alguém poderia invadir a sua rede facilmente...





> Date: Wed, 1 Apr 2009 23:29:42 -0300
> From: waes60 em gmail.com
> To: ubuntu-br em lists.ubuntu.com
> Subject: Re: [Ubuntu-BR] Firewall iptables bloqueando web server interno
> 
> Olá,
> 
>    Verificando suas regras de firewall notei que a regra para acesso
> ao servidor apache, que teoricamente esta rodando na porta 80, esta
> comentada, experimente descomentar a linha que libera o acesso a porta
> 80 para ver se o problema é resolvido, ou, simplesmente, digite na
> linha de comando iptables -A INPUT --dport 80 -j ACCEPT, esse comando
> irá liberar o acesso na porta 80 para as redes interna e externa.
> 
> Atenciosamente,
> 
> Washington
> 
> 
> 
> 
> 
> 2009/4/1 Thiago Silveira Alexandre <thsalex em gmail.com>:
> > você já olhou os logs de erro do apache?
> > de um tail -f no /var/log/apache2/error.log, tente acessar o site e cole
> > aqui a saida do log.
> > Outra coisa, como está configurado seu SELinux?
> > Se tiver enforce tem que criar uma police para liberar o apache, senao ele
> > não deixa acessar o site mesmo.
> > aguardo resposta
> >
> > 2009/4/1 PaulinhoLinux <phga1 em yahoo.com.br>
> >
> >>
> >> E aí galera blzzzz
> >>
> >> estou com o seguinte problema, criei um script contendo regras com o
> >> iptables e estou rodando ele no meu gateway. Este equipamento roda tbem o
> >> squid e o MySAR para gerar relatórios dos acessos.
> >>
> >> só que não estou conseguindo acessar o servidor web contido neste servidor.
> >> Para que eu acesse o servidor web eu tenho que dar um stop (parar) o
> >> firewall (ou seja limpar as regras e mudar a politica padão para accept),
> >> qdo o firewall está rodando ao tentar acesso ao servidor web recebo a
> >> seguinte mensagem:
> >>
> >>
> >> ERRO
> >> A URL solicitada não pode ser recuperada
> >>
> >> O seguinte erro foi encontrado:
> >>        * Requisição inválida.
> >> Já analisei as minhas regras e não consegui encontrar a origem do problema,
> >> por favor preciso de ajuda.
> >>
> >> Obrigado
> >>
> >> PaulinhoLinux
> >>
> >> OBS: Segue abaixo o meu script firewall
> >>
> >> #!/bin/bash
> >>
> >> firewall_start(){
> >>
> >> EXTERNA=eth0
> >> INTERNA=eth1
> >>
> >> # Abre para a interface de loopback.
> >> iptables -A INPUT -i lo -j ACCEPT
> >>
> >> # regra para permitir acesso a conectividade social - caixa
> >> #iptables -t nat -A PREROUTING -i eth0 -d ! 200.201.174.0/24 -p tcp
> >> --dport 80 -j REDIRECT --to-port 8080
> >>
> >> ##### Liberar Conectividade Social para todos
> >> # liberando acesso a toda a rede 200.201 e pode liberar sites alem da
> >> CAIXA.
> >> iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
> >> iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
> >>
> >> ##### Filtros - DROP nos pacotes TCP indesejaveis
> >> iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level
> >> 6 --log-prefix "FIREWALL: NEW sem syn: "
> >> iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
> >>
> >> ##### ACCEPT (libera) pacotes de retorno da internet
> >> iptables -A INPUT -i ! $EXTERNA -j ACCEPT
> >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
> >> iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
> >>
> >> # Fechando as portas do samba caso fique de cara para a internet.
> >> #iptables -A INPUT -p tcp -i $EXTERNA --syn --dport 139 -j DROP
> >> #iptables -A INPUT -p tcp -i $EXTERNA --syn --dport 138 -j DROP
> >>
> >> # aceita conexoes vindas da rede interna com destino ao web server
> >> iptables -A INPUT -p tcp -i $INTERNA --syn --dport 80 -j ACCEPT
> >>
> >>
> >> # NAT para os demais serviços que trabalham em outras portas
> >> iptables -A POSTROUTING -t nat -o $EXTERNA -j MASQUERADE
> >> echo "1" > /proc/sys/net/ipv4/ip_forward
> >>
> >> ##### Libera acesso externo para ssh e servidor web
> >> #iptables -A INPUT -p tcp --dport 80 -i $EXTERNA -j ACCEPT
> >> #iptables -A INPUT -p tcp --dport 80 -i $INTERNA -j ACCEPT
> >> #iptables -A INPUT -p tcp --dport 22 -i $EXTERNA -j ACCEPT
> >> iptables -A INPUT -p tcp --dport 22 -i $INTERNA -j ACCEPT
> >>
> >> # REDIRECIONAR PARA O PROXY SQUID
> >> iptables -t nat -A PREROUTING -i $INTERNA -s ! 192.168.10.2 -p tcp -m
> >> multiport  --dport 80,443 -j REDIRECT --to-ports 8080
> >>
> >>
> >> firewall_start(){
> >> # Ativa módulos
> >> modprobe ip_tables
> >> modprobe iptable_nat
> >> modprobe ip_conntrack
> >> modprobe ip_nat_ftp
> >> modprobe ipt_REJECT
> >> modprobe ipt_MASQUERADE
> >>
> >> # Zera regras
> >> iptables -F
> >> iptables -X
> >> iptables -t nat -F
> >> iptables -t nat -X
> >>
> >> # define a politica padrao
> >> iptables -P INPUT DROP
> >> iptables -P FORWARD DROP
> >> iptables -P OUTPUT DROP
> >> }
> >> }
> >> firewall_stop(){
> >> # Zera regras
> >> iptables -F
> >> iptables -X
> >> iptables -t nat -F
> >> iptables -X -t nat
> >> iptables -F -t filter
> >> iptables -X -t filter
> >>
> >> # define a politica padrao
> >> iptables -P INPUT ACCEPT
> >> iptables -P FORWARD ACCEPT
> >> iptables -P OUTPUT ACCEPT
> >>
> >> }
> >>
> >> case "$1" in
> >> "start")
> >> firewall_start
> >> echo " Firewall iniciando"
> >> sleep 2
> >> echo "ok"
> >> ;;
> >> "stop")
> >> firewall_stop
> >> echo "O firewall esta sendo desativado"
> >> sleep 2
> >> echo "ok"
> >> ;;
> >> "restart")
> >> echo "O firewall esta sendo reiniciado"
> >> sleep 1
> >> echo "ok."
> >> firewall_stop; firewall_start
> >> ;;
> >> *)
> >> esac
> >>
> >>
> >>  _______________________________________________________________
> >>
> >>
> >> PaulinhoLinux
> >>
> >>
> >> >> e-mail.... paulinholinux arroba yahoo ponto com ponto br
> >> >> msn....... paulinholinux arroba hotmail ponto com
> >>
> >> >> Ter problemas na vida é inevitável,
> >> ser derrotado por eles é opcional. <<
> >>
> >>
> >> _______________________________________________________________
> >>
> >>
> >>
> >>      Veja quais são os assuntos do momento no Yahoo! +Buscados
> >> http://br.maisbuscados.yahoo.com
> >>
> >> --
> >> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
> >>
> >> Lista de discussão Ubuntu Brasil
> >> Histórico, descadastramento e outras opções:
> >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
> >>
> >
> >
> >
> > --
> > Thiago Silveira Alexandre
> > --
> > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
> >
> > Lista de discussão Ubuntu Brasil
> > Histórico, descadastramento e outras opções:
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
> >
> 
> -- 
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
> 
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br

_________________________________________________________________
Descubra seu lado desconhecido com o novo Windows Live!
http://www.windowslive.com.br


More information about the ubuntu-br mailing list