[Ubuntu-BR] Res: Firewall iptables bloqueando web server interno

PaulinhoLinux phga1 em yahoo.com.br
Quinta Abril 2 13:26:17 UTC 2009 

e aí thiago blzzzzz

estou mandando o log do meu apache (error.log) 

[Thu Apr 02 10:22:55 2009] [notice] caught SIGWINCH, shutting down gracefully
[Thu Apr 02 10:23:05 2009] [notice] Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.5 with Suhosin-Patch configured -- resuming normal operations


qto a configuração so SELinux eu não realizei nenhuma configuração. 

obrigado pela ajuda ...

PaulinhoLinux

 _______________________________________________________________


PaulinhoLinux


>> e-mail.... paulinholinux arroba yahoo ponto com ponto br
>> msn....... paulinholinux arroba hotmail ponto com

>> Ter problemas na vida é inevitável,
ser derrotado por eles é opcional. <<


_______________________________________________________________



----- Mensagem original ----
De: Thiago Silveira Alexandre <thsalex em gmail.com>
Para: Lista de discussão do LoCoTeam Brasileiro <ubuntu-br em lists.ubuntu.com>
Enviadas: Quarta-feira, 1 de Abril de 2009 22:41:29
Assunto: Re: [Ubuntu-BR] Firewall iptables bloqueando web server interno

você já olhou os logs de erro do apache?
de um tail -f no /var/log/apache2/error.log, tente acessar o site e cole
aqui a saida do log.
Outra coisa, como está configurado seu SELinux?
Se tiver enforce tem que criar uma police para liberar o apache, senao ele
não deixa acessar o site mesmo.
aguardo resposta

2009/4/1 PaulinhoLinux <phga1 em yahoo.com.br>

>
> E aí galera blzzzz
>
> estou com o seguinte problema, criei um script contendo regras com o
> iptables e estou rodando ele no meu gateway. Este equipamento roda tbem o
> squid e o MySAR para gerar relatórios dos acessos.
>
> só que não estou conseguindo acessar o servidor web contido neste servidor.
> Para que eu acesse o servidor web eu tenho que dar um stop (parar) o
> firewall (ou seja limpar as regras e mudar a politica padão para accept),
> qdo o firewall está rodando ao tentar acesso ao servidor web recebo a
> seguinte mensagem:
>
>
> ERRO
> A URL solicitada não pode ser recuperada
>
> O seguinte erro foi encontrado:
>        * Requisição inválida.
> Já analisei as minhas regras e não consegui encontrar a origem do problema,
> por favor preciso de ajuda.
>
> Obrigado
>
> PaulinhoLinux
>
> OBS: Segue abaixo o meu script firewall
>
> #!/bin/bash
>
> firewall_start(){
>
> EXTERNA=eth0
> INTERNA=eth1
>
> # Abre para a interface de loopback.
> iptables -A INPUT -i lo -j ACCEPT
>
> # regra para permitir acesso a conectividade social - caixa
> #iptables -t nat -A PREROUTING -i eth0 -d ! 200.201.174.0/24 -p tcp
> --dport 80 -j REDIRECT --to-port 8080
>
> ##### Liberar Conectividade Social para todos
> # liberando acesso a toda a rede 200.201 e pode liberar sites alem da
> CAIXA.
> iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
> iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
>
> ##### Filtros - DROP nos pacotes TCP indesejaveis
> iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level
> 6 --log-prefix "FIREWALL: NEW sem syn: "
> iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
>
> ##### ACCEPT (libera) pacotes de retorno da internet
> iptables -A INPUT -i ! $EXTERNA -j ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
>
> # Fechando as portas do samba caso fique de cara para a internet.
> #iptables -A INPUT -p tcp -i $EXTERNA --syn --dport 139 -j DROP
> #iptables -A INPUT -p tcp -i $EXTERNA --syn --dport 138 -j DROP
>
> # aceita conexoes vindas da rede interna com destino ao web server
> iptables -A INPUT -p tcp -i $INTERNA --syn --dport 80 -j ACCEPT
>
>
> # NAT para os demais serviços que trabalham em outras portas
> iptables -A POSTROUTING -t nat -o $EXTERNA -j MASQUERADE
> echo "1" > /proc/sys/net/ipv4/ip_forward
>
> ##### Libera acesso externo para ssh e servidor web
> #iptables -A INPUT -p tcp --dport 80 -i $EXTERNA -j ACCEPT
> #iptables -A INPUT -p tcp --dport 80 -i $INTERNA -j ACCEPT
> #iptables -A INPUT -p tcp --dport 22 -i $EXTERNA -j ACCEPT
> iptables -A INPUT -p tcp --dport 22 -i $INTERNA -j ACCEPT
>
> # REDIRECIONAR PARA O PROXY SQUID
> iptables -t nat -A PREROUTING -i $INTERNA -s ! 192.168.10.2 -p tcp -m
> multiport  --dport 80,443 -j REDIRECT --to-ports 8080
>
>
> firewall_start(){
> # Ativa módulos
> modprobe ip_tables
> modprobe iptable_nat
> modprobe ip_conntrack
> modprobe ip_nat_ftp
> modprobe ipt_REJECT
> modprobe ipt_MASQUERADE
>
> # Zera regras
> iptables -F
> iptables -X
> iptables -t nat -F
> iptables -t nat -X
>
> # define a politica padrao
> iptables -P INPUT DROP
> iptables -P FORWARD DROP
> iptables -P OUTPUT DROP
> }
> }
> firewall_stop(){
> # Zera regras
> iptables -F
> iptables -X
> iptables -t nat -F
> iptables -X -t nat
> iptables -F -t filter
> iptables -X -t filter
>
> # define a politica padrao
> iptables -P INPUT ACCEPT
> iptables -P FORWARD ACCEPT
> iptables -P OUTPUT ACCEPT
>
> }
>
> case "$1" in
> "start")
> firewall_start
> echo " Firewall iniciando"
> sleep 2
> echo "ok"
> ;;
> "stop")
> firewall_stop
> echo "O firewall esta sendo desativado"
> sleep 2
> echo "ok"
> ;;
> "restart")
> echo "O firewall esta sendo reiniciado"
> sleep 1
> echo "ok."
> firewall_stop; firewall_start
> ;;
> *)
> esac
>
>
>  _______________________________________________________________
>
>
> PaulinhoLinux
>
>
> >> e-mail.... paulinholinux arroba yahoo ponto com ponto br
> >> msn....... paulinholinux arroba hotmail ponto com
>
> >> Ter problemas na vida é inevitável,
> ser derrotado por eles é opcional. <<
>
>
> _______________________________________________________________
>
>
>
>      Veja quais são os assuntos do momento no Yahoo! +Buscados
> http://br.maisbuscados.yahoo.com
>
> --
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>



-- 
Thiago Silveira Alexandre
-- 
Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece

Lista de discussão Ubuntu Brasil
Histórico, descadastramento e outras opções:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br



      Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com

More information about the ubuntu-br mailing list