[Ubuntu-BR] Firewall iptables bloqueando web server interno

Thiago Silveira Alexandre thsalex em gmail.com
Quinta Abril 2 14:05:20 UTC 2009


Paulinho,
faça o mesmo procedimento que eu sugeri nos outros logs do apache
/var/log/apache2/accses.log e cole aqui o resultado.

Só uma pergunta que pode ser besta, depois que você descomentou a linha que
falaram anteriormente você executou o script novamente?

2009/4/2 Thiago Silveira Alexandre <thsalex em gmail.com>

> Diêgo, basta você colocar uma chamado a esse script no rc.local. Ex: Se o
> seu script estiver em /etc/firewall, dê permissão de execução pra ele e
> depois adicione a seguinte linha /etc/firewall antes do exit no arquivo
> /etc/rc.local
>
> 2009/4/2 Diêgo Figueiredo <diegolcf em hotmail.com>
>
>
>> gostaria de aproveitar a dúvida do nosso colega pra perguntar se existe
>> alguma forma de rodar um script de firewall na inicialização do Sistema
>> Operacional , pois já fiz de tudo, e só consigo fazer rodar chamando o
>> script....
>>
>> estou usando ubuntu server 8.04
>>
>> ps. Amigo não é uma boa prática expor assim o ip da sua rede, isso abre um
>> leque imenso pra invasão.... se o ambiente em que vc trabalha é de produção,
>> com essas informações, alguém poderia invadir a sua rede facilmente...
>>
>>
>>
>>
>>
>> > Date: Wed, 1 Apr 2009 23:29:42 -0300
>> > From: waes60 em gmail.com
>> > To: ubuntu-br em lists.ubuntu.com
>> > Subject: Re: [Ubuntu-BR] Firewall iptables bloqueando web server interno
>> >
>> > Olá,
>> >
>> >    Verificando suas regras de firewall notei que a regra para acesso
>> > ao servidor apache, que teoricamente esta rodando na porta 80, esta
>> > comentada, experimente descomentar a linha que libera o acesso a porta
>> > 80 para ver se o problema é resolvido, ou, simplesmente, digite na
>> > linha de comando iptables -A INPUT --dport 80 -j ACCEPT, esse comando
>> > irá liberar o acesso na porta 80 para as redes interna e externa.
>> >
>> > Atenciosamente,
>> >
>> > Washington
>> >
>> >
>> >
>> >
>> >
>> > 2009/4/1 Thiago Silveira Alexandre <thsalex em gmail.com>:
>> > > você já olhou os logs de erro do apache?
>> > > de um tail -f no /var/log/apache2/error.log, tente acessar o site e
>> cole
>> > > aqui a saida do log.
>> > > Outra coisa, como está configurado seu SELinux?
>> > > Se tiver enforce tem que criar uma police para liberar o apache, senao
>> ele
>> > > não deixa acessar o site mesmo.
>> > > aguardo resposta
>> > >
>> > > 2009/4/1 PaulinhoLinux <phga1 em yahoo.com.br>
>> > >
>> > >>
>> > >> E aí galera blzzzz
>> > >>
>> > >> estou com o seguinte problema, criei um script contendo regras com o
>> > >> iptables e estou rodando ele no meu gateway. Este equipamento roda
>> tbem o
>> > >> squid e o MySAR para gerar relatórios dos acessos.
>> > >>
>> > >> só que não estou conseguindo acessar o servidor web contido neste
>> servidor.
>> > >> Para que eu acesse o servidor web eu tenho que dar um stop (parar) o
>> > >> firewall (ou seja limpar as regras e mudar a politica padão para
>> accept),
>> > >> qdo o firewall está rodando ao tentar acesso ao servidor web recebo a
>> > >> seguinte mensagem:
>> > >>
>> > >>
>> > >> ERRO
>> > >> A URL solicitada não pode ser recuperada
>> > >>
>> > >> O seguinte erro foi encontrado:
>> > >>        * Requisição inválida.
>> > >> Já analisei as minhas regras e não consegui encontrar a origem do
>> problema,
>> > >> por favor preciso de ajuda.
>> > >>
>> > >> Obrigado
>> > >>
>> > >> PaulinhoLinux
>> > >>
>> > >> OBS: Segue abaixo o meu script firewall
>> > >>
>> > >> #!/bin/bash
>> > >>
>> > >> firewall_start(){
>> > >>
>> > >> EXTERNA=eth0
>> > >> INTERNA=eth1
>> > >>
>> > >> # Abre para a interface de loopback.
>> > >> iptables -A INPUT -i lo -j ACCEPT
>> > >>
>> > >> # regra para permitir acesso a conectividade social - caixa
>> > >> #iptables -t nat -A PREROUTING -i eth0 -d ! 200.201.174.0/24 -p tcp
>> > >> --dport 80 -j REDIRECT --to-port 8080
>> > >>
>> > >> ##### Liberar Conectividade Social para todos
>> > >> # liberando acesso a toda a rede 200.201 e pode liberar sites alem da
>> > >> CAIXA.
>> > >> iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
>> > >> iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
>> > >>
>> > >> ##### Filtros - DROP nos pacotes TCP indesejaveis
>> > >> iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG
>> --log-level
>> > >> 6 --log-prefix "FIREWALL: NEW sem syn: "
>> > >> iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
>> > >>
>> > >> ##### ACCEPT (libera) pacotes de retorno da internet
>> > >> iptables -A INPUT -i ! $EXTERNA -j ACCEPT
>> > >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> > >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
>> > >> iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j
>> ACCEPT
>> > >>
>> > >> # Fechando as portas do samba caso fique de cara para a internet.
>> > >> #iptables -A INPUT -p tcp -i $EXTERNA --syn --dport 139 -j DROP
>> > >> #iptables -A INPUT -p tcp -i $EXTERNA --syn --dport 138 -j DROP
>> > >>
>> > >> # aceita conexoes vindas da rede interna com destino ao web server
>> > >> iptables -A INPUT -p tcp -i $INTERNA --syn --dport 80 -j ACCEPT
>> > >>
>> > >>
>> > >> # NAT para os demais serviços que trabalham em outras portas
>> > >> iptables -A POSTROUTING -t nat -o $EXTERNA -j MASQUERADE
>> > >> echo "1" > /proc/sys/net/ipv4/ip_forward
>> > >>
>> > >> ##### Libera acesso externo para ssh e servidor web
>> > >> #iptables -A INPUT -p tcp --dport 80 -i $EXTERNA -j ACCEPT
>> > >> #iptables -A INPUT -p tcp --dport 80 -i $INTERNA -j ACCEPT
>> > >> #iptables -A INPUT -p tcp --dport 22 -i $EXTERNA -j ACCEPT
>> > >> iptables -A INPUT -p tcp --dport 22 -i $INTERNA -j ACCEPT
>> > >>
>> > >> # REDIRECIONAR PARA O PROXY SQUID
>> > >> iptables -t nat -A PREROUTING -i $INTERNA -s ! 192.168.10.2 -p tcp -m
>> > >> multiport  --dport 80,443 -j REDIRECT --to-ports 8080
>> > >>
>> > >>
>> > >> firewall_start(){
>> > >> # Ativa módulos
>> > >> modprobe ip_tables
>> > >> modprobe iptable_nat
>> > >> modprobe ip_conntrack
>> > >> modprobe ip_nat_ftp
>> > >> modprobe ipt_REJECT
>> > >> modprobe ipt_MASQUERADE
>> > >>
>> > >> # Zera regras
>> > >> iptables -F
>> > >> iptables -X
>> > >> iptables -t nat -F
>> > >> iptables -t nat -X
>> > >>
>> > >> # define a politica padrao
>> > >> iptables -P INPUT DROP
>> > >> iptables -P FORWARD DROP
>> > >> iptables -P OUTPUT DROP
>> > >> }
>> > >> }
>> > >> firewall_stop(){
>> > >> # Zera regras
>> > >> iptables -F
>> > >> iptables -X
>> > >> iptables -t nat -F
>> > >> iptables -X -t nat
>> > >> iptables -F -t filter
>> > >> iptables -X -t filter
>> > >>
>> > >> # define a politica padrao
>> > >> iptables -P INPUT ACCEPT
>> > >> iptables -P FORWARD ACCEPT
>> > >> iptables -P OUTPUT ACCEPT
>> > >>
>> > >> }
>> > >>
>> > >> case "$1" in
>> > >> "start")
>> > >> firewall_start
>> > >> echo " Firewall iniciando"
>> > >> sleep 2
>> > >> echo "ok"
>> > >> ;;
>> > >> "stop")
>> > >> firewall_stop
>> > >> echo "O firewall esta sendo desativado"
>> > >> sleep 2
>> > >> echo "ok"
>> > >> ;;
>> > >> "restart")
>> > >> echo "O firewall esta sendo reiniciado"
>> > >> sleep 1
>> > >> echo "ok."
>> > >> firewall_stop; firewall_start
>> > >> ;;
>> > >> *)
>> > >> esac
>> > >>
>> > >>
>> > >>  _______________________________________________________________
>> > >>
>> > >>
>> > >> PaulinhoLinux
>> > >>
>> > >>
>> > >> >> e-mail.... paulinholinux arroba yahoo ponto com ponto br
>> > >> >> msn....... paulinholinux arroba hotmail ponto com
>> > >>
>> > >> >> Ter problemas na vida é inevitável,
>> > >> ser derrotado por eles é opcional. <<
>> > >>
>> > >>
>> > >> _______________________________________________________________
>> > >>
>> > >>
>> > >>
>> > >>      Veja quais são os assuntos do momento no Yahoo! +Buscados
>> > >> http://br.maisbuscados.yahoo.com
>> > >>
>> > >> --
>> > >> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>> > >>
>> > >> Lista de discussão Ubuntu Brasil
>> > >> Histórico, descadastramento e outras opções:
>> > >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>> > >>
>> > >
>> > >
>> > >
>> > > --
>> > > Thiago Silveira Alexandre
>> > > --
>> > > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>> > >
>> > > Lista de discussão Ubuntu Brasil
>> > > Histórico, descadastramento e outras opções:
>> > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>> > >
>> >
>> > --
>> > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>> >
>> > Lista de discussão Ubuntu Brasil
>> > Histórico, descadastramento e outras opções:
>> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>>
>> _________________________________________________________________
>> Descubra seu lado desconhecido com o novo Windows Live!
>> http://www.windowslive.com.br
>> --
>> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>>
>> Lista de discussão Ubuntu Brasil
>> Histórico, descadastramento e outras opções:
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>>
>
>
>
> --
> Thiago Silveira Alexandre
>



-- 
Thiago Silveira Alexandre



More information about the ubuntu-br mailing list