[Ubuntu-BR] Res: Res: Firewall iptables bloqueando web server interno

PaulinhoLinux phga1 em yahoo.com.br
Quinta Abril 2 15:46:19 UTC 2009 

usando um browser local eu consigo acessar sem problemas .... mas via rede, não consigo !

 

lynx http://127.0.0.1

ou

lynx http://nomedoservidor

consegui acessar localmente tanto pelo ip qto pelo nome. porém pela rede sem sucesso.


e o estranho é que ao parar o script de firewall eu consigo acessar o servidor web de qualquer estação da rede com sucesso, qdo subo o firewall, já era, não acesso mais.

não sei mais o que fazer, nem o que tentar....

obrigado pela ajuda ....

PaulinhoLinux

_______________________________________________________________


PaulinhoLinux


>> e-mail.... paulinholinux arroba yahoo ponto com ponto br
>> msn....... paulinholinux arroba hotmail ponto com

>> Ter problemas na vida é inevitável,
ser derrotado por eles é opcional. <<


_______________________________________________________________



----- Mensagem original ----
De: Thiago Silveira Alexandre <thsalex em gmail.com>
Para: Lista de discussão do LoCoTeam Brasileiro <ubuntu-br em lists.ubuntu.com>
Enviadas: Quinta-feira, 2 de Abril de 2009 11:56:24
Assunto: Re: [Ubuntu-BR] Res: Firewall iptables bloqueando web server interno

tenta acessar a pagina do proprio servidor com  lynx

lynx http://127.0.0.1.....

2009/4/2 PaulinhoLinux <phga1 em yahoo.com.br>

>
> Thiago a linha já estava descomentada .... Eu descomentei essa linha antes
> de enviar o meu problema para a lista,  foi a primeira coisa que eu pensei
> em fazer qdo o web server não estava acessível.
>
> conforme pedido segue o meu access.log e error.log
>
> segue abaixo o meu access.log e error.log
>
> # tail -f /var/log/apache2/access.log
> 127.0.0.1 - - [02/Apr/2009:10:22:38 -0300] "OPTIONS * HTTP/1.0" 200 - "-"
> "Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.5 with Suhosin-Patch (internal
> dummy connection)"
> 127.0.0.1 - - [02/Apr/2009:10:22:38 -0300] "OPTIONS * HTTP/1.0" 200 - "-"
> "Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.5 with Suhosin-Patch (internal
> dummy connection)"
> 127.0.0.1 - - [02/Apr/2009:10:22:38 -0300] "OPTIONS * HTTP/1.0" 200 - "-"
> "Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.5 with Suhosin-Patch (internal
> dummy connection)"
> 127.0.0.1 - - [02/Apr/2009:10:22:38 -0300] "OPTIONS * HTTP/1.0" 200 - "-"
> "Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.5 with Suhosin-Patch (internal
> dummy connection)"
> 127.0.0.1 - - [02/Apr/2009:10:22:38 -0300] "OPTIONS * HTTP/1.0" 200 - "-"
> "Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.5 with Suhosin-Patch (internal
> dummy connection)"
> 127.0.0.1 - - [02/Apr/2009:10:22:55 -0300] "OPTIONS * HTTP/1.0" 200 - "-"
> "Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.5 with Suhosin-Patch (internal
> dummy connection)"
> 127.0.0.1 - - [02/Apr/2009:10:22:55 -0300] "OPTIONS * HTTP/1.0" 200 - "-"
> "Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.5 with Suhosin-Patch (internal
> dummy connection)"
> 127.0.0.1 - - [02/Apr/2009:10:22:55 -0300] "OPTIONS * HTTP/1.0" 200 - "-"
> "Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.5 with Suhosin-Patch (internal
> dummy connection)"
> 127.0.0.1 - - [02/Apr/2009:10:22:55 -0300] "OPTIONS * HTTP/1.0" 200 - "-"
> "Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.5 with Suhosin-Patch (internal
> dummy connection)"
> 127.0.0.1 - - [02/Apr/2009:10:22:55 -0300] "OPTIONS * HTTP/1.0" 200 - "-"
> "Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.5 with Suhosin-Patch (internal
> dummy connection)"
>
>
> #tail -f /var/log/apache2/error.log
> [Thu Apr 02 10:11:48 2009] [notice] caught SIGWINCH, shutting down
> gracefully
> [Thu Apr 02 10:11:58 2009] [notice] Apache/2.2.8 (Ubuntu)
> PHP/5.2.4-2ubuntu5.5 with Suhosin-Patch configured -- resuming normal
> operations
> [Thu Apr 02 10:22:38 2009] [notice] caught SIGWINCH, shutting down
> gracefully
> [Thu Apr 02 10:22:48 2009] [notice] Apache/2.2.8 (Ubuntu)
> PHP/5.2.4-2ubuntu5.5 with Suhosin-Patch configured -- resuming normal
> operations
> [Thu Apr 02 10:22:55 2009] [notice] caught SIGWINCH, shutting down
> gracefully
> [Thu Apr 02 10:23:05 2009] [notice] Apache/2.2.8 (Ubuntu)
> PHP/5.2.4-2ubuntu5.5 with Suhosin-Patch configured -- resuming normal
> operations
>
>
>
> mais uma vez... Obrigado pela ajuda ....
>
> Paulinholinux
>
>  _______________________________________________________________
>
>
> PaulinhoLinux
>
>
> >> e-mail.... paulinholinux arroba yahoo ponto com ponto br
> >> msn....... paulinholinux arroba hotmail ponto com
>
> >> Ter problemas na vida é inevitável,
> ser derrotado por eles é opcional. <<
>
>
> _______________________________________________________________
>
>
>
> ----- Mensagem original ----
> De: Thiago Silveira Alexandre <thsalex em gmail.com>
> Para: Lista de discussão do LoCoTeam Brasileiro <
> ubuntu-br em lists.ubuntu.com>
> Enviadas: Quinta-feira, 2 de Abril de 2009 11:05:20
> Assunto: Re: [Ubuntu-BR] Firewall iptables bloqueando web server interno
>
> Paulinho,
> faça o mesmo procedimento que eu sugeri nos outros logs do apache
> /var/log/apache2/accses.log e cole aqui o resultado.
>
> Só uma pergunta que pode ser besta, depois que você descomentou a linha que
> falaram anteriormente você executou o script novamente?
>
> 2009/4/2 Thiago Silveira Alexandre <thsalex em gmail.com>
>
> > Diêgo, basta você colocar uma chamado a esse script no rc.local. Ex: Se o
> > seu script estiver em /etc/firewall, dê permissão de execução pra ele e
> > depois adicione a seguinte linha /etc/firewall antes do exit no arquivo
> > /etc/rc.local
> >
> > 2009/4/2 Diêgo Figueiredo <diegolcf em hotmail.com>
> >
> >
> >> gostaria de aproveitar a dúvida do nosso colega pra perguntar se existe
> >> alguma forma de rodar um script de firewall na inicialização do Sistema
> >> Operacional , pois já fiz de tudo, e só consigo fazer rodar chamando o
> >> script....
> >>
> >> estou usando ubuntu server 8.04
> >>
> >> ps. Amigo não é uma boa prática expor assim o ip da sua rede, isso abre
> um
> >> leque imenso pra invasão.... se o ambiente em que vc trabalha é de
> produção,
> >> com essas informações, alguém poderia invadir a sua rede facilmente...
> >>
> >>
> >>
> >>
> >>
> >> > Date: Wed, 1 Apr 2009 23:29:42 -0300
> >> > From: waes60 em gmail.com
> >> > To: ubuntu-br em lists.ubuntu.com
> >> > Subject: Re: [Ubuntu-BR] Firewall iptables bloqueando web server
> interno
> >> >
> >> > Olá,
> >> >
> >> >    Verificando suas regras de firewall notei que a regra para acesso
> >> > ao servidor apache, que teoricamente esta rodando na porta 80, esta
> >> > comentada, experimente descomentar a linha que libera o acesso a porta
> >> > 80 para ver se o problema é resolvido, ou, simplesmente, digite na
> >> > linha de comando iptables -A INPUT --dport 80 -j ACCEPT, esse comando
> >> > irá liberar o acesso na porta 80 para as redes interna e externa.
> >> >
> >> > Atenciosamente,
> >> >
> >> > Washington
> >> >
> >> >
> >> >
> >> >
> >> >
> >> > 2009/4/1 Thiago Silveira Alexandre <thsalex em gmail.com>:
> >> > > você já olhou os logs de erro do apache?
> >> > > de um tail -f no /var/log/apache2/error.log, tente acessar o site e
> >> cole
> >> > > aqui a saida do log.
> >> > > Outra coisa, como está configurado seu SELinux?
> >> > > Se tiver enforce tem que criar uma police para liberar o apache,
> senao
> >> ele
> >> > > não deixa acessar o site mesmo.
> >> > > aguardo resposta
> >> > >
> >> > > 2009/4/1 PaulinhoLinux <phga1 em yahoo.com.br>
> >> > >
> >> > >>
> >> > >> E aí galera blzzzz
> >> > >>
> >> > >> estou com o seguinte problema, criei um script contendo regras com
> o
> >> > >> iptables e estou rodando ele no meu gateway. Este equipamento roda
> >> tbem o
> >> > >> squid e o MySAR para gerar relatórios dos acessos.
> >> > >>
> >> > >> só que não estou conseguindo acessar o servidor web contido neste
> >> servidor.
> >> > >> Para que eu acesse o servidor web eu tenho que dar um stop (parar)
> o
> >> > >> firewall (ou seja limpar as regras e mudar a politica padão para
> >> accept),
> >> > >> qdo o firewall está rodando ao tentar acesso ao servidor web recebo
> a
> >> > >> seguinte mensagem:
> >> > >>
> >> > >>
> >> > >> ERRO
> >> > >> A URL solicitada não pode ser recuperada
> >> > >>
> >> > >> O seguinte erro foi encontrado:
> >> > >>        * Requisição inválida.
> >> > >> Já analisei as minhas regras e não consegui encontrar a origem do
> >> problema,
> >> > >> por favor preciso de ajuda.
> >> > >>
> >> > >> Obrigado
> >> > >>
> >> > >> PaulinhoLinux
> >> > >>
> >> > >> OBS: Segue abaixo o meu script firewall
> >> > >>
> >> > >> #!/bin/bash
> >> > >>
> >> > >> firewall_start(){
> >> > >>
> >> > >> EXTERNA=eth0
> >> > >> INTERNA=eth1
> >> > >>
> >> > >> # Abre para a interface de loopback.
> >> > >> iptables -A INPUT -i lo -j ACCEPT
> >> > >>
> >> > >> # regra para permitir acesso a conectividade social - caixa
> >> > >> #iptables -t nat -A PREROUTING -i eth0 -d ! 200.201.174.0/24 -p
> tcp
> >> > >> --dport 80 -j REDIRECT --to-port 8080
> >> > >>
> >> > >> ##### Liberar Conectividade Social para todos
> >> > >> # liberando acesso a toda a rede 200.201 e pode liberar sites alem
> da
> >> > >> CAIXA.
> >> > >> iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
> >> > >> iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
> >> > >>
> >> > >> ##### Filtros - DROP nos pacotes TCP indesejaveis
> >> > >> iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG
> >> --log-level
> >> > >> 6 --log-prefix "FIREWALL: NEW sem syn: "
> >> > >> iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
> >> > >>
> >> > >> ##### ACCEPT (libera) pacotes de retorno da internet
> >> > >> iptables -A INPUT -i ! $EXTERNA -j ACCEPT
> >> > >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> >> > >> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j
> ACCEPT
> >> > >> iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j
> >> ACCEPT
> >> > >>
> >> > >> # Fechando as portas do samba caso fique de cara para a internet.
> >> > >> #iptables -A INPUT -p tcp -i $EXTERNA --syn --dport 139 -j DROP
> >> > >> #iptables -A INPUT -p tcp -i $EXTERNA --syn --dport 138 -j DROP
> >> > >>
> >> > >> # aceita conexoes vindas da rede interna com destino ao web server
> >> > >> iptables -A INPUT -p tcp -i $INTERNA --syn --dport 80 -j ACCEPT
> >> > >>
> >> > >>
> >> > >> # NAT para os demais serviços que trabalham em outras portas
> >> > >> iptables -A POSTROUTING -t nat -o $EXTERNA -j MASQUERADE
> >> > >> echo "1" > /proc/sys/net/ipv4/ip_forward
> >> > >>
> >> > >> ##### Libera acesso externo para ssh e servidor web
> >> > >> #iptables -A INPUT -p tcp --dport 80 -i $EXTERNA -j ACCEPT
> >> > >> #iptables -A INPUT -p tcp --dport 80 -i $INTERNA -j ACCEPT
> >> > >> #iptables -A INPUT -p tcp --dport 22 -i $EXTERNA -j ACCEPT
> >> > >> iptables -A INPUT -p tcp --dport 22 -i $INTERNA -j ACCEPT
> >> > >>
> >> > >> # REDIRECIONAR PARA O PROXY SQUID
> >> > >> iptables -t nat -A PREROUTING -i $INTERNA -s ! 192.168.10.2 -p tcp
> -m
> >> > >> multiport  --dport 80,443 -j REDIRECT --to-ports 8080
> >> > >>
> >> > >>
> >> > >> firewall_start(){
> >> > >> # Ativa módulos
> >> > >> modprobe ip_tables
> >> > >> modprobe iptable_nat
> >> > >> modprobe ip_conntrack
> >> > >> modprobe ip_nat_ftp
> >> > >> modprobe ipt_REJECT
> >> > >> modprobe ipt_MASQUERADE
> >> > >>
> >> > >> # Zera regras
> >> > >> iptables -F
> >> > >> iptables -X
> >> > >> iptables -t nat -F
> >> > >> iptables -t nat -X
> >> > >>
> >> > >> # define a politica padrao
> >> > >> iptables -P INPUT DROP
> >> > >> iptables -P FORWARD DROP
> >> > >> iptables -P OUTPUT DROP
> >> > >> }
> >> > >> }
> >> > >> firewall_stop(){
> >> > >> # Zera regras
> >> > >> iptables -F
> >> > >> iptables -X
> >> > >> iptables -t nat -F
> >> > >> iptables -X -t nat
> >> > >> iptables -F -t filter
> >> > >> iptables -X -t filter
> >> > >>
> >> > >> # define a politica padrao
> >> > >> iptables -P INPUT ACCEPT
> >> > >> iptables -P FORWARD ACCEPT
> >> > >> iptables -P OUTPUT ACCEPT
> >> > >>
> >> > >> }
> >> > >>
> >> > >> case "$1" in
> >> > >> "start")
> >> > >> firewall_start
> >> > >> echo " Firewall iniciando"
> >> > >> sleep 2
> >> > >> echo "ok"
> >> > >> ;;
> >> > >> "stop")
> >> > >> firewall_stop
> >> > >> echo "O firewall esta sendo desativado"
> >> > >> sleep 2
> >> > >> echo "ok"
> >> > >> ;;
> >> > >> "restart")
> >> > >> echo "O firewall esta sendo reiniciado"
> >> > >> sleep 1
> >> > >> echo "ok."
> >> > >> firewall_stop; firewall_start
> >> > >> ;;
> >> > >> *)
> >> > >> esac
> >> > >>
> >> > >>
> >> > >>  _______________________________________________________________
> >> > >>
> >> > >>
> >> > >> PaulinhoLinux
> >> > >>
> >> > >>
> >> > >> >> e-mail.... paulinholinux arroba yahoo ponto com ponto br
> >> > >> >> msn....... paulinholinux arroba hotmail ponto com
> >> > >>
> >> > >> >> Ter problemas na vida é inevitável,
> >> > >> ser derrotado por eles é opcional. <<
> >> > >>
> >> > >>
> >> > >> _______________________________________________________________
> >> > >>
> >> > >>
> >> > >>
> >> > >>      Veja quais são os assuntos do momento no Yahoo! +Buscados
> >> > >> http://br.maisbuscados.yahoo.com
> >> > >>
> >> > >> --
> >> > >> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
> >> > >>
> >> > >> Lista de discussão Ubuntu Brasil
> >> > >> Histórico, descadastramento e outras opções:
> >> > >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
> >> > >>
> >> > >
> >> > >
> >> > >
> >> > > --
> >> > > Thiago Silveira Alexandre
> >> > > --
> >> > > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
> >> > >
> >> > > Lista de discussão Ubuntu Brasil
> >> > > Histórico, descadastramento e outras opções:
> >> > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
> >> > >
> >> >
> >> > --
> >> > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
> >> >
> >> > Lista de discussão Ubuntu Brasil
> >> > Histórico, descadastramento e outras opções:
> >> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
> >>
> >> _________________________________________________________________
> >> Descubra seu lado desconhecido com o novo Windows Live!
> >> http://www.windowslive.com.br
> >> --
> >> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
> >>
> >> Lista de discussão Ubuntu Brasil
> >> Histórico, descadastramento e outras opções:
> >> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
> >>
> >
> >
> >
> > --
> > Thiago Silveira Alexandre
> >
>
>
>
> --
> Thiago Silveira Alexandre
> --
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>
>
>
>      Veja quais são os assuntos do momento no Yahoo! +Buscados
> http://br.maisbuscados.yahoo.com
>
> --
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>



-- 
Thiago Silveira Alexandre
-- 
Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece

Lista de discussão Ubuntu Brasil
Histórico, descadastramento e outras opções:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br



      Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com

More information about the ubuntu-br mailing list