Problema com Iptables

[djskolman]

Boa Noite equipe e todo o pessoal do Ubuntu Br.

Estou com um probleminha com o iptables no ubuntu 12.04.2 LTS, que não consigo resolver e acredite, ja passei horas a fios pesquisando sobre o assunto, mas nada que tentei obteve resultado.

Fiz um servidor no ubuntu e intalei o iptables para compatilhar a internet e abrir portas, mas quando eu passo o portscan, o resultado me entrega sempre as mesmas portas respondendo que não são as portas que abri.

Ja abri umas, fechei outras, ja deixei ele passando tudo, mas o resultado do portscan são sempre as mesmas portas. E as portas que eu quero que ele abre, o portscan me retorna que a porta não respondeu.

Segue minha configuração do iptables.

#!/bin/bash

############################################################################
###################### INICIO DO SCRIPT FIREWALL ###########################
############################################################################

############################################################################
# DEFININDO INTERFACES
############################################################################

extif=eth0
intif=eth1

############################################################################
# ESTABELECENDO REGRAS DO FIREWALL
############################################################################

iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -P FORWARD ACCEPT

############################################################################
# COMPARTILHANDO A INTERNET
############################################################################

iptables -t nat -A POSTROUTING -j MASQUERADE
sysctl -w net.ipv4.ip_forward=1

############################################################################
# LIBERANDO PORTAS
############################################################################

iptables -t filter -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT

iptables -t filter -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT

iptables -t filter -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT

iptables -t filter -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -p tcp --dport 25 -j ACCEPT

iptables -t filter -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -p tcp --dport 110 -j ACCEPT

iptables -t filter -A INPUT -i eth0 -p tcp --dport 587 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -p tcp --dport 587 -j ACCEPT

iptables -t filter -A INPUT -i eth0 -p tcp --dport 995 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -p tcp --dport 995 -j ACCEPT

iptables -t filter -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT

se eu dou o comando iptables -L, aparentemente ele me retorna tudo certo:

root@HUMUSNET:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3s

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Mas quando eu passo o portscan, ele me retorna que essas portas não estão respondendo.

Tem alguma outra coisa que possa estar travando minhas portas? pode ser o fato de eu ter instalado no ubuntu desk e não no ubuntu server?

Desde já agradeço a atenção

[zekkerj]

Olá djskolman,

Você está testando a partir da internet? Qual a sua conexão? Há algum aparelho como modem ou roteador (talvez wireless) entre sua máquina e a internet?

[djskolman]

O modem ADSL da NET está conectado diretamente no meu servidor!

[zekkerj]

Modem ADSL... da Net??? A Net não usa ADSL...

[djskolman]

Desculpa minha ignorância, é modem da NET.

[zekkerj]

E esse modem tem rede wireless? Pq se for, é um modem router, e nesse caso ele estará trabalhando com NAT.

Uma forma fácil de verificar isso é que nesse caso, o endereço IP que você receberá dele será de rede privada (10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16).

[djskolman]

    O Modem não tem wireless.

    Ele entra no meu servidor e o meu servidor que é gateway. Do meu servidor, sai pra um swite e depois que vai para os roteadores wireless.

    veja o meu ifconfig na eth0, ele me da um IP 177...

root@HUMUSNET:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 90:2b:34:f2:24:3f 
          inet addr:177.82.70.82  Bcast:177.82.79.255  Mask:255.255.240.0
          inet6 addr: fe80::922b:34ff:fef2:243f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:259487 errors:0 dropped:0 overruns:0 frame:0
          TX packets:234852 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:132794035 (132.7 MB)  TX bytes:84363086 (84.3 MB)

[zekkerj]

Era o que eu temia: parece que a Net está te bloqueando. Pior que isso é contratual, pode ver lá que essa conexão não permite a oferta de serviços.

[djskolman]

Olá zekkerj

Como você sabe que ela está me bloqueando? como eu posso descobrir isso?

[zekkerj]

Se não há equipamento local capaz de fazer o bloqueio, só resta que o bloqueio esteja externamente. A forma de descobrir é exatamente da forma como você está fazendo --- tentando abrir as portas.

[djskolman]

Vou explicar o que está acontecendo que talves vocês possam me orientar melhor.

Eu tenho 02 Servidor, um de internet e um de e-mail. Cada servidor tem um modem e uma internet. O de e-mail está em um modem da NET de 1MB e o outro está em um modem da NET de 10MB.

O pessoal que trabalha fixo no escritório, eu configurei o smtp das maquinas com o IP interno do meu servidor de e-mail 192.168.0.240.

Os notebook, eu configurei o ip externo: 189.5.193.42, que é o IP do modem da NET que está o meu servidor de e-mail

Se o notebook está fora da empresa, ele manda e recebe e-mails normalmente.

Se o notebook está dentro da empresa, ele só recebe, mas não envia.

Então eu deconfio que é a porta 25 que está sendo barrada no meu servidor de internet

[Arthur Bernardes]

Amigo, parece que a porta 25 não está mais em vigor, ela está sendo sim bloqueada pelos provedores..!

Veja..!

==> http://www.tecmundo.com.br/spam/31772-brasil-bloqueia-porta-25-de-servidores-de-email-a-fim-de-diminuir-spam.htm

==> http://tecnologia.uol.com.br/seguranca/ultimas-noticias/2010/01/05/bloqueio-da-porta-25-por-provedores-de-e-mails-passa-a-vigorar-nesta-terca.jhtm

[djskolman]

    Então, mas o problema é que não tenho provedor, o servidor de e-mail é na empresa. E outra, quando o notebook está fora do escritório, ele envia e recebe e-mails normalmente, mas quando está dentro do escritório, não envia.

[zekkerj]

Sugiro fortemente que você configure uma VPN em sua rede. Assim, em vez de se conectar ao endereço externo --- suscetível de bloqueio, escuta, ou coisa pior --- seu usuário vai se conectar à VPN, e depois trabalhar como se estivesse na rede local.

Sobre o usuário não conseguir conectar a endereço externo a partir da rede local, isso é um efeito colateral previsível do uso do NAT, e fácil de resolver. Só acho que, pelos motivos acima, não vale a pena tentar...

[djskolman]

Obrigado pela Dica zekkerj, mas duas coisas?

   1 - Como eu faço essa VPN, pode me ajudar?

   2 - Como eu resolveria o meu problema no meu caso atual?

Obrigado!