Desculpem novamente mas n consigo montar o firewall...

Iniciado por ericfyoshino, 28 de Dezembro de 2007, 03:58

tópico anterior - próximo tópico

ericfyoshino

Galera desculpem, o topico é repetido, vcs n aguentam mais falar da mesma coisa, mas to com problemaum aki...
tenho o servidor rodando linux de boa... compartilhando a internet com meu wireless...
mas a um mes to tentando configura o firewall dele e não consigo... cada vez que mexo no iptable o computador para com a internet....

bom vo manda as especificações pra vcs darem uma olhada e verem se podem me ajudar...
quem puder... por favor... pq to ficando perdido em meio a milhares de tutoriais e nenhuma solução...

bom... to com um modem adsl roteado com ip 192.168.1.1 na eth0 que ta com dhcp...

na eth1 (192.168.0.1) ta ligado o roteador wireless (192.168.0.2) que manda por dhcp o ip (192.168.3.x) para as maquinas...

entaum fica assim:

Modem Roteado                     Servidor                              Roteador Wireless               Computadores
192.168.1.1 <------> 192.168.1.2<->192.168.0.1 <-----> 192.168.0.2<->192.168.3.1 <----> 192.168.3.x
                                    eth0            eth1

vou mandar o ifconfig pra vcs darem uma olhada:


eth0       Encapsulamento do Link: Ethernet  Endereço de HW 00:01:6C:DE:C9:58
          inet end.: 192.168.1.2  Bcast:192.168.1.255  Masc:255.255.255.0
          endereço inet6: fe80::201:6cff:fede:c958/64 Escopo:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Métrica:1
          pacotes RX:6443 erros:0 descartados:0 excesso:0 quadro:0
          Pacotes TX:7891 erros:0 descartados:0 excesso:0 portadora:0
          colisões:0 txqueuelen:1000
          RX bytes:4463329 (4.2 MB) TX bytes:1344090 (1.2 MB)
          IRQ:20 Endereço de E/S:0xd400

eth1       Encapsulamento do Link: Ethernet  Endereço de HW 00:08:A1:62:AE:D0
          inet end.: 192.168.0.1  Bcast:255.255.255.255  Masc:255.255.255.0
          endereço inet6: fe80::208:a1ff:fe62:aed0/64 Escopo:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Métrica:1
          pacotes RX:9180 erros:0 descartados:0 excesso:0 quadro:0
          Pacotes TX:6932 erros:0 descartados:0 excesso:0 portadora:0
          colisões:0 txqueuelen:1000
          RX bytes:1495951 (1.4 MB) TX bytes:4590973 (4.3 MB)
          IRQ:21 Endereço de E/S:0xa000

lo         Encapsulamento do Link: Loopback Local
          inet end.: 127.0.0.1  Masc:255.0.0.0
          endereço inet6: ::1/128 Escopo:Máquina
          UP LOOPBACK RUNNING  MTU:16436  Métrica:1
          pacotes RX:44 erros:0 descartados:0 excesso:0 quadro:0
          Pacotes TX:44 erros:0 descartados:0 excesso:0 portadora:0
          colisões:0 txqueuelen:0
          RX bytes:3098 (3.0 KB) TX bytes:3098 (3.0 KB)

bom... agora para compartilhar a internet peguei um codigo aqui do site mesmo que funciona quase sempre...

route add default gw 192.168.1.2
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
dhclient eth0

até ai n sei c ta tudo certo mais funciona...

o problema é que quero habilitar o firewall e libera soh portas como ssh, vnc, msn, azureus, emule, voip, pop3, smtp, samba... e bloquear o resto..
mas oq eu achava que era simples voltou contra mim e agora virou meu pesadelo hahahaha...

se alguem tiver alguma ideia de como me ajudar... peço por favor...

se tiver que reinstalar tudo, mudar porta de lugar, mudar placa... eh soh falar que eu sigo.. que ja vi que aqui nesse forum a galera ajuda....

obrigado a todos.... se puderem me ajudar desde ja agradeço...

feliz ano novo....

csat

Pra que ficar trabalhando com IPTABLES direto se podemos ser mais práticos e usar um gerenciador de FIREWALL que faz isso tudo para nós?

O firewall trabalha cm portas e pacotes.  Ele vai trabalhar usando suas duas portas ETH0 e ETH1 que você quer proteger com a regra de fechar tudo e abrir somente o que te interessa.

Muitos colegas aqui do forum gostam do FIRESTARTER o qual uso também nas estações com Ubuntu, mas no servidor utilizo o GUARDDOG que me possibilita, por menu, tratar os diversos protocolos tanto para a Internet quanto para a rede local, além de me permitir abrir portas TCP e UDP como definição do usuário (user defined).

O guarddog é mais voltado para ambiente KDE mas pode ser usado também em ambiente GNOME.

É a minha opinião.

Feliz Ano Novo.
Csat (Ubuntu 8.04)

Linux User #205394 ** Ubuntu User #19086

ericfyoshino

vlw pela ajuda...

mas ja tentei usa o guarddog mais a unica coisa que consegui foi travar a internet (inclusive do servidor)...

dae parti pro iptables cru mesmo...

se alguem souber como compartilhar e proteger minha rede ow pelo fire ow pelo guard....
por favor me ajude...


obrigado a todos...


abraços...


feliz ano novo

csat

Citação de: ericfyoshino online 28 de Dezembro de 2007, 15:59
vlw pela ajuda...

mas ja tentei usa o guarddog mais a unica coisa que consegui foi travar a internet (inclusive do servidor)...


Como pode "travar a internet"?  Basta entrar na pasta /etc e deletar ou renomear o arquivo rc.firewall que o guarddog fica "zerado" de novo.  Se desistir de usar nunca aprende.
Csat (Ubuntu 8.04)

Linux User #205394 ** Ubuntu User #19086

ericfyoshino

eu sei mais ja tentei umas 7 vezes... e todas ele n deixa ninguem acessar a internet...
queria dicas.... alguem mais experiente que me ajudasse...

VB5

#5
Citar

entaum fica assim:

Modem Roteado                     Servidor                              Roteador Wireless               Computadores
192.168.1.1 <------> 192.168.1.2<->192.168.0.1 <-----> 192.168.0.2<->192.168.3.1 <----> 192.168.3.x
                                    eth0            eth1

Cara, só uma curiosidade: como você consegue fazer isso funcionar?  ???  Seus computadores estão numa rede (3) diferente da do seu roteador (0). Os IPs que ele possa atribuir por DHCP serão sempre 192.168.0.x, não 192.168.3.x... qual é a máscara de subrede? Deveria em princípio ser 255.255.255.0.

VB5



Ubuntu 10.04 - Semprom 2600+/Asus K8N/1.5 GB RAM DDR 400/GeForce 6200/HDs: 80MB + 320 GB

csat

Citação de: VB5 online 28 de Dezembro de 2007, 21:59
Citar

entaum fica assim:

Modem Roteado                     Servidor                              Roteador Wireless               Computadores
192.168.1.1 <------> 192.168.1.2<->192.168.0.1 <-----> 192.168.0.2<->192.168.3.1 <----> 192.168.3.x
                                    eth0            eth1

Cara, só uma curiosidade: como você consegue fazer isso funcionar?  ???  Seus computadores estão numa rede (3) diferente da do seu roteador (0). Os IPs que ele possa atribuir por DHCP serão sempre 192.168.0.x, não 192.168.3.x... qual é a máscara de subrede? Deveria em princípio ser 255.255.255.0.

VB5


Hummm logo vi, VB5, o que pode "travar" a rede não é o firewall mas, sim, alguma configuração de rede acidentalmente feita por engano...
Csat (Ubuntu 8.04)

Linux User #205394 ** Ubuntu User #19086

ericfyoshino

cara o roteador wireless tem duas placas de rede separadas...
uma dela conectada ao servidor ubuntu pega ip 192.168.0.2 e manda para a outra interface de rede que distribue por dhcp com ip 192.168.3.x...
com o firewall desligado ela funciona normalmente, porem quando tento configurar o firewall a coisa toda trava... nem o ubuntu roda internet...

se alguem tem uma sugestao melhor de como administrador/configurar isso tudo estou aqui pedindo ajuda...

n sei mexer no iptables jogando codigo, mas toda vez que mexo no guarddog ele trava tudo e tenho que desabilitar de novo...


csat

Citação de: ericfyoshino online 30 de Dezembro de 2007, 00:07
cara o roteador wireless tem duas placas de rede separadas...
uma dela conectada ao servidor ubuntu pega ip 192.168.0.2 e manda para a outra interface de rede que distribue por dhcp com ip 192.168.3.x...
com o firewall desligado ela funciona normalmente, porem quando tento configurar o firewall a coisa toda trava... nem o ubuntu roda internet...

se alguem tem uma sugestao melhor de como administrador/configurar isso tudo estou aqui pedindo ajuda...

n sei mexer no iptables jogando codigo, mas toda vez que mexo no guarddog ele trava tudo e tenho que desabilitar de novo...



Como já disse alguem... vamos por partes:

a) diz o nome, marca, modelo dos roteadores que você tem para:

                            1) uso com fios;
                             2) sem fios (wireless)

b) se foi usado algum programa para configuração dos roteadores ou se você está usando as configurações-padrão ou se você mesmo alterou as configurações;

c) qual o ip interno da interface WEB dos roteadores que você usa para entrar nas configurações?

d) o firewall ao qual você se refere é o firewall do roteador ou é o firewall que você tem no servidor e/ou nas estações?

e) quais serviços você abre no firewall ou quer abrir no firewall?

f) nos seus roteadores deve existir uma opção interna referente a DHCP:  qual o IP inicial e qual o IP final (Starting IP address and Ending IP address)?

Acho que isso tudo pode dar uma idéia da sua instalação para que eu ou outro colega consiga visualizar o problema.



Csat (Ubuntu 8.04)

Linux User #205394 ** Ubuntu User #19086

ericfyoshino

A) bom como roteador wireless tenho um trendnet PEW-631BRP tanto para mandar o sinal por cabo ow wireless
B) configurei o roteador wireless para conectar a porta Wan no eth1 do servidor, no modo de ele achar que o servidor é um modem com ip estatico, só para destribuir o sinal mesmo...
C) a interface web do roteador wireless é 192.168.3.1
    a interface telnet do modem roteado eh 192.168.1.1
D) queria configurar o firewall do servidor ubuntu para travar tudo que esta aberto pra proteção mesmo, menos algumas portas que eu uso...
E) quero deixar aberto os basicos (msn, internet, outlook, emule, azureus...)
F) o roteador começa a distribuir ip a partir do 192.168.3.2...

configurei esse fds o squid... pra tentar configurar... consegui compartilhar mas n configurar o firewall..

agora oq roda todo boot para configurar o compartilhamento da internet eh:

modprobe iptable_nat
modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

e o squid ta configurado assim:

http_port 3128
visible_hostname server

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl redelocal src 192.168.0.0/2
http_access allow localhost
http_access allow redelocal

http_access deny all

cache_mem 64 MB

maximum_object_size_in_memory 64 KB

maximum_object_size 512 MB
minimum_object_size 0 KB

cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256

cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280



vlw a ajuda de todos aew...

bom ano novo pra vcs...

abraços

csat

Citação de: ericfyoshino online 02 de Janeiro de 2008, 20:02
A) bom como roteador wireless tenho um trendnet PEW-631BRP tanto para mandar o sinal por cabo ow wireless
B) configurei o roteador wireless para conectar a porta Wan no eth1 do servidor, no modo de ele achar que o servidor é um modem com ip estatico, só para destribuir o sinal mesmo...

Procurei eu roteador no Google e só achei TEW-631BRP e não o que você apontou acima.  Trata-se de um roteador de preço elevado e que já possui firewall dentro dele, igual ao meu (DI-624).

Outra coisa a porta WAN do roteador não se conecta ao servidor mas sim a porta WAN do MODEM, pelo menos é assim que funciona na minha residência.  As portas LAN, no meu caso 4 e igual ao seu, uma é conectada a um servidor Linux de uso geral, incluindo jogos. A minha segunda porta LAN é conectado a outro servidor Linux de testes (laboratório) e ainda sobre 2.

Tanto faz eu colocar o FIREWALL por software como não colocar o efeito é o mesmo para testes de validação de portas, conforme o site de testes abaixo.  Quando ligo o FIRESTARTER ele monitora a porta ETH0 dos dois servidores e a Eth0 do desktop.  No notebook que funciona com Wireless, onde a porta é Eth1 e não wlan0, o FIRESTARTER controla o fluxo da rede interna e externa.

https://www.grc.com/x/ne.dll?bh0bkyd2

Os testes apontam para todas as portas na minha instalação como "Stealth", ou seja, invisĩveis.  A porta 113 que no princípio aparecia como fragilidade por não estar em "stealth" mas "closed" foi redirecionada para um IP interno inexistente, passando a ser "stealth" também.  O Roteador Wireless está configurado para não acatar PING externo, pois segundo os especialistas é uma forma de começar a hackear a instalação.

Somente vi ocorrências no FIRESTARTER quando o Azureus está trabalhando, mas nenhuma considerada séria segundo os critérios do FIRESTARTER que estão ajustados usando o default.

Parece-me, à primeira vista, que você poderia reconsiderar sua instalação com essa simplificação acima exposta e que uso mas outros colegas ao lerem e acharem algo errado ou inseguro na minha instalação poderiam, também, opinar.

Abraços,
Csat (Ubuntu 8.04)

Linux User #205394 ** Ubuntu User #19086

ericfyoshino

então... a unica coisa que me motivou colocar o servidor na porta WAN é configura-lo para ser um firewall e servidor de arquivos...

a unica coisa que preciso mesmo é como configurar o firewall para liberar o acesso a internet para o roteador ligado na eth1 atraves da porta eth0...

e como bloquear tudo menos oq uso, internet, msn, outlook, torrent, emule....

n intendi direito como você configurou a sua rede, e nem como funciona para voce o firewall...

o firewall que vem no roteador eu n consegui configurar tbm... me parece um tanto quanto não confiavel :P...

o modelo do roteador eu errei mesmo hahahah

vlw pela força..

abraços a todos