Preciso de uma pequena ajuda dos amigos com uma regra de Iptables!

Iniciado por Josely, 15 de Outubro de 2008, 13:27

tópico anterior - próximo tópico

Josely

Boa tarde a todos!!!

Amigos criei um script de IPTABLES para um servidor com Ubuntu Server 8.04LTS, o script compartilha a internet, libera e bloqueia algumas portas. ao final do script tem a seguinte regra:

iptables - A FORWARD -j DROP (para fechar tudo que não se encaixa nas regras anteriores)

O problema é justamente isso, se coloco essa regra, a internet não funciona nas estações, mas se retiro a regra, tudo funciona normalmente como configurado no script.

Tem alguma regra que posso usar em conjunto com a citada acima para liberar a internet? ou se eu usar a opção:
iptables -P FORWARD -j ACCEPT. Para a rede interna usar a internet sem interferencias de alguem de fora?

tenho que achar uma solução rápida pq o chefe ta no meu pé por causa desse servidor.

agradeço a ajuda dos amigos.


Para um melhor entendimento aqui esta o script do Firewall:

Citar#!/bin/bash

iniciar() {

# Compatilhar a conexão:
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth3 -j MASQUERADE
echo "Compartilhamento ativado"

# Abre para interface de loopback:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -i lo -j ACCEPT

# Abre as portas referentes aos serviços usados:

#SSH:
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT

#DNS:
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

#HTTP e HTTPS:
iptables -A INPUT -p tcp -m multiport --dport 80,443 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 80,443 -j ACCEPT

#WINS:
iptables -A INPUT -p tcp --dport 137 -j ACCEPT
iptables -A INPUT -p udp --dport 137 -j ACCEPT

#NETBIOS:
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 137,138 -j ACCEPT

#SMB
iptables -A INPUT -p tcp --dport 445 -j ACCEPT

#POP3 e SMTP
iptables -A INPUT -p tcp -m multiport --dport 110,995,25 -j ACCEPT
iptables -A INPUT -p udp --dport 25 -j ACCEPT

#Portas usadas pelo MSN Messenger:
iptables -A INPUT -p tcp -m multiport --dport 1863,1025 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 1863,1503,3389,5004,65535,1025 -j ACCEPT

# Garante que o firewall permitirá pacotes de conexões ja iniciadas:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Regas básicas de firewall:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -p udp -s 0/0 -i eth3 --dport 33435:33525 -j DROP

# Impedindo acessos através da rede local
iptables -A OUTPUT -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -p tcp --dport 1863 -j REJECT

# Bloqueia as portas UDPde 0 a 1023 com exceção das abertas acima:
iptables -A INPUT -p udp --dport 0:1023 -j DROP

# Bloqueia tudo que nãestiver nas regras acima
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
iptables -A INPUT -p tcp --syn -j DROP

echo "Regas de firewall e compartilhamento ativadas"

}

parar(){
      iptables -F
      iptables -t nat -F
      iptables -P INPUT ACCEPT
      echo 0 > /proc/sys/net/ipv4/ip_forward
      echo "Regas de firewall e compatilhamento desativados"
}

case "$1" in
  "start") iniciar ;;
  "stop") parar ;;
  "restart") parar; iniciar ;;
  *) echo "Use os parâmetros start ou stop"
esac

alessandro_ufms

#1
Pelo que eu saiba, colocando a regra:

iptables -A INPUT -j DROP

você está bloqueando TUDO que vem da internet, inclusive resposta a requisições http.

O que você quer bloquear exatamente?