Iptables

Iniciado por SOMBRIO, 12 de Outubro de 2008, 18:43

tópico anterior - próximo tópico
Imprimir
Ir para Fim Páginas1
Ações

SOMBRIO

12 de Outubro de 2008, 18:43 Última edição: 12 de Outubro de 2008, 19:24 por SOMBRIO
Olá pessoal.


Com conhecimento limitado, não consigo achar explicação para o que esta acontecendo nestes dois servidores que compartilham a internet.
O compartilhamento da internet fiz em outro arquivo exe. Confesso que pesquisei bastate atraz de alguma informação mas até agora nada. Abaixo as informações que calculo necessárias para a apreciação de todos. Sei que uma explicação tem. Muitas vezes não temos como comparar, mas neste caso são dois iguais!

1º) Servidor: Ubuntu Server 8 (Internet compartilhada com duas placas de rede,   K-6 500/256, 30 lojas em um shopping .) Ip fixo corporativo link de dados.
Sem proxi.

   Firewall :

#!/bin/bash

iniciar(){

iptables -A FORWARD -i eth1 -d www.orkut.com -j REJECT
iptables -A INPUT -p tcp --dport 6666 -j ACCEPT

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu           

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

echo "---------------------Firewall ativo-----------------------"

}

parar(){
iptables -F

echo "Regras de firewall desativados"
}

case "$1" in
"start") iniciar;;
"stop") parar;;
"restart") parar; iniciar;;
*) echo "Use os parametros start ou stop"
esac

   iptables –L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  anywhere             od-in-f85.google.com reject-with icmp-port-unreachable
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:6666
DROP       all  --  anywhere             anywhere            state INVALID
DROP       icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     all  --  anywhere             anywhere           
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  anywhere             od-in-f85.google.com reject-with icmp-port-unreachable
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN tcpmss match 1400:1536 TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         



Obs. Funcionando perfeitamente mas não bloqueia "Orkut"


2º) Servidor: Ubuntu Server 8 (Internet compartilhada com duas placas de rede,   K-6 500/256, 8 máquinas na rede.) Internet Adsl 2 mb. Sem proxi.

   Firewall:

#!/bin/bash

iniciar(){

iptables -A FORWARD -p tcp -i eth1 -d www.orkut.com -j REJECT
iptables -A INPUT -p tcp --dport 6666 -j ACCEPT

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

echo "---------------------Frewall Ativo--------------------"

}

parar(){
iptables -F

echo "Regras de firewal desativadas"
}

case "$1" in
"start") iniciar;;
"stop") parar;;
"restart") parar; iniciar;;
*)echo "Use os parametros start ou stop"
esac

         iptables –L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:6666
DROP       all  --  anywhere             anywhere            state INVALID
DROP       icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     all  --  anywhere             anywhere           
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     tcp  --  anywhere             br-in-f85.google.com reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             br-in-f94.google.com reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             br-in-f86.google.com reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             br-in-f87.google.com reject-with icmp-port-unreachable
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN tcpmss match 1400:1536 TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

   
Obs. Funcionando perfeitamente, bloqueia "Orkut" beleza.

Obrigado pela atenção de todos.



N_I_T_R_O

#1
13 de Outubro de 2008, 15:53
Vou tentar um pitaco sem muita certeza

Verifique se nas duas maquinas a eth1 esta com o mesmo destino , pode ser que em um maquina esteja a lan e na outra a wan

Boa sorte

SOMBRIO

#2
15 de Outubro de 2008, 21:29
N_I_T_R_O

Não sei entendi direito, mas examinei a configuração da rede e me parece normal. O roteamento esta funcionando ok. Fiz a referência a não ter proxi porque, estou tentando achar o motivo deste enigma. Sei que usando o squid resolveria o problema mas é o motivo que me intriga.

Obrigado pela dica.

N_I_T_R_O

#3
20 de Outubro de 2008, 17:18
Meu palpite foi exatamente isso q vc testou
dar um ifconfig nas duas maquinas e ver se a configuracao de ip invalido e a mesma nas duas ex na eth0 192.168 ... e o valido na outra placa, mas como vc escreveu que o roteamento ta funcionando nao deve ser isso
Se achar  a solucao poste aqui pq também estou intrigado
Boa sorte de novo
Imprimir
Ir para Topo Páginas1
Ações