01 02

iptables - Liberar internet [RESOLVIDO]

1. iptables - Liberar internet [RESOLVIDO]

mshonorato
(usa Debian)

Enviado em 09/02/2009 - 11:23h

Bom dia pessoal!

Tenho outra dúvida.

Estou desenvolvendo um fw, ou melhor, estou aprendendo a desenvolver.

Bloquei tudo no fw e liberei somente a porta ssh que é a 22.

Agora quero liberar a internet e não consigo, alguém poderia me ajudar?

Já li diversas apostilas, conforme me indicaram nos tópicos anteriores a este como foca linux, a do Elgio, mas ainda tenho dificuldades...

Meu fw ficou assim:

#!/bin/bash

#firewall-Marcos-Honorato

echo "Ativando as Regras de Firewall..."

IPTABLES="/usr/sbin/iptables"

#----MODULOS-----
modprobe ip_conntrack
modprobe ip_tables
modprobe ipt_MASQUERADE
modprobe ipt_state
modprobe iptable_nat
modprobe ipt_LOG
modprobe ipt_REJECT

#----LIMPA TABELA NAT-----
$IPTABLES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t nat -Z
$IPTABLES -t nat -F POSTROUTING
$IPTABLES -t nat -F PREROUTING

#----LIMPA REGRAS-----
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD

#----SETA POLITICAS-----
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

#----NAT-----
$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#----INPUT-----
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#----OUTPUT-----
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#----ROTEAMENTO----
echo 1 > /proc/sys/net/ipv4/ip_forward

echo "Regras de Firewall Ativadas..."

# EOF

Muito obrigado a quem puder ajudar!

0 0

Quote

2. Re: iptables - Liberar internet [RESOLVIDO]

junior
(usa Ubuntu)

Enviado em 09/02/2009 - 11:32h

Antes de escrever o script com diversos comandos, é bom testá-los individualmente para ver como se comporta.
Tira esses "$" da frente dos comandos, e escreve o "IPTABLES" com letras mínusculas.

=)

0 0

Quote

3. Re: iptables - Liberar internet [RESOLVIDO]

arc
(usa Slackware)

Enviado em 09/02/2009 - 11:52h

junior rocha o "$" é por que este esta usando uma variavel!!!

olha a linha

IPTABLES="/usr/sbin/iptables"

0 0

Quote

4. Re: iptables - Liberar internet [RESOLVIDO]

ST. RaLF
(usa Arch Linux)

Enviado em 09/02/2009 - 12:00h

Agora você tem que permitir no FORWARD os sources que podem acessar a internet.

$IPTABLES -A FORWARD -s 192.168.0.1 -j ACCEPT

0 0

Quote

5. Re: iptables - Liberar internet [RESOLVIDO]

mshonorato
(usa Debian)

Enviado em 09/02/2009 - 13:31h

Rafael, coloquei sua regra mais não adiantou.

ficou assim:

#----SETA POLITICAS-----
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

#----NAT------
$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#----INPUT-----
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#----OUTPUT-----
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#----FORWARD-----
#$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -s 10.1.0.10 -j ACCEPT #Esse ip 10.1.0.10 é do computador que quero liberar a internet

#----ROTEAMENTO----
echo 1 > /proc/sys/net/ipv4/ip_forward

0 0

Quote

6. Re: iptables - Liberar internet [RESOLVIDO]

rrafael
(usa Debian)

Enviado em 09/02/2009 - 20:16h

faz o seguinte libera essa regra aki

IPTABLES -P OUTPUT ACCEPT

De pois Coloca logo em baixo
######################Regras de repasse
#########################aceitar pacotes de retorno
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Posta ai o resultado

1 0

Quote

7. Consegui!!

mshonorato
(usa Debian)

Enviado em 10/02/2009 - 09:47h

Valew pessoal, consegui...

Ficou assim:

Só alterei o "$IPTABLES -P OUTPUT" para ACCEPT

Alguém poderia me explicar pq usar ACCEPT e não DROP?

Não seria mais seguro usar drop?

Valew

0 0

Quote

8. Re: iptables - Liberar internet [RESOLVIDO]

rrafael
(usa Debian)

Enviado em 10/02/2009 - 09:58h

Seguinte se voce usar o DROP todos os pacotes que sairem do seu firewall seram negados, a menos que voce libere a saida tambem.. por isso se usa o ACCEPT para liberar saida como default!!

abraco.

0 0

Quote

9. Re: iptables - Liberar internet [RESOLVIDO]

richardandrade
(usa Debian)

Enviado em 10/02/2009 - 10:04h

a política para OUTPUT ser DROP ta certo que é mais seguro sim, mas pra mim é ser xiita.

0 0

Quote

10. Re: iptables - Liberar internet [RESOLVIDO]

rrafael
(usa Debian)

Enviado em 10/02/2009 - 10:16h

Boa richardandrade

Mas tem adminstradores de rede que nao abre mao!! hehehe!!

0 0

Quote

11. Re: iptables - Liberar internet [RESOLVIDO]

mshonorato
(usa Debian)

Enviado em 10/02/2009 - 11:24h

Sim, eu entendi que usar "$IPTABLES -P OUTPUT DROP" bloqueia tudo, e que eu terei que liberar o que eu quiser que saia?

Mas pq é ser xita?

Não é necessário eu me preocupar com o OUTPUT?

E se eu deixar o FORWARD em accept tb, deixar somente o INPUT como DROP?

valew

0 0

Quote

12. Re: iptables - Liberar internet [RESOLVIDO]

rrafael
(usa Debian)

Enviado em 10/02/2009 - 12:37h

mshonorato

Falei isso por que vai muito o adm.. eu particularmente nao uso.. o DROP no OUTPUT, na verdade e o cunjunto de regras que deixa eu firewall forte..
eu nao me preocuparia com isso.. eu so deixo o DROP nos outros dois!!

abraco.

0 0

Quote