iptables - Liberar internet [RESOLVIDO]

1. iptables - Liberar internet [RESOLVIDO]

Marcos Honorato de Souza
mshonorato

(usa Debian)

Enviado em 09/02/2009 - 11:23h

Bom dia pessoal!

Tenho outra dúvida.

Estou desenvolvendo um fw, ou melhor, estou aprendendo a desenvolver.

Bloquei tudo no fw e liberei somente a porta ssh que é a 22.

Agora quero liberar a internet e não consigo, alguém poderia me ajudar?

Já li diversas apostilas, conforme me indicaram nos tópicos anteriores a este como foca linux, a do Elgio, mas ainda tenho dificuldades...

Meu fw ficou assim:

#!/bin/bash

#firewall-Marcos-Honorato

echo "Ativando as Regras de Firewall..."

IPTABLES="/usr/sbin/iptables"

#----MODULOS-----
modprobe ip_conntrack
modprobe ip_tables
modprobe ipt_MASQUERADE
modprobe ipt_state
modprobe iptable_nat
modprobe ipt_LOG
modprobe ipt_REJECT

#----LIMPA TABELA NAT-----
$IPTABLES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t nat -Z
$IPTABLES -t nat -F POSTROUTING
$IPTABLES -t nat -F PREROUTING

#----LIMPA REGRAS-----
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD

#----SETA POLITICAS-----
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

#----NAT-----
$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#----INPUT-----
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#----OUTPUT-----
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#----ROTEAMENTO----
echo 1 > /proc/sys/net/ipv4/ip_forward

echo "Regras de Firewall Ativadas..."

# EOF

Muito obrigado a quem puder ajudar!


  


2. Re: iptables - Liberar internet [RESOLVIDO]

Junior Rocha
junior

(usa Ubuntu)

Enviado em 09/02/2009 - 11:32h

Antes de escrever o script com diversos comandos, é bom testá-los individualmente para ver como se comporta.
Tira esses "$" da frente dos comandos, e escreve o "IPTABLES" com letras mínusculas.

=)


3. Re: iptables - Liberar internet [RESOLVIDO]

Alcimar
arc

(usa Slackware)

Enviado em 09/02/2009 - 11:52h

junior rocha o "$" é por que este esta usando uma variavel!!!

olha a linha

IPTABLES="/usr/sbin/iptables"




4. Re: iptables - Liberar internet [RESOLVIDO]

Rafael Arcanjo
ST. RaLF

(usa Arch Linux)

Enviado em 09/02/2009 - 12:00h

Agora você tem que permitir no FORWARD os sources que podem acessar a internet.

$IPTABLES -A FORWARD -s 192.168.0.1 -j ACCEPT


5. Re: iptables - Liberar internet [RESOLVIDO]

Marcos Honorato de Souza
mshonorato

(usa Debian)

Enviado em 09/02/2009 - 13:31h

Rafael, coloquei sua regra mais não adiantou.

ficou assim:

#----SETA POLITICAS-----
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

#----NAT------
$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#----INPUT-----
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#----OUTPUT-----
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#----FORWARD-----
#$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -s 10.1.0.10 -j ACCEPT #Esse ip 10.1.0.10 é do computador que quero liberar a internet

#----ROTEAMENTO----
echo 1 > /proc/sys/net/ipv4/ip_forward



6. Re: iptables - Liberar internet [RESOLVIDO]

Rafael
rrafael

(usa Debian)

Enviado em 09/02/2009 - 20:16h

faz o seguinte libera essa regra aki

IPTABLES -P OUTPUT ACCEPT

De pois Coloca logo em baixo
######################Regras de repasse
#########################aceitar pacotes de retorno
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Posta ai o resultado


7. Consegui!!

Marcos Honorato de Souza
mshonorato

(usa Debian)

Enviado em 10/02/2009 - 09:47h

Valew pessoal, consegui...

Ficou assim:

Só alterei o "$IPTABLES -P OUTPUT" para ACCEPT

Alguém poderia me explicar pq usar ACCEPT e não DROP?

Não seria mais seguro usar drop?

Valew


8. Re: iptables - Liberar internet [RESOLVIDO]

Rafael
rrafael

(usa Debian)

Enviado em 10/02/2009 - 09:58h

Seguinte se voce usar o DROP todos os pacotes que sairem do seu firewall seram negados, a menos que voce libere a saida tambem.. por isso se usa o ACCEPT para liberar saida como default!!

abraco.


9. Re: iptables - Liberar internet [RESOLVIDO]

Richard Andrade
richardandrade

(usa Debian)

Enviado em 10/02/2009 - 10:04h

a política para OUTPUT ser DROP ta certo que é mais seguro sim, mas pra mim é ser xiita.


10. Re: iptables - Liberar internet [RESOLVIDO]

Rafael
rrafael

(usa Debian)

Enviado em 10/02/2009 - 10:16h

Boa richardandrade

Mas tem adminstradores de rede que nao abre mao!! hehehe!!


11. Re: iptables - Liberar internet [RESOLVIDO]

Marcos Honorato de Souza
mshonorato

(usa Debian)

Enviado em 10/02/2009 - 11:24h

Sim, eu entendi que usar "$IPTABLES -P OUTPUT DROP" bloqueia tudo, e que eu terei que liberar o que eu quiser que saia?

Mas pq é ser xita?

Não é necessário eu me preocupar com o OUTPUT?

E se eu deixar o FORWARD em accept tb, deixar somente o INPUT como DROP?

valew


12. Re: iptables - Liberar internet [RESOLVIDO]

Rafael
rrafael

(usa Debian)

Enviado em 10/02/2009 - 12:37h

mshonorato

Falei isso por que vai muito o adm.. eu particularmente nao uso.. o DROP no OUTPUT, na verdade e o cunjunto de regras que deixa eu firewall forte..
eu nao me preocuparia com isso.. eu so deixo o DROP nos outros dois!!

abraco.







01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts