Problemas D+ com iptables

kelinhos
(usa Debian)

Enviado em 30/11/2009 - 23:03h

Ola a todos....

Estou com todas as duvidas de A-Z sobre firewall
Gostaria de fazer umas regras que bloqueassem tudo e iria liberando somente o que eu preciso,
Eu estou montando um servidor que conecta na internet ( pppoe ) e faz o roteamento para a rede interna, Squid, SAMBA, APACHE e SSH ( de fora da rede interna eu acessar ). Esse servidor fica em casa, pois tenho 2 maquinas ligada a cabo e compartilho internet com 2 vizinhos via wireless. por isso eu gostaria de criar essas regras... até aqui tá tudo perfeito, funfando 100% legal..

E ai vem o meu problema, pois não entendo nada de IPTABLES e estou tendo muita dificuldade em fazer essas regras...

Quando eu coloco essas regras
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -Z

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

modprobe iptable_nat
modprobe iptable_filter
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_MASQUERADE
modprobe ipt_LOG

Trava tudo, e ai quando vou rebotar o servidor demora muito tempo pra reiniciar. fica no portmap uns 10min..
Essas regras eu achei que teria que colocar pra limpar tudo e iniciar as regras do firewall.

Bom,, eu peguei as regras na net, que libera somente o SQUID, APACHE e SSH e bloqueia o resto...
Mas não funciono, só demora pra reiniciar e trava tudo.

Será que alguma alma caridosa poderia me ajudar com isso????
Obrigado...

kelinhos
(usa Debian)

Enviado em 01/12/2009 - 11:59h

Alguem poderia me ajudar ae???

já li varios posts mas eu não entendi muita coisa,, tipo, como inicia as regras, se bloqueia ou libera primeiro e depois eu fecho o resto que não está nas regras..

Senhor moderador, será que eu estou no lugar errado??, se tiver errado será que poderia me colocar no lugar sobre este post??

valeu ai galera....

construidor
(usa Arch Linux)

Enviado em 01/12/2009 - 12:19h

Olá Amigo

Notei que você bloqueou todos os INPUTs, então seu servidor ira negar qualquer serviço interno. Para liberar o seus serviços coloque as seguintes linhas na frente:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT # desbloqueia SSH
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # desbloqueia apache
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT # desbloqueia squid

Mas te aconselho a usar o webmin (gerencia via interface web o servidor), com ele se torna muito mais fácil configurar o iptables, aqui no VOL tem um bom artigo:

http://www.vivaolinux.com.br/artigo/Instalacao-e-configuracao-do-Webmin/

magnolinux
(usa Debian)

Enviado em 01/12/2009 - 12:58h

Amigo..

Firewall é um serviço que requer muita dedicação para aprendizado, se vc quer realmente criar regras no iptables, ao inves de ficar copiando da internet , que é o que sempre aconteçe, aconselho vc iniciar com uma boa lida na apostila do foca.

Flw...

kelinhos
(usa Debian)

Enviado em 01/12/2009 - 17:15h

Reformulando a pergunta, já que é dificil responder a pergunta anterior...

como posso incrementar esse firewall para melhorar...
O servidor tem 2 placas de rede, eth0=pppoe e eth1=Rede Interna,

# Carrega os módulos
modprobe iptables
modprobe iptable_nat

# Compartilha a conexão
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

# Abre algumas portas
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 53 -j ACCEPT <-- tenho que liberar o DNS? é assim que faz?

# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

# Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP

com isso feito,, o meu APT-GET UPDATE não acha mais a internet... mas uma maquina na rede navega...
Então como que eu teria que fazer esse firewall..

no aguardo.....

magnolinux
(usa Debian)

Enviado em 11/12/2009 - 09:08h

Amigo...

Simples seu problema...

http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htm

kelinhos
(usa Debian)

Enviado em 11/12/2009 - 14:52h

Amigo, é facil e simples para quem sabe..

Mas para quem não sabe nada como eu, isso é um bicho de 14 cabeças, eheheheh

não é simples assim, quando se não sabe por onde iniciar.

abraços