Draconro
(usa Outra)
Enviado em 24/02/2008 - 10:00h
Tenho um problemão, pois eu fiz um servidor para trabalhar como roteador, servidor de banco de dados e ftp/http. Mais tem um terminal que tem um programa do banestes, chamado banesfacil, quando consigo fazer o mesmo funcionar o sistema de ftp/http para e não consigo mais acessar o servico de ftp/http. Gostaria de uma ajuda. Desde já agradeço a atenção! Obrigado!
Segue abaixo o meu firewall e em seguida o compartilhamento:
#!/bin/bash
# Script de configuração do iptables gerado pelo configurador do Kurumin
# Este script pode ser usado em outras distribuições Linux que utilizam o Kernel 2.4 em diante
# Por Carlos E. Morimoto
firewall_start(){
# Abre para uma faixa de endereços da rede local
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 4226 -j ACCEPT
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 8090 -j ACCEPT
# Abrindo conexao ftp em modo passivo e ativo
iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A INPUT -p udp --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT -p udp --dport 22 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
# Ignora pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Proteção contra IP spoofing
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
# Proteção contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP
# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A INPUT -m state --state INVALID -j DROP
# Abre para a interface de loopback.
# Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
iptables -A INPUT -i lo -j ACCEPT
# Fecha as portas udp de 1 a 1024
iptables -A INPUT -p udp --dport 1:1024 -j DROP
iptables -A INPUT -p udp --dport 59229 -j DROP
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.100
iptables -t nat -A POSTROUTING -d 192.168.0.100 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.101
iptables -t nat -A POSTROUTING -d 192.168.0.101 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.102
iptables -t nat -A POSTROUTING -d 192.168.0.102 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.103
iptables -t nat -A POSTROUTING -d 192.168.0.103 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.104
iptables -t nat -A POSTROUTING -d 192.168.0.104 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.105
iptables -t nat -A POSTROUTING -d 192.168.0.105 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.106
iptables -t nat -A POSTROUTING -d 192.168.0.106 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.107
iptables -t nat -A POSTROUTING -d 192.168.0.107 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.108
iptables -t nat -A POSTROUTING -d 192.168.0.108 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.109
iptables -t nat -A POSTROUTING -d 192.168.0.109 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.110
iptables -t nat -A POSTROUTING -d 192.168.0.110 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.111
iptables -t nat -A POSTROUTING -d 192.168.0.111 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.112
iptables -t nat -A POSTROUTING -d 192.168.0.112 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.113
iptables -t nat -A POSTROUTING -d 192.168.0.113 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.114
iptables -t nat -A POSTROUTING -d 192.168.0.114 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.115
iptables -t nat -A POSTROUTING -d 192.168.0.115 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.116
iptables -t nat -A POSTROUTING -d 192.168.0.116 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.117
iptables -t nat -A POSTROUTING -d 192.168.0.117 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.118
iptables -t nat -A POSTROUTING -d 192.168.0.118 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.119
iptables -t nat -A POSTROUTING -d 192.168.0.119 -j SNAT --to 192.168.0.1
# Redireciona uma faixa de portas para um micro da rede local
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:65535 -j DNAT --to 192.168.0.120
iptables -t nat -A POSTROUTING -d 192.168.0.120 -j SNAT --to 192.168.0.1
# Esta regra é o coração do firewall do Kurumin,
# ela bloqueia qualquer conexão que não tenha sido permitida acima, justamente por isso ela é a última da cadeia.
iptables -A INPUT -p tcp --syn -j DROP
echo "O Kurumin Firewall está sendo carregado..."
sleep 1
echo "Tudo pronto!"
sleep 1
}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
}
case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "O kurumin-firewall está sendo desativado"
sleep 2
echo "ok."
;;
"restart")
echo "O kurumin-firewall está sendo desativado"
sleep 1
echo "ok."
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac
======#================#==============#==========
#!/bin/sh
# Compartilha a conexão
compartilhar_start(){
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "O compartilhamento da conexão está sendo iniciado"
sleep 1
echo "Tudo ok."
}
compartilhar_stop(){
iptables -t nat -F
}
case "$1" in
"start")
compartilhar_start
;;
"stop")
compartilhar_stop
echo "O compartilhamento da conexão está sendo desativado"
sleep 2
echo "ok."
;;
"restart")
echo "O compartilhamento da conexão está sendo desativado"
sleep 1
echo "ok."
compartilhar_stop; compartilhar_start
;;
*)
iptables -t nat -L
esac
====#===========#===========#===============
O sistema banesfácil trabalha com com a porta 20 e 21 para começar a conexão. E depois ele libera uma porta acima da 1024 para o servidor do Banestes entrar e deixar o arquivo dos repasses no programa dentro de um terminal aqui. O que me falaram e que esse programa trabalha em modo ftp passivo. Só que quando consiguo liberar o banesfácil pra funfar o meu sistema ssh, apache e ftp, não respondem mais nas portas repesctivas o ssh responde na porta 22, o apache aqui ta resposdendo na porta 8090 e o sistema de ftp com a porta 21. E o banesfácil começa a trabalhar na porta 20,21 e depois o retorno so volta nas portas acima da 1024. E quando eu uso esses comando pra compartilhar a conexao;
#Compartilhamento de conexão:
modprobe ip_nat_ftp;
modprobe ip_conntrack;
modprobe ip_conntrack_ftp;
E assim as conexões de entra s%E