Erro no firewall novamente...

1. Erro no firewall novamente...

viniciuspedra
(usa Debian)

Enviado em 13/01/2009 - 21:45h

Bah pessoal... o meu firewall continua com um erro qdo eu reinicio ele...

o erro é esse:

srv-debian:/etc/firewall# firewall
INICIANDO FIREWALL
Carga dos Modulos OK!
Flush das regras OK!
Bad argument `–dport'
Try `iptables -h' or 'iptables --help' for more information.
Carga do Proxy Transparente OK!

Não sei mais o q fazer pois já consultei alguns arquivos de firewall e todos eles estão quase que parecidos com o meu.
Vcs que são muito mais experientes do que eu, vejam se conseguem achar alguma falha que esteja causando este erro..

Firewall:

#! /bin/bash
echo " INICIANDO FIREWALL "
# Ativa modulos
# ——————————————————-
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
echo "Carga dos Modulos OK!"
# Zera regras
# ——————————————————-
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -F -t mangle
/sbin/iptables -X -t mangle
echo "Flush das regras OK!"
# Proxy Transparente
# ——————————————————-
# Nessa linha iremos mascarar os pacotes de saída para internet.

# add linha

echo 1 > /proc/sys/net/ipv4/ip_forward

/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -P FORWARD DROP

/sbin/iptables -A FORWARD -p udp --sport 53 -j ACCEPT
/sbin/iptables -A FORWARD -p udp --dport 53 -j ACCEPT

/sbin/iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --dport 110 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 10690 -j ACCEPT # Limeware
/sbin/iptables -A INPUT -p tcp --dport 49940 -j ACCEPT # Dreamule
/sbin/iptables -A INPUT -p udp --dport 56599 -j ACCEPT # Dreamule

################### REGRAS DE SEGURANCA DA REDE ######################

# Descarte de pacotes nao-identificado ICMP (ping)
/sbin/iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP

# Contra DoS:
/sbin/iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

# Contra Port Scanners:
/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Contra Pings da morte
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Bloquear Back Orifice:
/sbin/iptables -A INPUT -p tcp --dport 31337 -j DROP
/sbin/iptables -A INPUT -p udp --dport 31337 -j DROP

# Bloquear NetBus:
/sbin/iptables -A INPUT -p tcp --dport 12345:12346 -j DROP
/sbin/iptables -A INPUT -p udp --dport 12345:12346 -j DROP

# Nessa regra iremos redirecionar todo tráfego da porta 80 da eth0 para a porta 3128 do squid.

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

echo "Carga do Proxy Transparente OK!"

0 0

Quote

2. sintaxe

eduardofraga
(usa Debian)

Enviado em 14/01/2009 - 00:52h

Testei o script que você postou e funcionou normal aqui.

Segundo o que você escreveu, acho que seu script tem um erro de sintaxe:

Bad argument `–dport'

esse `–dport era pra ser --dport, mas não sei em qual linha.

Sugiro que você comente a partir do

#/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

e vai descomentando linha por linha.

0 0

Quote

3. recomendo

franklincsilva
(usa Ubuntu)

Enviado em 14/01/2009 - 08:09h

Cara, recomendo usar uma linha por vez no firewall.
Tipo assim:
#iptables -F
#iptables -D -t nat
iptables -z -t filter

e logo depois usa as suas regras dai você vai e testa cada uma delas.

abraço!

0 0

Quote