Iptables bloqueou internet

jonathan_p
(usa Ubuntu)

Enviado em 20/08/2010 - 14:30h

Tenho um servidor Debian em uma rede com estações Windows, digitei o comando
iptables -D INPUT -p tcp --dport 9528 -j DROP para liberar a porta 9528 para acesso via putty, depois que fiz isso, a internet não funciona mais, tentei reinstalar o iptables e agora não acessa a internet nem pelo servidor, o que eu faço???

irado
(usa XUbuntu)

Enviado em 20/08/2010 - 14:38h

eu ia sugerir alguma coisa mas poderiam mais tarde me acusar de crime por "indução ao suicidio".

primeiro à sua regra: ao invés de liberar, simplesmente fez o contrário, bloqueou sem aviso qualquer tentativa.

eu não vou prosseguir daqui, mas outros colegas virão ajuda-lo nesse pepino.. o renato pacheco, que é mais paciente, o teixeira.. enfim, tem uma galera ótima.

pra ir antecipando, coloque aqui o resultado de:

# /sbin/iptables -L

pra gente saber como as coisas estão no momento. Ah, experimente um 'start' no seu /etc/init.d/firewall (ou iptables).

sugiro uma boa leitura do focalinux: http://focalinux.cipsga.org.br/index.html - imagino que vc vá começar pelo 4.22

divirta-se :)

flames > /dev/null

jonathan_p
(usa Ubuntu)

Enviado em 20/08/2010 - 14:48h

Pois é cara, fiz isso seguindo um tutorial de um mané aí.

então, o resultado foi isso:

Chain INPUT (policy DROP)
target prot opt source destination

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination

Acredito que pelo fato de eu ter reinstalado no desespero, achando que ia resolver =S
Então, quero que me ajudem pq sou bem noob nisso e preciso fazer com que a rede aqui volte a funcionar, tem duas placas de rede e a conexão é por fibra óptica

irado
(usa XUbuntu)

Enviado em 20/08/2010 - 14:52h

da maneira como está vc não vai navegar mesmo; não existem regras e as "policies" estão todas para bloqueio. Minha melhor sugestão, para ser bem mais rápido, é vc pesquisar ali no box à direita, em cima, e procurar por firewall, selecionando "scripts" - mas ANALISE os scripts e altere o que julgar próprio. A única dica que tenho é: escolha os mais curtos, alguns foram feitos com "encheção de linguiça", pra deixar bonitinho pro chefe, entendeu?

então vá lá: scripts, curtíssimos. Ah, mantenha as "policies" do jeito que estão ;)

boa sorte

jonathan_p
(usa Ubuntu)

Enviado em 20/08/2010 - 15:11h

Então, executei os seguintes comandos:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT

iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

Agora pinga tanto no servidor quanto nas máquinas, mas não acessa a internet nos navegadores =S

jonathan_p
(usa Ubuntu)

Enviado em 20/08/2010 - 15:16h

e digitei

iptables -t nat -A PREROUTING -p tcp -i eth1 -m multiport --dport 80,443 -j REDIRECT --to-port 3128

para liberar o squid também

irado
(usa XUbuntu)

Enviado em 20/08/2010 - 15:25h

me escapa a razão pela qual vc se RECUSA a ler alguns scripts que ajudariam vc a se livrar desse problema. E também devo estar contaminado pela paciencia do renato pacheco.. ainda bem que vou me desintoxicar disso no fim de semana, com bom whisky ;)

seguinte, jonathan.. a primeira parte está certa (masquerading, ip-forward), mas no resto vc pisa em todas as bolas que conseguiu encontrar, até nas mais escondidinhas:

esta regra:
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
diz que qualquer pessoa no mundo pode acessar sua máquina via ssh; como o brute-force tá aí mesmo pra ajudar.. divirta-se ;)

esta aqui:
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
diz que qualquer máquina da sua rede pode acessar essa máquina. Ô festão do kaki, né meu? que vidão..

"Agora pinga tanto no servidor quanto nas máquinas, mas não acessa a internet nos navegadores =S"

e vc nem imagina o que é, né mesmo? - risos - foi por isso que eu disse pra vc procurar os scripts. Tá bão, volte lá (scripts) e procure as regras de forward ;) e REMOVA essas de INPUT ou restrinja, permita apenas sua máquna remota ou mais uma ou duas.

esta regra:
iptables -t nat -A PREROUTING -p tcp -i eth1 -m multiport --dport 80,443 -j REDIRECT --to-port 3128
fará com que todos os serviços que usem https não funcionem mais. Bancos, órgãos do governo.. o https NÃO FUNCIONA com proxy transparente.

bem.. volte lá, estude e refaça ;)

jonathan_p
(usa Ubuntu)

Enviado em 20/08/2010 - 16:00h

Obrigado pela ajuda até agora, infelizmente o Proxy Transparente é uma exigência do meu diretor =S
Não dá pra tirar.... Olha, o que eu achei de regra FORWARD foi

iptables -A FORWARD -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

Entendo q vc não quer me dar a resposta de mão beijada e quer me fazer estudar iptables, legal! Só que acho que não tô conseguindo =/

Pelo que entendi essas duas regras acima deveriam fazer com que as máquinas aceitassem o Proxy e a segunda deveria aceitar que pacotes fossem enviados para todas as máquinas da rede. Ou não é??
O que eu fiz de errado ou falta fazer pra isso funcionar?

irado
(usa XUbuntu)

Enviado em 20/08/2010 - 16:23h

isto aqui eu entendo:
"Obrigado pela ajuda até agora, infelizmente o Proxy Transparente é uma exigência do meu diretor =S"

PORÉM anote em pedra: https (Bancos, instituições governamentais, lojas) vão parar de funcionar ;)

se o diretor quer que funcione, deixe apenas o http.. ou avise a êle o que vai acontecer, se êle aceitar.. ligue o "fo***se" e vamos pra cerva :)


nesta regra:
iptables -A FORWARD -i eth0 -p tcp --dport 3128 -j ACCEPT

bem.. não é assim.. vamos revisar:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
(note que SÓ a porta 80, não a 443)

olhe só o que achei pra vc:
http://www.vivaolinux.com.br/dica/Iptables-e-proxy-transparente-%28Squid%29-definitivo

esta regra:
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
é a que faltaria para seus usuários conseguirem navegar.. mas.. a regra não é bem assim (risos), então vc precisará revisa-la.


quanto à fazer vc buscar as coisas.. bem, eu NÃO FAÇO nada por ninguém (exceto por $$$, em consultoria), mas oriento o mais que possa. E tá dando certo, né? vc está agora mesmo aprendendo coisas que jamais esquecerá (quer dizer.. por um bom tempo). E vc está indo muito bem :)

divirta-se :)

jonathan_p
(usa Ubuntu)

Enviado em 20/08/2010 - 16:50h

Na boa, tô quase desistindo, não acho nada que funciona

Tentei fazer o que tava lá no link que você me passou
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

e quanto àquela outra regra o que encontrei foi

iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED, RELATED -j ACCEPT

irado
(usa XUbuntu)

Enviado em 20/08/2010 - 16:58h

"Na boa, tô quase desistindo, não acho nada que funciona"
apenas porque vc não analisou direito, não fez lição de casa.. daqui a dois anos, pouco menos, vc vai olhar êstes posts e achar graça :)

"Tentei fazer o que tava lá no link que você me passou
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128"

e..?? não aconteceu nada? nem um desmaio, gritinhos, sacolejos, protestos?

"e quanto àquela outra regra o que encontrei foi

iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED, RELATED -j ACCEPT"

esta regra é MUITO importante; ela deixa seu firewall na condição "statefull", ou seja, o pacote que sair terá seu retorno assegurado.

volto a insistir: estude ANTES de sair fazendo. Um fwll não é uma "coisa" qualquer, é um treco sério que envolve a segurança da sua rede.

se vc entender 1/4 do que encontra aqui: http://www.google.com.br/custom?domains=www.vivaolinux.com.br&sitesearch=www.vivaolinux.com.br&a...

vc vai ficar muito bem na fita.

e eu vou embora :) bom fimdi pra vc.

aliás.. é bom estudar bem no fimdi.. segunda-feira tem mais :)

jonathan_p
(usa Ubuntu)

Enviado em 20/08/2010 - 17:03h

Não, nada aconteceu...

Vlw pela ajuda, vou continuar lendo e tentar ver o que pode ser