Mensagem iptables ...

tecman
(usa Debian)

Enviado em 23/03/2010 - 20:09h

Olá pessoal!

Sempre que reinicio o firewall (iptables) aparece a mensagem abaixo:

iptables v1.3.6: host/network `-d' not found

Segue um exemplo de uma das regras nesse firewall:

iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 3024 -j DNAT --to-destination 192.168.0.200:302

O que está errado? Essa regra, por exemplo está funcionando!

Valeu!

[]´s

renato_pacheco
(usa Debian)

Enviado em 23/03/2010 - 23:09h

Fera, essa variável $IP_ORIGEM tá apontando pra onde? Ponha o seu script completo aki...

tecman
(usa Debian)

Enviado em 24/03/2010 - 08:25h

Opa! Segue o script completo! Valeu!

#!/bin/bash
# Script de configuração do iptables gerado pelo configurador do Kurumin
# Este script pode ser usado em outras distribuições Linux que utilizam o Kernel 2.4 em diante
# Por Carlos E. Morimoto

firewall_start(){

# Abre para uma faixa de endereços da rede local
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 -j ACCEPT
iptables -A INPUT -p udp -s 0.0.0.0/0 -j ACCEPT

# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT

# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT

# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 2121 -j ACCEPT

# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 6588 -j ACCEPT

# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 8024 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 8090 -j ACCEPT
iptables -A INPUT -p tcp --dport 3024 -j ACCEPT

# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --dport 6881 -j ACCEPT

# Redireciona da porta 21 para 2121
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 21 -j DNAT --to-destination 192.168.0.1:2121

# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --destination-port 5800 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5801 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5802 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5803 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5804 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5805 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5806 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5807 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5808 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5809 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5810 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5811 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5812 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5813 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5814 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5815 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5816 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5817 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5818 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5819 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5820 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5821 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5822 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5823 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5824 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5825 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5826 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5827 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5828 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5829 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5830 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5860 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5861 -j ACCEPT

# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --destination-port 5900 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5901 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5902 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5903 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5904 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5905 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5906 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5907 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5908 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5909 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5910 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5911 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5912 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5913 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5914 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5915 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5916 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5917 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5918 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5919 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5920 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5921 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5922 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5923 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5924 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5925 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5926 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5927 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5928 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5929 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5930 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5960 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5961 -j ACCEPT

# Ignora pings
#echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Proteção contra IP spoofing
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

# Proteção contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP


# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -N VALID_CHECK
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP


# Abre para a interface de loopback.
# Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT


# Fecha as portas udp de 1 a 1024
iptables -A INPUT -p udp --dport 1:1024 -j DROP
iptables -A INPUT -p udp --dport 59229 -j DROP

# Firewall liberando portas para o VNC

#coloque aqui seu IP p. ex. "200.246.13.45"
IP_ORIGEM="0.0.0.0/0"
#IP_DESTINO="201.56.138.2"
IP_DESTINO="IP FIXO INTERNET"
IP_ROTEADOR="192.168.0.1"

# Abre portas para o VNC
iptables -t filter -A INPUT -p tcp --dport 5900 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5800 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5902 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5802 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5903 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5803 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5904 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5804 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5905 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5805 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5906 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5806 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5907 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5807 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5908 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5808 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5909 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5809 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5910 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5810 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5911 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5811 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5912 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5812 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5913 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5813 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5914 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5814 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5915 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5815 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5916 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5816 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5917 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5817 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5918 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5818 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5919 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5819 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5920 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5820 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5921 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5821 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5922 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5822 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5923 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5823 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5924 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5824 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5925 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5825 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5926 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5826 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5927 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5827 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5928 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5828 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5929 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5829 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5930 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5830 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5960 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5860 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5961 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 5861 -j ACCEPT -i eth0

# Redirecionamento das portas do VNC
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5802 -j DNAT --to-destination 192.168.0.254:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5902 -j DNAT --to-destination 192.168.0.254:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5803 -j DNAT --to-destination 192.168.0.3:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5903 -j DNAT --to-destination 192.168.0.3:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5804 -j DNAT --to-destination 192.168.0.4:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5904 -j DNAT --to-destination 192.168.0.4:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5805 -j DNAT --to-destination 192.168.0.5:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5905 -j DNAT --to-destination 192.168.0.5:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5806 -j DNAT --to-destination 192.168.0.6:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5906 -j DNAT --to-destination 192.168.0.6:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5807 -j DNAT --to-destination 192.168.0.7:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5907 -j DNAT --to-destination 192.168.0.7:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5808 -j DNAT --to-destination 192.168.0.8:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5908 -j DNAT --to-destination 192.168.0.8:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5809 -j DNAT --to-destination 192.168.0.9:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5909 -j DNAT --to-destination 192.168.0.9:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5810 -j DNAT --to-destination 192.168.0.10:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5910 -j DNAT --to-destination 192.168.0.10:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5811 -j DNAT --to-destination 192.168.0.11:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5911 -j DNAT --to-destination 192.168.0.11:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5812 -j DNAT --to-destination 192.168.0.12:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5912 -j DNAT --to-destination 192.168.0.12:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5813 -j DNAT --to-destination 192.168.0.13:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5913 -j DNAT --to-destination 192.168.0.13:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5814 -j DNAT --to-destination 192.168.0.14:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5914 -j DNAT --to-destination 192.168.0.14:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5815 -j DNAT --to-destination 192.168.0.15:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5915 -j DNAT --to-destination 192.168.0.15:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5816 -j DNAT --to-destination 192.168.0.16:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5916 -j DNAT --to-destination 192.168.0.16:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5817 -j DNAT --to-destination 192.168.0.17:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5917 -j DNAT --to-destination 192.168.0.17:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5818 -j DNAT --to-destination 192.168.0.18:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5918 -j DNAT --to-destination 192.168.0.18:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5819 -j DNAT --to-destination 192.168.0.19:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5919 -j DNAT --to-destination 192.168.0.19:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5820 -j DNAT --to-destination 192.168.0.20:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5920 -j DNAT --to-destination 192.168.0.20:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5821 -j DNAT --to-destination 192.168.0.21:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5921 -j DNAT --to-destination 192.168.0.21:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5822 -j DNAT --to-destination 192.168.0.22:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5922 -j DNAT --to-destination 192.168.0.22:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5823 -j DNAT --to-destination 192.168.0.23:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5923 -j DNAT --to-destination 192.168.0.23:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5824 -j DNAT --to-destination 192.168.0.24:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5924 -j DNAT --to-destination 192.168.0.24:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5825 -j DNAT --to-destination 192.168.0.25:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5925 -j DNAT --to-destination 192.168.0.25:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5826 -j DNAT --to-destination 192.168.0.26:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5926 -j DNAT --to-destination 192.168.0.26:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5827 -j DNAT --to-destination 192.168.0.27:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5927 -j DNAT --to-destination 192.168.0.27:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5828 -j DNAT --to-destination 192.168.0.28:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5928 -j DNAT --to-destination 192.168.0.28:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5829 -j DNAT --to-destination 192.168.0.29:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5929 -j DNAT --to-destination 192.168.0.29:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5830 -j DNAT --to-destination 192.168.0.30:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5930 -j DNAT --to-destination 192.168.0.30:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5860 -j DNAT --to-destination 192.168.0.60:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5960 -j DNAT --to-destination 192.168.0.60:5900
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5861 -j DNAT --to-destination 192.168.0.200:5800
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 5961 -j DNAT --to-destination 192.168.0.200:5900
#iptables -t nat -A POSTROUTING -p tcp -s $IP_DESTINO -d $IP_ORIGEM --dport 5904 -j SNAT --to-destination 192.168.0.4:5900

# permite pacotes da Internet para a maquina com o VNC Server
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.1 --dport 5800 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.2 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.3 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.4 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.5 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.6 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.7 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.8 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.9 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.10 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.11 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.12 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.13 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.14 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.15 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.16 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.17 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.18 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.19 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.20 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.21 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.22 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.23 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.24 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.25 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.26 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.27 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.28 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.29 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.30 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.60 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.61 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.254 --dport 5900 -j ACCEPT

# permite pacotes de reposta da maquina com o VNC Server
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.1 --sport 5800 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.2 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.3 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.4 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.5 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.6 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.7 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.8 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.9 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.10 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.11 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.12 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.13 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.14 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.15 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.16 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.17 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.18 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.19 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.20 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.21 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.22 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.23 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.24 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.25 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.26 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.27 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.28 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.29 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.30 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.60 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.61 --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.254 --sport 5900 -j ACCEPT

# Abre uma porta para o Microsiga e Microsiga WEB (inclusive internet)
iptables -A INPUT -p tcp --destination-port 8024 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 8090 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 8095 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 85 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 3024 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 3389 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 3390 -j ACCEPT

# Abre portas para o Microsiga e Microsiga WEB
iptables -t filter -A INPUT -p tcp --dport 8024 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 8090 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 8095 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 85 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 3024 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 3389 -j ACCEPT -i eth0
iptables -t filter -A INPUT -p tcp --dport 3390 -j ACCEPT -i eth0

# Redirecionamento da porta do Microsiga e Microsiga WEB
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 8024 -j DNAT --to-destination 192.168.0.200:8024
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 8090 -j DNAT --to-destination 192.168.0.200:8024
#iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 8024 -j DNAT --to-destination 192.168.0.3:8024
#iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 8090 -j DNAT --to-destination 192.168.0.3:8024
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 8095 -j DNAT --to-destination 192.168.0.200:8095
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 80 -j DNAT --to-destination 192.168.0.200:80
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 85 -j DNAT --to-destination 192.168.0.200:85
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 3024 -j DNAT --to-destination 192.168.0.200:3024
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 3389 -j DNAT --to-destination 192.168.0.200:3389
iptables -t nat -A PREROUTING -p tcp -s $IP_ORIGEM -d $IP_DESTINO --dport 3390 -j DNAT --to-destination 192.168.0.201:3389

# Permite pacotes da Internet para o Microsiga e Microsiga WEB
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.200 --dport 8024 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.200 --dport 8090 -j ACCEPT
#iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.3 --dport 8024 -j ACCEPT
#iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.3 --dport 8090 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.200 --dport 8095 -j ACCEPT
#iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.200 --dport 8080 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.200 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.200 --dport 85 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.200 --dport 3024 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.200 --dport 3389 -j ACCEPT
iptables -A FORWARD -p tcp -s $IP_ORIGEM -d 192.168.0.201 --dport 3390 -j ACCEPT

# Permite pacotes de resposta do Microsiga e Microsiga WEB
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.200 --sport 8024 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.200 --sport 8090 -j ACCEPT
#iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.3 --sport 8024 -j ACCEPT
#iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.3 --sport 8090 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.200 --sport 8095 -j ACCEPT
#iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.200 --sport 8080 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.200 --sport 80 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.200 --sport 85 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.200 --sport 3024 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.200 --sport 3389 -j ACCEPT
iptables -A FORWARD -p tcp -d $IP_ORIGEM -s 192.168.0.201 --sport 3390 -j ACCEPT

# Esta regra libera o acesso de dentro para fora que volta para dentro como se estivesse fora da rede
#iptables -A POSTROUTING -t nat -s 192.168.0.0 -d 0.0.0.0/0 -j SNAT --to 192.168.0.1
iptables -A POSTROUTING -t nat -s $IP_ORIGEM -d $IP_DESTINO -j SNAT --to $IP_ROTEADOR

# Esta regra é o coração do firewall do Kurumin,
# ela bloqueia qualquer conexão que não tenha sido permitida acima, justamente por isso ela é a última da cadeia.
iptables -A INPUT -p tcp --syn -j DROP

echo "O Kurumin Firewall está sendo carregado..."
sleep 1
echo "Tudo pronto!"
sleep 1
}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
}

case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "O kurumin-firewall está sendo desativado"
sleep 2
echo "ok."
;;
"restart")
echo "O kurumin-firewall está sendo desativado"
sleep 1
echo "ok."
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac

renato_pacheco
(usa Debian)

Enviado em 24/03/2010 - 08:29h

O problema é q essas variáveis não foram declaradas no seu script. Pra vc declará-las, adicione, no começo do arquivo (antes de "firewall() {") essas linhas (note q os IP's colocados são apenas exemplos):

IP_ORIGEM=192.168.0.1
IP_DESTINO=192.168.0.2

tecman
(usa Debian)

Enviado em 24/03/2010 - 08:57h

Caraca! Que básico! Como não percebi?

Valeu pela ajuda! Já vi que você é fera!

Saberia me ajudar com o problema desta pergunta abaixo?

http://www.vivaolinux.com.br/topico/Squid-Iptables/iptables-x-Protheus-10

Obrigado!

[]´s

tecman
(usa Debian)

Enviado em 24/03/2010 - 08:59h

Agora só aparece a mensagem:
iptables: No chain/target/match by that name

O que provocaria isso?

Valeu!

[]´s

pogo
(usa Fedora)

Enviado em 24/03/2010 - 09:21h

Essa mensagem tem cara de ser erro de digitação. Verifique novamente o seu script atrás de erros de digitação, chains não-padrão citadas porém não criadas, etc.

[]'s

Pedro Pereira
www.pedropereira.net

renato_pacheco
(usa Debian)

Enviado em 24/03/2010 - 09:39h

Então tente debugar esse seu script pra saber em q linha q tá aparecendo esse erro:

# bash -x firewall.sh