Não pinga na placa de rede [RESOLVIDO]

dercilima
(usa Debian)

Enviado em 15/02/2011 - 17:14h

Boa tarde pessoal,

Estou com o seguinte problema: acabei de configurar meu iptables e meu squid, porém agora não consigo pingar na placa de rede do meu servidor. Não pinga nem do proprio servidor, acho que pode ser alguma regra no iptables ou no squid que possa estar bloqueando o ping. Alguem pode me ajudar?

grato

tlaloc
(usa Gentoo)

Enviado em 15/02/2011 - 17:17h

Derci, esqueça o Squid.

Squid só monitora HTTP! Ping é ICMP!

Quais regras do seu IPTables você tem que mexem com o protocolo ICMP?

dercilima
(usa Debian)

Enviado em 15/02/2011 - 17:26h

Segue as regras usadas:

#!/bin/sh



# Variáveis

# -------------------------------------------------------

iptables=/usr/sbin/iptables

IF_EXTERNA=ppp0

IF_INTERNA=eth0





# Ativa módulos

# -------------------------------------------------------

/sbin/modprobe iptable_nat

/sbin/modprobe ip_conntrack

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ipt_LOG

/sbin/modprobe ipt_REJECT

/sbin/modprobe ipt_MASQUERADE





# Ativa roteamento no kernel

# -------------------------------------------------------

echo "1" > /proc/sys/net/ipv4/ip_forward





# Proteção contra IP spoofing

# -------------------------------------------------------

echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter



#Conectividade Social

iptables -t nat -A PREROUTING -i eth0 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 8080





# Zera regras

# -------------------------------------------------------

$iptables -F

$iptables -X

$iptables -F -t nat

$iptables -X -t nat

$iptables -F -t mangle

$iptables -X -t mangle





# Determina a política padrão

# -------------------------------------------------------

$iptables -P INPUT DROP

$iptables -P OUTPUT DROP

$iptables -P FORWARD DROP





#################################################

# Tabela FILTER

#################################################





# Dropa pacotes TCP indesejáveis

# -------------------------------------------------------

$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FIREWALL: NEW sem syn: "

$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP





# Dropa pacotes mal formados

# -------------------------------------------------------

$iptables -A INPUT -i $IF_EXTERNA -m unclean -j LOG --log-level 6 --log-prefix "FIREWALL: pacote mal formado: "

$iptables -A INPUT -i $IF_EXTERNA -m unclean -j DROP





# Aceita os pacotes que realmente devem entrar

# -------------------------------------------------------

$iptables -A INPUT -i ! $IF_EXTERNA -j ACCEPT

$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

$iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT





# Proteção contra trinoo

# -------------------------------------------------------

$iptables -N TRINOO

$iptables -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trinoo: "

$iptables -A TRINOO -j DROP

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27444 -j TRINOO

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27665 -j TRINOO

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 31335 -j TRINOO

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 34555 -j TRINOO

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 35555 -j TRINOO





# Proteção contra tronjans

# -------------------------------------------------------

$iptables -N TROJAN

$iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trojan: "

$iptables -A TROJAN -j DROP

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 4000 -j TROJAN

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 6000 -j TROJAN

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 6006 -j TROJAN

$iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 16660 -j TROJAN





# Proteção contra worms

# -------------------------------------------------------

$iptables -A FORWARD -p tcp --dport 135 -i $IF_INTERNA -j REJECT





# Proteção contra syn-flood

# -------------------------------------------------------

$iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT





# Proteção contra ping da morte

# -------------------------------------------------------

$iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT





# Proteção contra port scanners

# -------------------------------------------------------

$iptables -N SCANNER

$iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner: "

$iptables -A SCANNER -j DROP

$iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $IF_EXTERNA -j SCANNER

$iptables -A INPUT -p tcp --tcp-flags ALL NONE -i $IF_EXTERNA -j SCANNER

$iptables -A INPUT -p tcp --tcp-flags ALL ALL -i $IF_EXTERNA -j SCANNER

$iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $IF_EXTERNA -j SCANNER

$iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $IF_EXTERNA -j SCANNER

$iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $IF_EXTERNA -j SCANNER

$iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $IF_EXTERNA -j SCANNER





# Loga tentativa de acesso a determinadas portas

# -------------------------------------------------------

$iptables -A INPUT -p tcp --dport 21 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: ftp: "

$iptables -A INPUT -p tcp --dport 23 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: telnet: "

$iptables -A INPUT -p tcp --dport 25 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: smtp: "

$iptables -A INPUT -p tcp --dport 80 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: http: "

$iptables -A INPUT -p tcp --dport 110 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: pop3: "

$iptables -A INPUT -p udp --dport 111 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: rpc: "

$iptables -A INPUT -p tcp --dport 113 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: identd: "

$iptables -A INPUT -p tcp --dport 137:139 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: samba: "

$iptables -A INPUT -p udp --dport 137:139 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: samba: "

$iptables -A INPUT -p tcp --dport 161:162 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: snmp: "

$iptables -A INPUT -p tcp --dport 6667:6668 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: irc: "

$iptables -A INPUT -p tcp --dport 3128 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: squid: "





# Libera acesso externo a determinadas portas

# -------------------------------------------------------

$iptables -A INPUT -p tcp --dport 22 -i $IF_EXTERNA -j ACCEPT

$iptables -A INPUT -p tcp --dport 3389 -i $IF_EXTERNA -j ACCEPT

$iptables -A INPUT -p tcp --dport 20000 -i $IF_EXTERNA -j ACCEPT

$iptables -A INPUT -p tcp --dport 445 -i $IF_INTERNA -j ACCEPT

$iptables -A INPUT -p tcp --dport 139 -i $IF_INTERNA -j ACCEPT

$iptables -A INPUT -p tcp --dport 82 -i $IF_EXTERNA -j ACCEPT

$iptables -A INPUT -p udp --dport 1863 -i $IF_INTERNA -j ACCEPT

$iptables -A INPUT -p tcp --dport 3306 -i $IF_INTERNA -j ACCEPT

$iptables -A INPUT -p udp --dport 25000:30000 -i $IF_INTERNA -j ACCEPT









# Libera acesso de smtp para fora apenas para o IP XXX.XXX.XXX.XXX

# -------------------------------------------------------

#$iptables -A FORWARD -p tcp -d ! XXX.XXX.XXX.XXX --dport 25 -j LOG --log-level 6 --log-prefix "FIREWALL: SMTP proibido: "

#$iptables -A FORWARD -p tcp -d ! XXX.XXX.XXX.XXX --dport 25 -j REJECT





#################################################

# Tabela NAT

#################################################





# Ativa mascaramento de saída

# -------------------------------------------------------

$iptables -A POSTROUTING -t nat -o $IF_EXTERNA -j MASQUERADE





# Proxy transparente

# -------------------------------------------------------

$iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 8080





# Redireciona portas para outros servidores

# -------------------------------------------------------

#$iptables -t nat -A PREROUTING -d 10.1.1.47 -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.1





# Impede o acesso externo ao squid

# -------------------------------------------------------------------------------------

iptables -A INPUT -m tcp -p tcp -s ! 127.0.0.1 --dport 3128 -j DROP





###############################

# Terminal Service #

###############################



# Depois avisa que a porta vai ser forwardeada

iptables -A FORWARD -i ppp0 -d 0/0 -p tcp -m tcp --dport 3389 -j ACCEPT



# Então voce direciona para a maquina

iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --dport 3389 -j DNAT --to 10.1.1.47

tlaloc
(usa Gentoo)

Enviado em 15/02/2011 - 17:30h

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Isso diz que qualquer pacote na INPUT que seja estabelecido ou relacionado deve ser aceito.
Mas não pacotes novos.
Um ping é uma requisição NOVA de conexão.
Você vai ter de adicionar uma regra para que conexões novas do tipo ICMP sejam aceitas, ou que requisições NOVAS de ping sejam aceitas, e por essa nova regra acima desta regra que citei.

dercilima
(usa Debian)

Enviado em 15/02/2011 - 17:38h

Poderia me ajudar? Pois não sou bom em iptables.

Não sei se isso interfere, mas não consigo conectar a internet usando esse servidor como roteador.

grato

tlaloc
(usa Gentoo)

Enviado em 15/02/2011 - 17:42h

Lógico que não.

As regras de IPTables têm de ser criadas pensando na sua rede. Não da para copiar o de outra pessoa e achar que vai dar certo.
Por exemplo, para quê você precisa de conectividade social? Tá pensando que é Orkut? Isso daí é a conectividade social da CAIXA.

Pare para estudar sua rede e veja quais são suas necessidades.
Depois, faça suas próprias regras de IPTables e traga para cá para corrigirmos.
Ninguém aqui trabalha de graça, mas todo mundo ajuda de bom grado. Se vier com pelo menos um esboço das regras prontas, a gente já começa a trabalhar.
E NEM OUSE aparecer aqui sem o diagrama da sua rede. :P

rodrigoh79
(usa Debian)

Enviado em 15/02/2011 - 17:50h

Aproveitando o tópico do amigo aí: o que são essas proteções contra trinoo? É realmente necessário? E as ptroteções contra trojan? São necessárias?

dercilima
(usa Debian)

Enviado em 15/02/2011 - 17:53h

Pode deixar, estarei fazendo um estudo geral da minha rede. Sou novato nessa área, mas sei que no vol tem pessoas dispostas a ajudar.

OBS.: A conectividade social eu usava a um tempo atrás em um servidor que havia montado para uma contabilidade. Mas como tem muito tempo que estou parado já esqueci bastante coisa.

Obrigado.
abraços

tlaloc
(usa Gentoo)

Enviado em 15/02/2011 - 17:56h

As regras para Trojan são inúteis e as do Trin00 também.
As regras ali só bloqueiam trojans que vão usar aquelas referidas portas, mas e se o trojan usar a 80? Inútil.
Trin00 é um enlatado de programas para ataques de negação de serviço.

Captcha: nCRUSES!

tlaloc
(usa Gentoo)

Enviado em 15/02/2011 - 18:01h

Qualquer coisa, volta chorando que tapa é garantido. ;)

haha

dercilima
(usa Debian)

Enviado em 18/02/2011 - 15:17h

Boa tarde Galera...

Obrigado pelas dicas... Quase me bateram, mas foi muito bom pra mim. Já fiz a documentação da minha rede, comprei um livro de redes e firewall, estou estudando pra caramba o iptables. To apanhando dele igual menino apanhando da mãe. Mas, esta dando tudo certo. Qualquer coisa volto a postar mais duvidas.

Abraço a todos