script iptables para bloquear tudo e liberar internet

guichagas
(usa Ubuntu)

Enviado em 10/06/2013 - 14:18h

Boa Tarde, alguem teria um scriop iptables onde eu vou bloquear todo o meu acesso

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

e depois liberar acesso a internet.
ja usei esse comando e nao funciona

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT


iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

saitam
(usa Slackware)

Enviado em 10/06/2013 - 15:39h

acrescente
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp --sport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --sport 53 -j ACCEPT

iptables -A FORWARD -p tcp --sport 80 -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -j ACCEPT


Se eth0 for a internet ligada no modem/roteador e 10.0.0.0/24 for sua rede local, esta correto a regra iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE


Se utiliza algum leitor de e-mail, como Outlook, Evolution, etc, terá que liberar portas 110,587,143.

MSN não existe mais, agora é Skype (contas do msn foi migrado para o skype).

guichagas
(usa Ubuntu)

Enviado em 10/06/2013 - 15:59h

a eth0 esta conectada ao switch/moden e o ip dele é 192.168.1.1
como fica a regra?

saitam
(usa Slackware)

Enviado em 10/06/2013 - 16:07h

então sua rede é 192.168.1.0, falta saber qual é sua máscara para ficar completo.

converte a máscara em binário e conta o número de 1s, que terá o valor /bit da masc.

Depois substitui: 192.168.1.0/bit no lugar de 10.0.0.0/24

PS: troca /bit pela quantidade de 1s da máscara em binário.

guichagas
(usa Ubuntu)

Enviado em 10/06/2013 - 16:24h

No caso a mascara de sub-rede e 255.255.255.0
o ip seria 192.168.1.0/8
correto,
a regra seria

iptables -t nat -A POSTROUTING -s 192.168.1.0/8 -o eth0 -j MASQUERADE

MAS NAO FUNCIONA A INTERNET

saitam
(usa Slackware)

Enviado em 10/06/2013 - 16:28h

esta ERRADO!

se a máscara de sub-rede é 255.255.255.0 então convertendo para binário ficaria assim:
11111111.11111111.11111111.0
255 . 255 . 255 .0

contando o número de 1s fica 24, então /24

Logo: 192.168.1.0/24

guichagas
(usa Ubuntu)

Enviado em 10/06/2013 - 16:37h

Correto, mas ja tentei com o /24
e do mesmo jeito nao funciona a internet

saitam
(usa Slackware)

Enviado em 10/06/2013 - 16:43h

Colocou o IP do servidor gateway como gateway nos clientes e DNS de sua preferência ?

Buckminster
(usa Debian)

Enviado em 10/06/2013 - 17:31h

Deixe assim:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT


iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


E poste aqui o conteúdo do arquivo das placas de rede (interfaces).
Qual a distribuição que você está usando nesse servidor?
Tem DHCP nele também?
É servidor ou é uma máquina desktop?

guichagas
(usa Ubuntu)

Enviado em 10/06/2013 - 19:42h

É uma maquina desktop, ubunto desktop 13.04
só testes para um TCC.
um notebook conectado a um switch para fazer testes
do meu TCC

Buckminster
(usa Debian)

Enviado em 10/06/2013 - 19:53h

Deixa eu ver se eu entendi: você está querendo compartilhar a internet dessa máquina com o notebook, ou seja, a internet entra por uma placa de rede nessa máquina e sai pela outra placa de rede conectada no switch e você está querendo que o notebook "pegue" a internet pelo switch... é isso?

Ou a máquina que você está configurando é o notebook?

guichagas
(usa Ubuntu)

Enviado em 10/06/2013 - 19:55h

A MAQUINA QUE ESTOU CONFIGURANDO É O NOTEBOOK, NO CASO QUERO USAR A INTERNET NESSA MAQUINA MESMO.