script iptables para bloquear tudo e liberar internet

Buckminster
(usa Debian)

Enviado em 10/06/2013 - 20:01h

Calma, não se irrite!
Agora entendi.

Então você deve comentar a linha do compartilhamento, essa linha:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

E me diga, qual é o Linux instalado nessa máquina?

guichagas
(usa Ubuntu)

Enviado em 10/06/2013 - 20:13h

Eu estou usando o ubuntu desktop 13.04, depois que colocar a internet pra funcionar localmente, no caso voce falou que e so comentar a regra de nat.
agora minha intenção e fazer com que eu conecte a internet atraves da wirelles ao roteador
wlan0 e compartilhar a internet pela rede cabeada eth0

o endereço ip do roteador(wlan0) é 10.0.0.1, ae no caso vou ter que colocar ip fixo na rede eth0
e conectar um notebook ao outro atraves do cabo

Buckminster
(usa Debian)

Enviado em 10/06/2013 - 20:15h

Ok. Posta aqui o conteúdo do arquivo /etc/network/interfaces.

E posta aqui a saída do comando ifconfig.

Sabe como fazer?

guichagas
(usa Ubuntu)

Enviado em 11/06/2013 - 11:21h

# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback

eth0 Link encap:Ethernet Endereço de HW c8:9c:dc:85:d9:96
inet end.: 192.168.1.105 Bcast:192.168.1.255 Masc:255.255.255.0
endereço inet6: fe80::ca9c:dcff:fe85:d996/64 Escopo:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Métrica:1
pacotes RX:8148 erros:0 descartados:0 excesso:0 quadro:0
Pacotes TX:8029 erros:0 descartados:0 excesso:0 portadora:0
colisões:0 txqueuelen:1000
RX bytes:7319145 (7.3 MB) TX bytes:1344893 (1.3 MB)

lo Link encap:Loopback Local
inet end.: 127.0.0.1 Masc:255.0.0.0
endereço inet6: ::1/128 Escopo:Máquina
UP LOOPBACK RUNNING MTU:65536 Métrica:1
pacotes RX:1744 erros:0 descartados:0 excesso:0 quadro:0
Pacotes TX:1744 erros:0 descartados:0 excesso:0 portadora:0
colisões:0 txqueuelen:0
RX bytes:152629 (152.6 KB) TX bytes:152629 (152.6 KB)

wlan0 Link encap:Ethernet Endereço de HW 00:0d:f0:b2:28:61
inet end.: 10.0.0.103 Bcast:10.255.255.255 Masc:255.0.0.0
endereço inet6: fe80::20d:f0ff:feb2:2861/64 Escopo:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Métrica:1
pacotes RX:82 erros:0 descartados:0 excesso:0 quadro:0
Pacotes TX:121 erros:0 descartados:0 excesso:0 portadora:0
colisões:0 txqueuelen:1000
RX bytes:13833 (13.8 KB) TX bytes:21014 (21.0 KB)

Buckminster
(usa Debian)

Enviado em 11/06/2013 - 16:12h

Ok. Deixe a wlan0 com IP dinâmico (automático), ou seja, no arquivo interfaces deverá estar como dhcp.

A eth0 você fixa o IP dela, pois ela será o gateway da tua "redezinha" de um notebook só.

No Iptables você compartilha a conexão da wlan0:

iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

Essa regra acima compartilha tudo que entrar na placa de rede da regra (no caso a wlan0) com todas as outras placas de rede da máquina (no caso a eth0).

O teu notebook conecta normalmente pela wireless?
Se não estiver conectando, então o problema não é no Iptables, é na tua conexão, por isso pedi para você postar o arquivo /etc/network/interfaces, mas se estiver conectando, a regra acima fará o compartilhamento.

Deixe assim:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT


iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

Mas veja bem, provavelmente você não tem o serviço de DHCP instalado no teu notebook, então você deverá fixar o IP do outro notebook (conectado via cabo no teu notebook) na mesma faixa de rede da placa eth0 indicando o gateway, que no caso é o IP da eth0.

guichagas
(usa Ubuntu)

Enviado em 11/06/2013 - 16:24h

ok, tenho dois notes
um para ser o note firewall, e o outro o note so pra acesso de internet
ae no meu note firewall
a wlan0 ip automatico 10.0.0.102/255.0.0.0/192.168.0.1 - IP + MAS-SUB-RED + GATEWAY
e a eth0 ip fixo, seria 192.169.0.100/255.255.255.0/o gatway eu nao sei qual colocar
e a regra seria
iptables -t nat -A POSTROUTING -s 102.168.0.0/24 -o wlan0 -j MASQUERADE

E no note so pra acesso seria IP FIXO
192.168.0.101/255.255.255.0/192.168.0.100 - IP + MASCARA + GATEWAY
correto?

Buckminster
(usa Debian)

Enviado em 11/06/2013 - 18:11h

Na wlan0 não precisa colocar o gateway. O gateway dela é o IP do modem e como está automático na wlan0, ela "pegará" todas as configurações do modem.

Na eth0 o IP fixo será 192.168.0.100, a máscara será /24 (255.255.255.0), o gateway não precisa colocar. O gateway ela "pegará" isso automaticamente. Coloque:

aqui tem umas linhas, não mexa nelas; altere somente da linha abaixo:
iface eth0 inet static
address 192.168.0.100
netmask 255.255.255.0
broadcast 192.168.0.255

No notebook para acesso coloque:
iface eth0 inet static
address 192.168.0.101
netmask 255.255.255.0
broadcast 192.168.0.255
gateway 192.168.0.100

Nessa regra:
iptables -t nat -A POSTROUTING -s 102.168.0.0/24 -o wlan0 -j MASQUERADE
não precisa especificar a rede, deixe assim:

iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

guichagas
(usa Ubuntu)

Enviado em 11/06/2013 - 18:27h

Tem como colocar o ip fixo atraves de linha de comando, pois manual ele nao tem a opção de broadcast

Buckminster
(usa Debian)

Enviado em 11/06/2013 - 18:33h

Abra o terminal.
Acesse como root.
Entre no arquivo:

# nano /etc/network/interfaces << usei o nano, você use o teu editor de texto preferido.

Faça as alterações.
Salve, no nano é ctrl+o (aperta a tecla control e a tecla o e depois dê enter).
Saia, no nano é ctrl+x.

Reinicie a placa de rede:
# ifdown eth0
# ifup eth0

Mas se quiser pode fazer as alterações sem ser pelo terminal. O broadcast não tem tanta necessidade assim no teu caso.

guichagas
(usa Ubuntu)

Enviado em 11/06/2013 - 19:32h

no firewall eu liberei o acesso a ping, ae do note de acesso eu consigo pingar no note firewall, mas a internet nao funciona...
oque sera?

eu coloquei os endereços manuais mesmo, la em configuração de sistema/rede
pois quando coloquei em etc ficou assim

# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback

iface eth0 inet static
address 192.168.0.100
netmask 255.255.255.0
broadcast 192.168.0.255

ae quando ia dar ifconfig, nao aparecia a eth0,ae apaguei e coloquei manual na em configuração de rede
e ae aparece agora no ifconfig a eth0

Buckminster
(usa Debian)

Enviado em 11/06/2013 - 22:22h

No notebook firewall a internet funciona?

guichagas
(usa Ubuntu)

Enviado em 11/06/2013 - 22:25h

sim, e eu consigo ter sucesso no ping para os dois lados, so a internet que nao funciona no net so de acesso