mlsvicente
(usa Debian)
Enviado em 28/02/2015 - 15:18h
Pessoal, boa tarde!
Tenho e minha rede um servidor com linux/debian onde roda squid e iptables já pelo menos uns 10 anos. Está tudo atualizado, tudo em dia, porém começei a ter problemas de conexão a servidores pop3 e smtp, mas intermitentemente.
Resolvi fazer uns testes de telnet nos respectivos servidores, porém a cada 50 tentativas, uma conecta. Fiz os mesmo testes via acesso direto, sem passar pelo servidor, direto no modem e funciona certinho. As vezes tiro o firewall e tento conectar, e alguma vezes da certo, outras não. Não sei se o problema está no firewall ou no squid.
Alguém tem uma luz do que possa ser?
Abaixo segue meu script de firewall, mas pelo visto está tudo ok.
Qualquer ajuda será bem vinda.
Abraços
#!/bin/bash
echo "Carregando o firewall"
#variaveis
IPT="/sbin/iptables"
REDEINT="192.168.0.0/24"
IPFW="192.168.0.1"
echo 1 > /proc/sys/net/ipv4/ip_forward
$IPT -F
$IPT -t nat -F
$IPT -A INPUT -p tcp -i lo -j ACCEPT
$IPT -t nat -A PREROUTING -s 192.168.0.4 -j RETURN
$IPT -t nat -A PREROUTING -s 192.168.0.2 -j RETURN
$IPT -t nat -A PREROUTING -s 192.168.0.15 -j RETURN
$IPT -A INPUT -p tcp --sport 1024: --dport 30355 -j ACCEPT
$IPT -A INPUT -p udp --sport 1024: -d $IPFW --dport 53 -j ACCEPT
$IPT -A INPUT -p tcp --sport 1024: -d $IPFW --dport 3128 -j ACCEPT
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -i ethx -p tcp --dport 3128 -j DROP
$IPT -t nat -F POSTROUTING
$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE
$IPT -A FORWARD -s 192.168.0.4 -j ACCEPT
$IPT -t nat -A POSTROUTING -s 192.168.0.4 -j MASQUERADE
$IPT -A FORWARD -s 192.168.0.2 -j ACCEPT
$IPT -t nat -A POSTROUTING -s 192.168.0.2 -j MASQUERADE
$IPT -A FORWARD -s 192.168.0.15 -j ACCEPT
$IPT -t nat -A POSTROUTING -s 192.168.0.15 -j MASQUERADE
$IPT -A FORWARD -p tcp --dport 3551 -j ACCEPT
$IPT -A FORWARD -p tcp --dport 587 -j ACCEPT
$IPT -A FORWARD -p tcp --dport 110 -j ACCEPT
$IPT -A FORWARD -p tcp --dport 23 -j ACCEPT
$IPT -A FORWARD -p tcp --dport 80 -j DROP
#Protege contra o ping da morte
$IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#Protege contra ataques do tipo syn-flood, dos, etc
$IPT -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
#Protege contra port scanners avancados Ex: nmap
$IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#Protege contra pacotes que podem procurar e obter informações da rede interna
$IPT -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
#Protege contra todos os pacotes danificados ou com defeito
#$IPT -A FORWARD -m unclean -j DROP
#Bloqueando o traceroute
$IPT -A INPUT -p udp -s 0/0 -i ppp0 --dport 33435:33525 -j DROP
#Protege contra ataques
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp -d 189.109.0.0/16 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp -d 200.147.0.0/16 -j ACCEPT
$IPT -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
$IPT -A FORWARD -p tcp -d 189.109.0.0/16 -j ACCEPT