Sem conseguir acesso externo e sem conseguir pingar pra fora

marciathata
(usa Ubuntu)

Enviado em 08/05/2010 - 02:47h

Bem galeram estou sem conseguir fazer acesso externo e sem conseguir pingar pra fora, embora consiga navegar, mas meu problema maior é o acesso externo =(, please galera me ajuda ai, tô precesando fazer acesso pra Empresa e não tô conseguindo, pior que tô sendo cobrada por isso. =\, nem pelo hamachi consigo me conectar.



#! /bin/bash
#Script de firewall

ACAO=$1
IF_VPN=tun0
IF_LOCAL=eth1
IF_DMZ=eth0
IF_RADIO=eth2

if [ $# -ne 1 ]; then
echo "Utilize apenas um parametro para o comando"
exit
fi

#Inicialização do Filtro e compartilhamento
start(){

iptables -P INPUT DROP
iptables -F INPUT
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT
iptables -P FORWARD DROP
iptables -F FORWARD
iptables -F

#ativando o compartilhamento
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $IF_DMZ -j MASQUERADE
iptables -t nat -A POSTROUTING -o $IF_RADIO -j MASQUERADE
iptables -t nat -A POSTROUTING -o $IF_VPN -j MASQUERADE

#proxy transparente
#iptables -t nat -A PREROUTING -i $IF_LOCAL -p tcp --dport 80 REDIRECT --to-port 3128

#bloqueio de ping para micros da rede externa
#iptables -t filter -A INPUT -i $IF_DMZ -p icmp --icmp-type echo-request -j DROP

#previnindo ataques
#echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
#iptables -A INPUT -m state --state INVALID -i $IF_DMZ -j DROP

#permitindo uso da interface loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#permitindo entradas da rede local
#iptables -A INPUT -i $IF_LOCAL -j ACCEPT
#iptables -A INPUT -i $IF_VPN -j ACCEPT
#iptables -A INPUT -i $IF_RADIO -j ACCEPT



#abrindo portas:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#Bloqueando todo o resto
#iptables -A INPUT -p tcp --syn -j DROP

#ssh
iptables -A FORWARD -i $IF_EXT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -i $IF_LOCAL -p tcp --dport 22 -j ACCEPT
#iptables -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 22 -j DNAT --to 10.10.100.184



#Liberar entradas

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_DMZ -m state --state ESTABLISHED,RELATED -jACCEPT
# iptables -A INPUT -i $IF_DMZ -j ACCEPT
iptables -A INPUT -i $IF_LOCAL -j ACCEPT
iptables -A INPUT -i $IF_RADIO -j ACCEPT
iptables -A INPUT -i $IF_VPN -j ACCEPT
# iptables -A FORWARD -i $IF_EXT -j ACCEPT
iptables -A FORWARD -i $IF_LOCAL -j ACCEPT
iptables -A FORWARD -i $IF_VPN -j ACCEPT
iptables -A FORWARD -i $IF_RADIO -j ACCEPT
iptables -A FORWARD -o $IF_RADIO -j ACCEPT
iptables -A FORWARD -i $IF_DMZ -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

route del -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.3.254
route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.3.254


}

#Listagem das opções
list(){
iptables -t filter -L
iptables -t nat -L

}

#Parada e limpeza das tabelas do filtro
stop(){
iptables -t filter -F
iptables -t nat -F

}


case "$ACAO" in
"start") start ;;
"stop") stop ;;
"restart") stop; start ;;
"list") list ;;
*) echo "Use os parêmtros: start, stop, restart, list"
esac

marciathata
(usa Ubuntu)

Enviado em 08/05/2010 - 09:08h

Ajuda..

irado
(usa XUbuntu)

Enviado em 08/05/2010 - 10:29h

em um primeiro momento:

vc tem POSTROUTING, mas cadê o PREROUTING? eu só estou vendo o redirecionamento para o squid transparente, mais nada. Acho que aqui (abaixo) pode dar mais ou menos a idéia pra vc:

$IPT -t nat -A PREROUTING -i $NIC_INTERNA -p tcp -d 0/0 --dport http -j REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -i $NIC_INTERNA -s $REDE -d 0/0 -j ACCEPT


notou? o http é redirecionado para o squid, mas o resto.. TAMBÉM tem que ser tratado.

vc tem FORWARD, mas cadê o destino?? Novamente, dá uma olhada:

$IPT -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -t filter -A FORWARD -s $REDE -j ACCEPT

convém vc re-definir seu fwll levando em conta o seguinte:

a) INPUT é tudo aquilo que será tratado NESTA máquina; por exemplo, acesso por ssh, mas (IMHO), nenhum outro.

b) FORWARD é tudo aquilo que NÃO será atendido por esta máquina mas está em algum lugar que NÃO É aqui (exceto, óbvio, squid, mas aí vc tem o REDIRECT)

c) PREROUTING e POSTROUTING atendem os pacotes que serão "mascarados" para envio a um local qualquer fora de sua rede, no mundo.

bem.. o básico está aí, qualquer coisa defina o seu topológico (vc tem - aparentemnte - DMZ e várias origens de pacotes).

sugestão: analise os vários scripts de firewall que existem aqui mesmo no VOL e vá "capturando" as várias idéias de cada autor.

divirta-se. E boa sorte.

nota final:
$IPT -t nat -A POSTROUTING -s $REDE -p ALL -o $NIC_EXTERNA -j MASQUERADE