Iptables mais louco que o Batman [RESOLVIDO] [netfilter/iptables]

49. Re: Iptables mais louco que o Batman [RESOLVIDO]

wiliampegoraro
(usa Outra)

Enviado em 19/09/2014 - 17:43h

n4t4n escreveu:

Cara, como você está executando esse script?

Como você muda essas políticas? muda dentro do arquivo, salva e executa ou manda os comandos diretos no terminal?

salvo e executo, reinicio, faço todos os testes possíveis.

O Squid está redondo, fazendo todos os bloqueios dos sites, lindo!

Porém ao alterar INPUT, FORWARD e OUTPUT, tudo para!

Idéias N4t4n?

0 0

Quote

50. Re: Iptables mais louco que o Batman [RESOLVIDO]

n4t4n
(usa Arch Linux)

Enviado em 19/09/2014 - 22:02h

salvo e executo, reinicio, faço todos os testes possíveis.

O Squid está redondo, fazendo todos os bloqueios dos sites, lindo!

Porém ao alterar INPUT, FORWARD e OUTPUT, tudo para!

Idéias N4t4n?

Se tudo funciona com a política ACCEPT nas chains INPUT e FORWARD, resta acreditar que algo que deveria estar liberado está sendo bloqueado ao mudar a política. Vamos descobrir o quê.

Mude a política das chains INPUT e FORWARD da tabela filter para DROP. Salve e reexecute o script. Em seguida poste a saída dos comandos abaixo.

iptables -vnL

iptables -vnL -t nat

0 0

Quote

51. Re: Iptables mais louco que o Batman [RESOLVIDO]

wiliampegoraro
(usa Outra)

Enviado em 22/09/2014 - 13:56h

n4t4n escreveu:

salvo e executo, reinicio, faço todos os testes possíveis.

O Squid está redondo, fazendo todos os bloqueios dos sites, lindo!

Porém ao alterar INPUT, FORWARD e OUTPUT, tudo para!

Idéias N4t4n?

Se tudo funciona com a política ACCEPT nas chains INPUT e FORWARD, resta acreditar que algo que deveria estar liberado está sendo bloqueado ao mudar a política. Vamos descobrir o quê.

Mude a política das chains INPUT e FORWARD da tabela filter para DROP. Salve e reexecute o script. Em seguida poste a saída dos comandos abaixo.

iptables -vnL

iptables -vnL -t nat

root@proxy:~# iptables -vnL

Chain INPUT (policy DROP 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination                                                                                         

 1011 94365 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp dpt:3128

    0     0 LOG        udp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   udp dpts:33435:33525 LOG flags 0 level 4 prefix `_BLOCKED_: '

    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   udp dpts:33435:33525

    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   state INVALID LOG flags 0 level 4 prefix `_BLOCKED_: '

    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   state INVALID

    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp dpt:22

   39  2888 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp dpt:22

   45  3510 LOG        udp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   udp dpts:1:1024 LOG flags 0 level 4 prefix `_BLOCKED_UDP_: '

   45  3510 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   udp dpts:1:1024

  197  216K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   state RELATED,ESTABLISHED

    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0                                                                                           

    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp flags:0x17/0x02 LOG flags 0 level 4 prefix `_BLOCKED_: '

    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp flags:0x17/0x02



Chain FORWARD (policy DROP 639 packets, 41890 bytes)

 pkts bytes target     prot opt in     out     source               destination                                                                                         

    0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp dpt:123

    0     0 ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0                                                                                                   multiport dports 25,110,143,465,587,993,995

   44  3436 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   state RELATED,ESTABLISHED



Chain OUTPUT (policy ACCEPT 1346 packets, 2656K bytes)

 pkts bytes target     prot opt in     out     source               destination

root@proxy:~# iptables -vnL -t nat

Chain PREROUTING (policy ACCEPT 778 packets, 51971 bytes)

 pkts bytes target     prot opt in     out     source               destination

   45  2336 REDIRECT   tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           multiport dports 21,80,443 redir ports 3128



Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination

   13   780 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0



Chain OUTPUT (policy ACCEPT 13 packets, 780 bytes)

 pkts bytes target     prot opt in     out     source               destination

0 0

Quote

52. Re: Iptables mais louco que o Batman [RESOLVIDO]

wiliampegoraro
(usa Outra)

Enviado em 24/09/2014 - 15:45h

n4t4n escreveu:

salvo e executo, reinicio, faço todos os testes possíveis.

O Squid está redondo, fazendo todos os bloqueios dos sites, lindo!

Porém ao alterar INPUT, FORWARD e OUTPUT, tudo para!

Idéias N4t4n?

Se tudo funciona com a política ACCEPT nas chains INPUT e FORWARD, resta acreditar que algo que deveria estar liberado está sendo bloqueado ao mudar a política. Vamos descobrir o quê.

Mude a política das chains INPUT e FORWARD da tabela filter para DROP. Salve e reexecute o script. Em seguida poste a saída dos comandos abaixo.

iptables -vnL

iptables -vnL -t nat

Mandei o resultado dos comandos N4t4n, algo que possa ser feito?

0 0

Quote

53. Re: Iptables mais louco que o Batman [RESOLVIDO]

n4t4n
(usa Arch Linux)

Enviado em 26/09/2014 - 23:08h

Faltou setar o DNS na chain FORWARD

iptables -A FORWARD -p udp --dport 53 -j ACCEPT

0 0

Quote

54. Re: Iptables mais louco que o Batman [RESOLVIDO]

wiliampegoraro
(usa Outra)

Enviado em 26/09/2014 - 23:20h

n4t4n escreveu:

Faltou setar o DNS na chain FORWARD

iptables -A FORWARD -p udp --dport 53 -j ACCEPT

Boa noite!

é necessario liberar TCP também, ou apenas UDP?

0 0

Quote

55. Re: Iptables mais louco que o Batman [RESOLVIDO]

n4t4n
(usa Arch Linux)

Enviado em 26/09/2014 - 23:33h

O DNS funciona com os dois protocolos, mas o UDP é mais rápido, por isso o prefiro.

Nos testes que fiz (liberando a porta 53 dos dois protocolos) somente o UDP era usado, pois o TCP só é usado no caso de o UDP não estar disponível.

Só com UDP funciona bem, mas se quiser liberar TCP também não faz mal.

0 0

Quote

56. Re: Iptables mais louco que o Batman [RESOLVIDO]

wiliampegoraro
(usa Outra)

Enviado em 27/09/2014 - 01:04h

n4t4n escreveu:

O DNS funciona com os dois protocolos, mas o UDP é mais rápido, por isso o prefiro.

Nos testes que fiz (liberando a porta 53 dos dois protocolos) somente o UDP era usado, pois o TCP só é usado no caso de o UDP não estar disponível.

Só com UDP funciona bem, mas se quiser liberar TCP também não faz mal.

Na segunda-feira irei testar, acredito que seja apenas isso que esta faltando, lhe manterei informado.

Minha falta de conhecimento me tornou um pouco chato nesse universo linux, novato é assim mesmo kkkkkk mas ver o servidor funcionando, me deixa muito animado, lhe devo muitos obrigado pela ajuda N4t4n, espero retornar dizendo que agora esta tudo funcionando kkk

obrigado e até segunda

0 0

Quote

57. Re: Iptables mais louco que o Batman [RESOLVIDO]

wiliampegoraro
(usa Outra)

Enviado em 29/09/2014 - 09:30h

n4t4n escreveu:

O DNS funciona com os dois protocolos, mas o UDP é mais rápido, por isso o prefiro.

Nos testes que fiz (liberando a porta 53 dos dois protocolos) somente o UDP era usado, pois o TCP só é usado no caso de o UDP não estar disponível.

Só com UDP funciona bem, mas se quiser liberar TCP também não faz mal.

FUNCIONOUUUUUUUUUUUUUU!!!!!!!!!!!!!!!

Amém kkkkkkkkkk

Olha, que batalha foi essa intensa..

Muito obrigado N4t4n, eu sendo novato sempre fico com várias duvidas, mas com sua ajuda consegui solucionar meus problemas.
Muito obrigado mesmo!

Agora mais uma duvida, preciso liberar acesso remoto WTS para algumas maquinas, para isso usei duas regras abaixo, porém não funcionou.

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp -d 187.63.215.58 --dport 40100 -j DNAT --to-destination 192.168.100.100:3389
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp -d 187.63.215.58 --dport 40101 -j DNAT --to-destination 192.168.100.101:3389

iptables -A FORWARD -i eth0 -p tcp -m tcp -d 192.168.100.100 --dport 3389 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -m tcp -d 192.168.100.101 --dport 3389 -m state --state NEW -j ACCEPT

0 0

Quote

58. Re: Iptables mais louco que o Batman [RESOLVIDO]

n4t4n
(usa Arch Linux)

Enviado em 01/10/2014 - 17:13h

FUNCIONOUUUUUUUUUUUUUU!!!!!!!!!!!!!!!

Amém kkkkkkkkkk

Olha, que batalha foi essa intensa..

Muito obrigado N4t4n, eu sendo novato sempre fico com várias duvidas, mas com sua ajuda consegui solucionar meus problemas.
Muito obrigado mesmo!

Agora mais uma duvida, preciso liberar acesso remoto WTS para algumas maquinas, para isso usei duas regras abaixo, porém não funcionou.

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp -d 187.63.215.58 --dport 40100 -j DNAT --to-destination 192.168.100.100:3389
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp -d 187.63.215.58 --dport 40101 -j DNAT --to-destination 192.168.100.101:3389

iptables -A FORWARD -i eth0 -p tcp -m tcp -d 192.168.100.100 --dport 3389 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -m tcp -d 192.168.100.101 --dport 3389 -m state --state NEW -j ACCEPT

Pois é. Graças a Deus que nos tem concedido uma pequena parcela de conhecimento e também ao nosso amigo André, que teve papel fundamental na resolução do problema.

Para essa regra de nat funcionar um pacote tem de entrar pela placa eth0 com destino ao ip 187.63.215.58. Normalmente esse endereço é o do modem/roteador do provedor, e o modem/roteador te dá outro endereço. Então quando o pacote chega no seu firewall já não é mais para o endereço inicial, pois já passou dele e foi redirecionado para sua máquina. O que vai fazer com que a regra nunca dê "match" (coincida).

Será necessário então remover o endereço destino da regra de nat, ou alterar para o endereço atribuído à placa conectada nesse link.

Transcrevendo, as regras podem ficar assim: (sem o endereço destino)

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 40100 -j DNAT --to-destination 192.168.100.100:3389

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 40101 -j DNAT --to-destination 192.168.100.101:3389



iptables -A FORWARD -i eth0  -p tcp -m tcp  -d 192.168.100.100 --dport 3389 -m state --state NEW -j ACCEPT

iptables -A FORWARD -i eth0  -p tcp -m tcp  -d 192.168.100.101 --dport 3389 -m state --state NEW -j ACCEPT

ou assim: (troque para o ip da placa de rede que recebe o link de internet)

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp -d 192.168.254.3 --dport 40100 -j DNAT --to-destination 192.168.100.100:3389

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp -d 192.168.254.3 --dport 40101 -j DNAT --to-destination 192.168.100.101:3389



iptables -A FORWARD -i eth0  -p tcp -m tcp  -d 192.168.100.100 --dport 3389 -m state --state NEW -j ACCEPT

iptables -A FORWARD -i eth0  -p tcp -m tcp  -d 192.168.100.101 --dport 3389 -m state --state NEW -j ACCEPT

0 0

Quote

59. Re: Iptables mais louco que o Batman [RESOLVIDO]

wiliampegoraro
(usa Outra)

Enviado em 01/10/2014 - 17:29h

n4t4n escreveu:

FUNCIONOUUUUUUUUUUUUUU!!!!!!!!!!!!!!!

Amém kkkkkkkkkk

Olha, que batalha foi essa intensa..

Muito obrigado N4t4n, eu sendo novato sempre fico com várias duvidas, mas com sua ajuda consegui solucionar meus problemas.
Muito obrigado mesmo!

Agora mais uma duvida, preciso liberar acesso remoto WTS para algumas maquinas, para isso usei duas regras abaixo, porém não funcionou.

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp -d 187.63.215.58 --dport 40100 -j DNAT --to-destination 192.168.100.100:3389
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp -d 187.63.215.58 --dport 40101 -j DNAT --to-destination 192.168.100.101:3389

iptables -A FORWARD -i eth0 -p tcp -m tcp -d 192.168.100.100 --dport 3389 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -m tcp -d 192.168.100.101 --dport 3389 -m state --state NEW -j ACCEPT

Pois é. Graças a Deus que nos tem concedido uma pequena parcela de conhecimento e também ao nosso amigo André, que teve papel fundamental na resolução do problema.

Para essa regra de nat funcionar um pacote tem de entrar pela placa eth0 com destino ao ip 187.63.215.58. Normalmente esse endereço é o do modem/roteador do provedor, e o modem/roteador te dá outro endereço. Então quando o pacote chega no seu firewall já não é mais para o endereço inicial, pois já passou dele e foi redirecionado para sua máquina. O que vai fazer com que a regra nunca dê "match" (coincida).

Será necessário então remover o endereço destino da regra de nat, ou alterar para o endereço atribuído à placa conectada nesse link.

Transcrevendo, as regras podem ficar assim: (sem o endereço destino)

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 40100 -j DNAT --to-destination 192.168.100.100:3389

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 40101 -j DNAT --to-destination 192.168.100.101:3389



iptables -A FORWARD -i eth0  -p tcp -m tcp  -d 192.168.100.100 --dport 3389 -m state --state NEW -j ACCEPT

iptables -A FORWARD -i eth0  -p tcp -m tcp  -d 192.168.100.101 --dport 3389 -m state --state NEW -j ACCEPT

ou assim: (troque para o ip da placa de rede que recebe o link de internet)

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp -d 192.168.254.3 --dport 40100 -j DNAT --to-destination 192.168.100.100:3389

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp -d 192.168.254.3 --dport 40101 -j DNAT --to-destination 192.168.100.101:3389



iptables -A FORWARD -i eth0  -p tcp -m tcp  -d 192.168.100.100 --dport 3389 -m state --state NEW -j ACCEPT

iptables -A FORWARD -i eth0  -p tcp -m tcp  -d 192.168.100.101 --dport 3389 -m state --state NEW -j ACCEPT

N4t4n, muito bem lembrado, obrigado ao André que me auxiliou nesse problema, estou totalmente motivado a adquirir informações sobre linux e graças a pessoas como vocês que nos tiram destas enrascadas, temos motivos a mais mais entrar nesse mundo !!!

Segui a primeira dica que me passaste, e já está OK, funcionando perfeitamente

Muito obrigado mais uma vez!

0 0

Quote

60. Re: Iptables mais louco que o Batman [RESOLVIDO]

n4t4n
(usa Arch Linux)

Enviado em 01/10/2014 - 18:24h

Por nada.

Boa sorte.

0 0

Quote

Iptables mais louco que o Batman [RESOLVIDO]

49. Re: Iptables mais louco que o Batman [RESOLVIDO]

50. Re: Iptables mais louco que o Batman [RESOLVIDO]

51. Re: Iptables mais louco que o Batman [RESOLVIDO]

52. Re: Iptables mais louco que o Batman [RESOLVIDO]

53. Re: Iptables mais louco que o Batman [RESOLVIDO]

54. Re: Iptables mais louco que o Batman [RESOLVIDO]

55. Re: Iptables mais louco que o Batman [RESOLVIDO]

56. Re: Iptables mais louco que o Batman [RESOLVIDO]

57. Re: Iptables mais louco que o Batman [RESOLVIDO]

58. Re: Iptables mais louco que o Batman [RESOLVIDO]

59. Re: Iptables mais louco que o Batman [RESOLVIDO]

60. Re: Iptables mais louco que o Batman [RESOLVIDO]

Patrocínio

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts