firewall x compartilhamento

1. firewall x compartilhamento

Fabio P. Mazzi
fpmazzi

(usa CentOS)

Enviado em 19/11/2011 - 09:20h

Amigos tenho a seguinte duvida:

Dados Iniciais
eth0 => dhcp
eth1 => 192.168.100.1

Cliente = 192.168.100.11 (windows)

Acabei de instalar o CentOS 5.5 (Final) em um servidor, ao iniciar a primeira vez ele iniciou apareceu o Agente de Configuração e configurei o firewall para eth0 reconhecida como segura e mascarada. Pedi tambem pra liberar o ssh e o http para poder acessar ele via ssh e para poder acessar o apache até ai tranquilo, fiz testes com ele e navegou normalmente na internet e pela rede local também consegui acessar.

Então desliguei o servidor, coloquei a segunda placa de rede (eth1) e iniciei.

Ao carregar configurei a rede no arquivo /etc/sysconfig/network-scripts/ifcfg-eth1 para as configurações locais.

Fiz teste de ping no cliente no servidor e vice versa. OK.

Fiz um teste para ver se o cliente navegava e não obtive sucesso. (Já era esperado).

Então verifiquei o /proc/sys/net/ipv4/ip_forward e estava com 0 alterei para 1

Fiz novamente o Teste e nada.

Então verifiquei se o iptables_nat estava ativo (estava), então adicionei no iptables a regra de nat abaixo:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Fiz novos teste e não foi, depois de tanto fuçar resolvi limpar o firewall então dei um iptables -F, iptables -t nat -F e zerei todas as regras iniciais, então como o ip_forward ja estava como 1 eu fui lá e coloquei a regra de nat novamente.

Fiz os testes e funcionou.

Gostaria de saber então como sou novato em saber o porque ele não esta permitindo meu compartilhamento. Pois preciso do firewall ativo e seguro pelo menos o padrão, usando o script inicial dele mas permitindo compartilhamento.

renomiei o arquivo /etc/syconfig/iptables para iptables-original

limpei todas as regras e criei um novo arquivo iptables usando o comando
/sbin/iptables-save > /etc/sysconfig/iptables

para gravar estas regras por enquanto.

Estou postando aqui em baixo o conteudo do arquivo iptables-original para ver se alguem pode me ajudar a liberar o compartilhamento usando este arquivo. E posto também o arquivo gerado apos zerar as regras e deixar somente o nat ativo para comparação.

IPTABLES-ORIGINAL
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -j MARK --set-mark 0x9
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -m mark --mark 0x9 -j MASQUERADE
COMMIT

IPTABLES ZERA COM NAT
# Generated by iptables-save v1.3.5 on Fri Nov 18 13:25:57 2011
*nat
:PREROUTING ACCEPT [31:3067]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -m mark --mark 0x9 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Nov 18 13:25:57 2011
# Generated by iptables-save v1.3.5 on Fri Nov 18 13:25:57 2011
*mangle
:PREROUTING ACCEPT [271:40294]
:INPUT ACCEPT [144:12170]
:FORWARD ACCEPT [125:28024]
:OUTPUT ACCEPT [15:936]
:POSTROUTING ACCEPT [128:28480]
-A PREROUTING -i eth0 -j MARK --set-mark 0x9
COMMIT
# Completed on Fri Nov 18 13:25:57 2011
# Generated by iptables-save v1.3.5 on Fri Nov 18 13:25:57 2011
*filter
:INPUT ACCEPT [131:11081]
:FORWARD ACCEPT [113:27544]
:OUTPUT ACCEPT [15:936]
:RH-Firewall-1-INPUT - [0:0]
COMMIT
# Completed on Fri Nov 18 13:25:57 2011

se alguem puder ajudar agradeço,


  






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts