Firewall DROP [RESOLVIDO]

lucas_vga
(usa Ubuntu)

Enviado em 01/07/2010 - 12:58h

Fala ae galera. Boa tarde.

Pessoal to em uma nova etapa agora dos meus conhecimentos linuxisticos, to mandando ver em um firewall aqui com as politicas todas como DROP. Mas meu problema é o seguinte, eu pingo externo sussa (pelo IP), mas se dou um ping em www.google.com.br por ex, ele não responde... o DROP não ta deixando resolver o DNS, ja tentei liberar a porta 53 de tudo quanto é jeito, mas não consegui... alguem tem uma luz?
Segue meu firewall como esta até agora (dicas, sugestões e criticas são muito bem aceitas):

--------------------------------------------------------
#!/bin/bash
##### firewall.sh

## Definicao de variaveis
#----------------------------------------------------------------------------
ET0="172.158.0.1"
NET="0/0"
PA=1024:65535
REDE="172.158.0.0/24"


## Ativa modulos
#----------------------------------------------------------------------------
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE

## Limpa as regras do Firewall
#----------------------------------------------------------------------------
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t mangle -F
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat

## Fechando as Politicas (Bloqueia Todas Entradas e Saidas)
#----------------------------------------------------------------------------
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

## Liberando LoopBack
#----------------------------------------------------------------------------
iptables -A INPUT -i lo -j ACCEPT

## Ativa o redirecionamento do kernel
#----------------------------------------------------------------------------
echo "1" > /proc/sys/net/ipv4/ip_forward

## Protecao Contra IP Spoofing
#----------------------------------------------------------------------------
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

## Ativa o redirecionamento da placa
#----------------------------------------------------------------------------
iptables -t nat -A POSTROUTING -o eth2 -s 172.158.0.0/24 -j MASQUERADE

## ACCEPT - Liberar Pacotes de Retorno da Internet
#----------------------------------------------------------------------------
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

## LIBERAR/BLOQUEAR A REDE LOCAL
#----------------------------------------------------------------------------
iptables -A INPUT -s 172.158.0.0/24 -j ACCEPT

## Libera Acesso a Interet
#----------------------------------------------------------------------------
#iptables -A INPUT -p tcp --dport 80 -i eth1 -j ACCEPT

## Permite ssh para o firewall
#----------------------------------------------------------------------------
iptables -A INPUT -p tcp -i eth1 -s 172.158.0.0/24 --dport 22 -j ACCEPT

## Liberando porta para DNS
#----------------------------------------------------------------------------
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

--------------------------------------------------------------------------------------

No aguardo galera...

Abrass

renato_pacheco
(usa Debian)

Enviado em 01/07/2010 - 13:07h

Fera, vc deve liberar o forward tb, senão como q vai consultar a raíz lá fora? Acrescente ae:

iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT

vagnerd
(usa OpenBSD)

Enviado em 01/07/2010 - 13:10h

No caso, a requisição da consulta DNS é respondida através de uma porta alta, libere portas altas 1024:65535 para o IP do seu servidor DNS.

# iptables -A INPUT -s IP-DO-DNS -p tcp --dport 1024:65535 -j ACCEPT

# iptables -A INPUT -s IP-DO-DNS -p udp --dport 1024:65535 -j ACCEPT

R.S.P Andre
(usa Debian)

Enviado em 02/07/2010 - 00:21h

Boa noite companheiros!!

Cara aproveitando a deixa eu também vo entrar nessa.

Eu também estou tendo o mesmo problema no autor do post.
Mesmo eu liberando todas as portas para uma determinada maquina da rede o DROP também não deixa ela ter nenhum acesso.

O que será que esta acontecendo??


ABS

renato_pacheco
(usa Debian)

Enviado em 02/07/2010 - 08:27h

Galera, ceis tão esquecendo uma coisa muito importante, q é a política. Vcs colocam a política d FORWARD e INPUT para serem rejeitadas por padrão, certo? Então, pra certos serviços funcionarem, vcs devem liberam tanto o INPUT quanto o FORWARD do determinado serviço. É claro q isso não se ajusta a todos os protocolos, pq cada um tem um comportamento diferente, como é o caso do FTP ou do DNS, q necessitam d portas altas pra receberem a comunicação. O bom é q existem uns módulos q já fazem isso quando liberados os serviços, q é o caso do FTP (do DNS eu num sei, acho q tb não há a necessidade d liberar as portas altas, pois eu nunca vi).
Complementando, é bom vcs estudarem mais sobre o comportamento d cada um, pq será muito mais fácil liberar o serviço, ok?

R.S.P Andre
(usa Debian)

Enviado em 03/07/2010 - 17:51h

Fala ai pessoal!
Oh eu aqui novemnete.
cara eu tentei de todas as formas possiveis e ainda não consegui.
Tipo minha rede não navega de forma alguma com o FORWARD DROP.
Segue meu firewall teste


#########################################
####### FIrewall Teste #############
echo "Iniciando o Firewall by: R.S.P André"
echo "######################################"
echo "######### Limpando as Regras #########"
iptables -F
iptables -t nat -F
echo "########### Regras Zeradas ###########"
echo "######################################"
echo "####### Compartilhando a NET #########"
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "######### NET COMPARTILHADA ##########"
echo "##### Definindo Politica Padrão ######"
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
echo "######## Padrão estabelecido #########"
echo "######################################"
echo "########### Regras INPUT #############"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i ppp0 -j ACCEPT
iptables -A INPUT -j ACCEPT -p tcp -i eth1
iptables -A INPUT -j ACCEPT -p udp -i eth1
echo "####### Regras INPUT PRONTAS #########"
echo "######################################"
echo "#### carregando Regras FORWARD #######"
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -d 192.168.10.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.10.0/24 --dport 53 -j ACCEPT
~

Já li um monte de tópicos sob e mesmo assim nada.
Se alguém puder me dar uma dica do que esta errado eu agradeço.

Novamente obrigado pela grande ajuda que recebo.

ABS

irado
(usa XUbuntu)

Enviado em 03/07/2010 - 18:24h

entender o iptables não é algo muito simples (pessoalmente ODEIO o netfilter/iptables) mas é o mais disseminado. Mas é perigoso simplesmente comeaçar a mexer com êle por ser algo relacionado à segurança. Fôsse um gimp, um office.. que estrago vc pode fazer? mas deixar uma rede aberta, disponivel.. é outra história.

a sugestão FORTE é estudarem bem o que/como/por que; para isso, nada melhor que os MUITO bons artigos disponiveis aqui no VOL: http://www.google.com.br/custom?domains=www.vivaolinux.com.br&sitesearch=www.vivaolinux.com.br&a...

ps: NÃO É o DROP que está atrapalhando o firewall de Vcs. O MEU fwll (corporativo, 5 sites, 1500 clientes, 150 máquinas internas, com DMZ) é TUDO com DROP e funciona MUITO BEM. O que atrapalha o fwll de vcs é apenas.. desconhecimento da ferramenta, nada mais.

ps2: o 1o link da página que passei (acima) é um EXTRAORDINÁRIO artigo do Elgio, que realmente apresenta o funcionamento do iptables de modo bem simples. Não o percam.

R.S.P Andre
(usa Debian)

Enviado em 03/07/2010 - 23:37h

Vlw ai pessoal!
Se o tópico fosse meu eu tinha dado ele por resolvido
Mais fica ai a dica!
Não estava adiantando nada eu liberar as portas 80 e 53 se eu não tinha liberado a interface de conexão com a net para fazer o FORWARD.
Foi só acrescentar uma linha no meu firewall que agora esta tudo normal.
a regra adicionada foi essa ae:
iptables -A FORWARD -i ppp+ -o eth1 -j ACCEPT

Irado com certeza irei estudar muito mais sob o assunto.
Valwe pela dica.
Renato e Irado mais uma vez obrigado pelas suas dicas, são sempre de grande valor para todos nós que buscamos conhecimentos.

Obrigado a todos que nos ajudaram nessa nova jornada!

ABS

renato_pacheco
(usa Debian)

Enviado em 04/07/2010 - 14:17h

André, nesse caso, em vez d acrescentar essa regra ae q vc pôs, bastava vc modificar a política. Em vez d:

iptables -P FORWARD DROP

Faça:

iptables -P FORWARD ACCEPT

Menos linhas e faz a msm coisa.

R.S.P Andre
(usa Debian)

Enviado em 04/07/2010 - 14:47h

Fala Renato.
Realmente eu percebi isso mesmoo.

Sem querer perguntar de mais qual a regras que eu teria que colocar de modo que somente o que eu quisesse fosse liberado para o forward?
Apesar que se eu deixar essa regras sem as demais a net não funfa não.
E se eu por as outras regras e não por essa a net também não funfa.
Segue meu firewall teste atual:

iniciar(){

#########################################
####### FIrewall Teste #############
echo "Iniciando o Firewall by: R.S.P André"
echo "######################################"
echo "######### Limpando as Regras #########"
iptables -F
iptables -t nat -F
echo "########### Regras Zeradas ###########"
echo "######################################"
echo "####### Compartilhando a NET #########"
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "######### NET COMPARTILHADA ##########"
echo "##### Definindo Politica Padrão ######"
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
echo "######## Padrão estabelecido #########"
echo "######################################"
echo "########### Regras INPUT #############"
### recusando pacotes invalidos
iptables -A INPUT -i ppp0 -m state --state INVALID -j DROP
#### Aceitando pacotes validos
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
## Abrindo a lo
iptables -A INPUT -i lo -j ACCEPT
#iptables -A INPUT -i ppp0 -j ACCEPT
### Bloquando acesso por maquina da rede local #####
#iptables -A INPUT -m mac --mac-source 08:00:27:83:7b:48 -p tcp --dport 137:1000 -j DROP
## Aceitando ping local
iptables -A INPUT -i eth1 -p icmp -j ACCEPT
## Aceitando as maquinas locais ##
iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT
echo "####### Regras INPUT PRONTAS #########"
echo "######################################"
echo "#### carregando Regras FORWARD #######"
############ Bloqueando via iptables #######"
#iptables -A FORWARD -m mac --mac-source 08:00:27:83:7b:48 -j DROP
#iptables -A FORWARD -s 192.168.10.50 -d www.orkut.com -j REJECT
##############################################################
### Forward de internet para a rede local
#iptables -A FORWARD -i ppp0 -d 192.168.10.0/24 -j ACCEPT
#############ACEITANDO PING DE DENTRO PRA FORA ################
iptables -A FORWARD -s 192.168.10.0/24 -p icmp -j ACCEPT #ping
############################################
### Aceitando pacotes estabilizados ###
iptables -A FORWARD -i eth1 -m state --state INVALID -j DROP
iptables -A FORWARD -s 192.168.10.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
#####################################################
## Abrindo portas para a rede local com a internet Falta a pop e smtp
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 80 -j ACCEPT #http
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 53 -j ACCEPT #DNS
iptables -A FORWARD -p udp -s 192.168.10.0/24 --dport 53 -j ACCEPT #DNS
##### HTTPS###### sem elA nao tem orkut e nem outros https#########
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 443 -j ACCEPT #HTTPS


Abraço!

R.S.P Andre
(usa Debian)

Enviado em 04/07/2010 - 15:45h

Fala ai novamente Renato!
cara realmente como eu te falei, se eu tirar as regras realmente a net não navega.
Eu deu uma modificada no meu firewall aqui e aparentemente está ficando bom.

Eu vo dar uma arrumada nele aqui e envio ele ai se possivél tu me diz o que esta certo ou errado nele. Pode ser?
Cara novamente obrigado pelo grande apoio que tu tem me dado!
Qualquer dia desses ainda lhe pago um cerveja (isso é se tu gostar né)

Abraço!

R.S.P Andre
(usa Debian)

Enviado em 04/07/2010 - 15:46h

e a propósito!
Cadê o dono do tópico? Agora que o negócio esta ficando bom ele some.


ABS