Firewall não funciona

skark33
(usa Debian)

Enviado em 21/11/2016 - 20:12h

Prezados, boa noite.
Estou montando um firewall é não está funcionado, quando inicio o serviço não consigo acesso via ssh e dentro do servidor não consigo pingar por nome, apenas pelo IP.
Segue abaixo o script. Preciso de ajuda para entender onde estou errando:

==========

#! /bin/sh

# eth0 = 192.168.0.2

case $1 in

stop)
# políticas que aceitam qualquer tipo de conexão
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT

# limpa as regras das tabelas net e filter
iptables -t nat -F
iptables -t filter -F
echo "Firewall parado..."
;;

start)
# bloqueia INPUT e FORWARD
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

# libera ping a loopback
#iptables -A OUTPUT -p icmp -d 0/0 -j ACCEPT
iptables -A INPUT -p icmp -d 127.0.0.1 -j ACCEPT

# libera ping nas interfaces
iptables -A INPUT -p icmp -d 192.168.0.2 -j ACCEPT

# libera ssh para rede front
#iptables -A OUTPUT -p tcp -s 192.168.0.2 --sport 4122 -d 10.10.10.0/24 --dport 4122 -j ACCEPT
iptables -A INPUT -p tcp -s 10.10.10.0/24 --sport 4122 -d 192.168.0.2 --dport 4122 -j ACCEPT

# libera http porta 80
#iptables -A OUTPUT -p tcp --sport 80 -s 10.10.10.0/24 -d 0/0 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -s 0/0 -d 192.168.0.2 --dport 80 -j ACCEPT

# permite que a máquina ping para o resto do mundo por nomes
iptables -A INPUT -p udp --sport 53 -s 0/0 -d 192.168.0.2 --dport 53 -j ACCEPT
#iptables -A OUTPUT -p udp --sport 53 -s 192.168.0.2 -d 0/0 --dport 53 -j ACCEPT

# habilita a entrada/passagem/saida do NTP para máquina Firewall e máquinas internas.
iptables -A INPUT -p udp -s 10.10.10.0/24 --sport 123 -d 192.168.0.2 --dport 123 -j ACCEPT
#iptables -A OUTPUT -p udp -s 192.168.0.2 --sport 123 -d 10.10.10.0/24 --dport 123 -j ACCEPT
echo "Firewall iniciado..."
;;
restart)
$0 stop
sleep 0.5
$0 start
;;

*)
echo 'POR FAVOR USE "stop|start|restart"'
;;
esac

julianoolenick
(usa Ubuntu)

Enviado em 21/11/2016 - 20:19h

Faça regras mais abrangentes para os teste depois restrinja mais

#LIBERA SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#LIBERA PING
iptables -A INPUT -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT


----------------------------------------------------------------------------------------
Juliano Olenick - Netguard - http://www.netguard.com.br

valdinei.campos
(usa CentOS)

Enviado em 22/11/2016 - 09:34h

Em Relação ao acesso SSH utilize as informações acima

referente ao ping por nome, verifique as configurações de DNS em /etc/resolv.conf

skark33
(usa Debian)

Enviado em 22/11/2016 - 12:15h

Pessoal, bom dia.
Obrigado pelo retorno...
Eu sei e já testei as regras acima, funciona!
Porém, preciso liberar para uma rede específica e, quando aplico o meu script perco ssh para a rede informada e o ping por domínio também para de responder. Help.. Alguém???

valdinei.campos
(usa CentOS)

Enviado em 22/11/2016 - 13:02h

Voce perde o Ping provavelmente pq sua consulta de DNS esta em rede diferente.

Nesse caso tanto para o SSH e para o ping além da regra de INPUT é necessario criar uma regra de MASQUERADE

skark33
(usa Debian)

Enviado em 23/11/2016 - 11:20h

Muito bom... Obrigado!
Meu firewall funcionou após inserir o MASQUERADE.