IPTables

stremenx
(usa Debian)

Enviado em 08/02/2016 - 18:04h

Boa tarde, tenho configurado em meu servidor squid tudo funcionando mais estou buscando uma maior segurança, sendo que configurei seguindo tópicos aqui, mais quando ativo regra de firewall da erro alguém poderia me ajudar a encontrar o erro. Obrigado pela atenção.

https://www.vivaolinux.com.br/artigo/Firewall-seguro-com-o-IPTables

Minhas regras:
### Interfaces de rede
INT=eth0
EXT=ppp0

### Exclui todas as regras
iptables -t nat -F
iptables -t mangle -F
iptables -t filter -F

### Exclui cadeias customizadas
iptables -X

### Zera os contadores das cadeias
iptables -t nat -Z
iptables -t mangle -Z
iptables -t filter -Z

### Define a política padrão do firewall
#iptables -P INPUT DROP
#iptables -P OUTPUT ACCEPT
#iptables -P FORWARD DROP

# Habilita o roteamento no kernel
echo 1 > /proc/sys/net/ipv4/ip_forward

# Liberando encaminhamento de pacotes;
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

### Regras PREROUTING
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -s 192.168.2.0/24 -p tcp --dport 443 -j REDIRECT --to-port 3130
iptables -A INPUT -i eth1 -p tcp --destination-port 3129 -j DROP

### Regras INPUT
iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT

### Regras FORWARD
iptables -A FORWARD -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p icmp -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 5900 -j ACCEPT

### Regras OUTPUT
iptables -A OUTPUT -m state --state NEW, ESTABLISHED, RELATED -j ACCEPT

### Regras POSTROUTING
iptables -t nat -A POSTROUTING -o $EXT -j MASQUERADE

Buckminster
(usa Debian)

Enviado em 08/02/2016 - 19:50h

Comente esta regra:

iptables -t nat -A POSTROUTING -o $EXT -j MASQUERADE

Reinicie o Iptables e veja qual o erro que dá.

stremenx
(usa Debian)

Enviado em 08/02/2016 - 20:12h

Quando comento a seguinte regras, abaixo para de funcionar por completo a internet:

### Define a política padrão do firewall
#iptables -P INPUT DROP
#iptables -P OUTPUT ACCEPT
#iptables -P FORWARD DROP

Sendo este o erro que aparece:

iptables v1.4.21: "--state" requires a list of states with no spaces, e.g. ESTABLISHED,RELATED
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.21: "--state" requires a list of states with no spaces, e.g. ESTABLISHED,RELATED
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.21: "--state" requires a list of states with no spaces, e.g. ESTABLISHED,RELATED
Try `iptables -h' or 'iptables --help' for more information.

Na sua opinião é melhor buscar outro tutorial e tentar do zero ou aproveitar essas regras pois busco mais segurança na rede, apesar que estou usando clamav e dansguards.

Buckminster
(usa Debian)

Enviado em 08/02/2016 - 20:17h

Descomente esta regra:

iptables -t nat -A POSTROUTING -o $EXT -j MASQUERADE

E comente esta:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Reinicie e teste.

stremenx
(usa Debian)

Enviado em 08/02/2016 - 20:31h

Agora que notei que estava repetido a regra, que você falou mais só add

### Define a política padrão do firewall
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

para toda a internet.

E quando # desativo as regras tudo volta ao normal.
Acredito que seja melhor estudar mais iptables para não incomodar.

Buckminster
(usa Debian)

Enviado em 08/02/2016 - 20:51h

Veja bem, nessa regra

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

deve ir a interface de entrada da internet, aquela interface que está conectada no roteador.

https://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras

https://www.vivaolinux.com.br/artigo/Redes-de-Computadores-IPtables-Enderecos-IPs-Explicacoes-basica...

stremenx
(usa Debian)

Enviado em 08/02/2016 - 20:55h

Obrigado pela dica irei estudar os link no caso regra sugerida está adicionada e funcionando, normal internet e tal único erro mesmo e quando add as regras que eu falei anteriormente.

Buckminster
(usa Debian)

Enviado em 08/02/2016 - 21:03h

Essa regra

iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT

deixe assim

iptables -A INPUT -m state --state NEW, ESTABLISHED, RELATED -j ACCEPT

e esta regra

iptables -A FORWARD -m state --state ESTABLISHED, RELATED -j ACCEPT

deixe assim

iptables -A FORWARD -m state --state NEW, ESTABLISHED, RELATED -j ACCEPT

e descomente as políticas padrões

### Define a política padrão do firewall
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Reinicie e teste.

stremenx
(usa Debian)

Enviado em 08/02/2016 - 22:09h

Coloquei como você sugeriu mais erro persistiu mais desativando as regras e reabilitando notei que o erro está,

#iptables -P INPUT DROP

teria como me ajudar se não for incomodo.

Buckminster
(usa Debian)

Enviado em 08/02/2016 - 22:13h

Esta regra

iptables -A INPUT -i lo -j ACCEPT

deveria permitir o acesso à própria máquina mesmo estando a política padrão INPUT como DROP.

Esta regra abaixo faz o que?
A placa de rede eth1 não existe no teu script.
Comente ela ou mude a placa.

iptables -A INPUT -i eth1 -p tcp --destination-port 3129 -j DROP

Não esqueça de reiniciar sempre o IPtables ao mudar o script.

stremenx
(usa Debian)

Enviado em 08/02/2016 - 22:23h

Era uma regra antiga que li quando estava estudando squid para bloquear mais mesmo desativando não funcionou, sempre reiniciando debian.

Buckminster
(usa Debian)

Enviado em 08/02/2016 - 22:46h

iptables -A FORWARD -i $INT -o $EXT -p icmp -j ACCEPT
iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT <<< acrescente essa regra nessa posição e veja se resolve o problema da conexão da internet.