Iptables

wzol
(usa Slackware)

Enviado em 24/01/2012 - 10:24h

Bom dia caros amigos.

Estou fazendo algumas alteracoes nas regras de firewall no meu arq. /etc/rc.d/rc.local
Quando eu executo ele
#/etc/rc.d/rc.local
Esta mensagem aparece
/etc/rc.d/rc.local
pppoe-start: There already seems to be a PPPoE connection up (PID 1696)
iptables v1.4.7: option `limit' requires an argument
Try `iptables -h' or 'iptables --help' for more information.

Alguem pode me ajudar a descobrir.
Essa msg?

Obrigado !

phrich
(usa Slackware)

Enviado em 24/01/2012 - 11:18h

A conexão VPN já está fechada / uso ou seria algo relacionado a sua discagem para a internet

ppoe-start: There already seems to be a PPPoE connection up (PID 1696)




Erro na sua regra de firewall

iptables v1.4.7: option `limit' requires an argument
Try `iptables -h' or 'iptables --help' for more information.


Para ver em qual linha está proceda assim:

# bash -x /caminho/script



Porém vai uma dica, crie um script só para o iptables, pois cada vez que vc chamar o rc.local ele vai rodar tudo o que está ali dentro ok?

n4t4n
(usa Arch Linux)

Enviado em 24/01/2012 - 13:20h

A mensagem de erro informa que está faltando o argumento depois de --limit, ex.:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

Na linha acima estamos limitando as requisições icmp que chegam à máquina do firewall a 1 por segundo. É este argumento que está faltando em alguma linha no seu script, o valor do limite a ser aplicado.

wzol
(usa Slackware)

Enviado em 25/01/2012 - 11:00h

Bom dia amigos,

Estou tentando fazer uns bloqueios de Bruteforce, porem a mensagem acima limit vem dessas regras.
Ainda nao consegui identificar onde esta este problema.

Depois qe eu faco a alteracao no meu arquivo
Ele me retorna esta msg.

pppoe-start: There already seems to be a PPPoE connection up (PID 1696)
iptables v1.4.7: option `limit' requires an argument
Try `iptables -h' or 'iptables --help' for more information.


AGradeço muito a comunidade pelo espaco e tmb aqueles que me ajudarem.


#Bloqueia BruteForce
iptables -I INPUT -i ppp0 -p tcp --sport 1024: --dport 22 --syn -j ACCEPT
iptables -I INPUT -i eth0 -p tcp --sport 1024: --dport 22 --syn -j ACCEPT
iptables -N SSH-BRUT-FORCE
iptables -A INPUT -i ppp0 -p tcp --sport 1024: --dport 22 --syn -j SSH-BRUT-FORCE
iptables -A INPUT -i eth0 -p tcp --sport 1024: --dport 22 --syn -j SSH-BRUT-FORCE
iptables -A SSH-BRUT-FORCE -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A SSH-BRUT-FORCE -j DROP

#SSH
iptables -A INPUT -i ppp0 -p tcp --dport 3128 -j DROP
#iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH" #Log do SSH#
#iptables -A INPUT -i ppp0 -p tcp --dport 22 -j DROP
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j REJECT

#Protecao contra ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit -limit 1/s -j ACCEPT

#Protecoes diversas contra portscanners, ping of death, ataques DoS
iptables -A INPUT -m state --state INVALID -j DROP

#Ping
iptables -A INPUT -s 192.168.1.7 -p icmp -d 192.168.1.254 -j ACCEPT #Libera ping de 1 host
iptables -A INPUT -p icmp -j DROP #Bloqueia ping

n4t4n
(usa Arch Linux)

Enviado em 25/01/2012 - 17:00h

Se não for erro de digitação, o seu problema pode estar nessa linha

#Protecao contra ping da morte

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit -limit 1/s -j ACCEPT 

o limit requer dois -- (hífens) e você colocou apenas um, sendo que o correto fica assim:

#Protecao contra ping da morte

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT 

Veja se não é isso.