Liberando Portas e IP no IPTABLES.

lineassis22
(usa Lubuntu)

Enviado em 29/08/2014 - 08:12h

Não entendi em que local especifico tenho que colocar isso..

Olha como ficou meu script..
Eu não sabia onde colocaria e coloquei la em baixo..
Ve se esta certo, por favor..

E me mostra certinho em que local eu coloco essas linhas ai..



Sabe me dizer se esta tudo certo, ou fiz alguma coisa errada?

lineassis22
(usa Lubuntu)

Enviado em 29/08/2014 - 08:14h

buckminster teria algum meio de contato que eu poderia lhe adicionar para falar contigo?

leolopez6
(usa Red Hat)

Enviado em 29/08/2014 - 15:52h

Experimenta usar a ferramenta que te falei.

Buckminster
(usa Debian)

Enviado em 31/08/2014 - 20:25h

Deixe teu script assim como está abaixo. Dei uma ajeitada nele.
Faça um backup (uma cópia) do arquivo do script que você já tem aí e depois apague o conteúdo do arquivo e copie e cole dentro o conteúdo abaixo e reinicie o Iptables e teste.

Caso dê algum problema comente as linhas das políticas padrões ou coloque todas como ACCEPT e reinicie o Iptables:
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Veja bem, no teu script não estavam definidas as políticas padrões, isto significa que ele estava todo aberto, pois as políticas vem como padrão todas ACCEPT. Aconselho a deixar como acima.

E te aconselho a seguir a sugestão do leolopez6. A não ser que você está afim de aprender o Iptables, daí terá que estudar, pois configurar o Iptables é mexer no script manualmente.
Segue link para te ajudar:
http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras



#!/bin/bash
echo " Apagando qualquer configuracao do Iptables...............[OK]"
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat

echo " Definindo as políticas padrões ............ [OK]"
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

echo " Iniciando os modulos NAT FTP PPTP GRE .............[OK]"
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_pptp
modprobe ip_conntrack_pptp
modprobe ip_gre
echo 1 > /proc/sys/net/ipv4/ip_forward
echo " Ativando Proxy transparente...........[OK]"
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

echo " Liberando conexao VPN Externo...........[OK]"
echo " Aceitando protocolo grep................[OK]"
iptables -A INPUT -j ACCEPT -p gre
iptables -A OUTPUT -j ACCEPT -p gre
iptables -A FORWARD -j ACCEPT -p gre
iptables -A INPUT -p 47 -j ACCEPT
iptables -A OUTPUT -p 47 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT

echo " Redirecionando Conexao VPN para 192.168.1.6.............[OK]"
#redirecionamento de conexao VPN vinda de qualquer IP para o 192.168.1.6
iptables -t nat -A PREROUTING -p gre -d 189.19.209.235 -j DNAT --to 192.168.1.6

echo " Liberando portas VPN 47 1723 128.................[OK]"
iptables -A INPUT -p tcp --dport 47 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p tcp --dport 128 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 47 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 128 -j ACCEPT

iptables -A FORWARD -p tcp --dport 47 -i eth0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1723 -i eth0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 128 -i eth0 -j ACCEPT

iptables -A OUTPUT -p tcp -s 192.168.1.6/24 --dport 47 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.6/24 --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.6/24 --dport 128 -j ACCEPT

echo " LIBERANDO IP E PORTAS DO DVD ..................... [OK] "
# Liberando IP
iptables -A FORWARD -p udp -d eth0 -s 192.168.1.20 -j ACCEPT
iptables -A FORWARD -p tcp -d eth0 -s 192.168.1.20 -j ACCEPT

# Liberando Portas
iptables -A FORWARD -i eth0 -p udp --dport 8000 -j ACCEPT
iptables -A FORWARD -i eth0 -p udp --dport 9000 -j ACCEPT
iptables -A FORWARD -i eth0 -p udp --dport 18004 -j ACCEPT
iptables -A FORWARD -i eth0 -p udp --dport 34567 -j ACCEPT

iptables -A FORWARD -i eth0 -p tcp --dport 8000 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 9000 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 18004 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 34567 -j ACCEPT

#Redirecionamento das portas para 192.168.1.6
iptables -t nat -A PREROUTING -p tcp --dport 47 -j DNAT --to 192.168.1.6
iptables -t nat -A PREROUTING -p tcp --dport 1723 -j DNAT --to 192.168.1.6
iptables -t nat -A PREROUTING -p tcp --dport 128 -j DNAT --to 192.168.1.6

echo " CONEXAO REDE EXTERNA para acesso remoto ao servidor via terminal server........[OK]"
iptables -t nat -p tcp -I PREROUTING -s 0/0 -d 189.19.209.235 --dport 3389 -j DNAT --to 192.168.1.6
iptables -I FORWARD -p TCP --dport 3389 -j ACCEPT

###CONEXAO REDE INTERNA, permite qualquer conexao da rede interna
iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT

#Seguranca para a rede
echo " Ativando o IP forward .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/ip_forward
echo " Protegendo contra Pings ( ignorando ) .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo " Protegendo contra IP spoofing .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
echo " Protegendo contra diversos ataques .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo " Protegendo contra bogus responses .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo " Protegendo contra IP synflood .......... [ OK ]"
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo " Protegendo contra Pings da Morte .......... [ OK ]"
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo " Protegendo contra portscanners, ping of death, ataques DoS, etc. .......... [ OK ]"
iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "_BLOCKED_: "
iptables -A INPUT -m state --state INVALID -j DROP
echo " Bloqueando qualquer conex�o que n�o tenha sido permitida acima .......... [ OK ]"
iptables -A INPUT -p tcp --syn -j LOG --log-prefix "_BLOCKED_: "
iptables -A INPUT -p tcp --syn -j DROP
#ignora ping
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# CONEXAO PORTA CAMERA
#iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp --dport 9001 -j ACCEPT
iptables -t nat -p tcp -I PREROUTING -s 0/0 -d 189.19.209.235 --dport 8081 -j DNAT --to 192.168.1.225:9001
iptables -t nat -p tcp -I PREROUTING -s 0/0 -d 189.19.209.235 --dport 9001 -j DNAT --to 192.168.1.225:9001
iptables -t nat -p udp -I PREROUTING -s 0/0 -d 189.19.209.235 --dport 8081 -j DNAT --to 192.168.1.225:9001
iptables -t nat -p udp -I PREROUTING -s 0/0 -d 189.19.209.235 --dport 9001 -j DNAT --to 192.168.1.225:9001
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 8081,9001 -j DNAT --to-dest 192.168.1.225:9001
iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --dport 8081,9001 -j DNAT --to-dest 192.168.1.225:9001

iptables -A OUTPUT -p tcp -s 192.168.1.225 --dport 9001 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.225 --dport 8081 -j ACCEPT
iptables -A OUTPUT -p udp -s 192.168.1.225 --dport 9001 -j ACCEPT
iptables -A OUTPUT -p udp -s 192.168.1.225 --dport 8081 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 9001 -j ACCEPT
iptables -A FORWARD -i eth0 -p udp --dport 9001 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 8081 -j ACCEPT
iptables -A FORWARD -i eth0 -p udp --dport 8081 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8081 -i eth0 -j ACCEPT
iptables -A FORWARD -p udp --dport 8081 -i eth0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 9001 -i eth0 -j ACCEPT
iptables -A FORWARD -p udp --dport 9001 -i eth0 -j ACCEPT

#iptables -A INPUT -i eth0 -p tcp -m multiport --dport 80 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp -m multiport --dport 9002 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --dport 80,9002 -j DNAT --to-dest 192.168.1.226

#iptables -A INPUT -i eth0 -p tcp -m multiport --dport 80 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp -m multiport --dport 9003 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --dport 80,9003 -j DNAT --to-dest 192.168.1.227

iptables -A OUTPUT -p tcp -s 192.168.1.225 --dport 9001 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.225 --dport 8081 -j ACCEPT

#iptables -A INPUT -i eth0 -p tcp -m multiport --dport 80,9001,9002 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp -m multiport --dport 80,9001,9002 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --dport 80,9001,9002 -j DNAT --to-dest 192.168.1.225:9001
iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --sport 80,9001,9002 -j DNAT --to-dest 192.168.1.226:9002
iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --sport 80,9001,9003 -j DNAT --to-dest 192.168.1.227:9003

# Liberando o INPUT externo para o firewall

#iptables -A FORWARD -i eth0 -p tcp --dport 8082 -j ACCEPT
#iptables -A FORWARD -i eth0 -p tcp --dport 8081 -j ACCEPT
#iptables -A FORWARD -i eth0 -p udp --dport 9001 -j ACCEPT
#iptables -A FORWARD -i eth0 -p udp --dport 9003 -j ACCEPT
#iptables -A FORWARD -i eth0 -p tcp --dport 9003 -j ACCEPT

#iptables -A INPUT -i eth0 -p tcp --dport 8081 -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp --dport 9001 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp --dport 9002 -j ACCEPT
#iptables -A INPUT -i eth0 -p udp --dport 9003 -j ACCEPT

#iptables -A OUTPUT -p udp -d eth0 -s 192.168.1.225 -j ACCEPT
#iptables -A OUTPUT -p udp -d eth0 -s 192.168.1.226 -j ACCEPT
#iptables -A OUTPUT -p udp -d eth0 -s 192.168.1.227 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8083 -j DNAT --to-dest 192.168.1.225:8083
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9001 -j DNAT --to-dest 192.168.1.226:8082
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9003 -j DNAT --to-dest 192.168.1.227:80

iptables -I FORWARD -i eth0 -p udp --sport 8081 -j ACCEPT
iptables -t filter -I FORWARD -i eth0 -o eth1 -p udp --dport 8081 -j ACCEPT

iptables -t filter -I FORWARD -i eth0 -o eth1 -p tcp --dport 9001 -j ACCEPT
iptables -I FORWARD -i eth0 -p udp --sport 9001 -j ACCEPT
iptables -t filter -I FORWARD -i eth0 -o eth1 -p udp --dport 9001 -j ACCEPT

iptables -t filter -I FORWARD -i eth0 -o eth1 -p tcp --dport 6050 -j ACCEPT
iptables -t filter -I FORWARD -i eth0 -o eth1 -p udp --dport 6050 -j ACCEPT

iptables -t filter -I INPUT -i eth0 -p udp --dport 8081 -j ACCEPT
iptables -t filter -I INPUT -i eth0 -p udp --dport 8081 -j ACCEPT
iptables -t filter -I INPUT -i eth0 -p udp --dport 9001 -j ACCEPT
iptables -I INPUT -i eth0 -p udp --sport 9001 -j ACCEPT

iptables -t nat -I PREROUTING -i eth0 -p udp --sport 8081 -j DNAT --to-dest 192.168.1.225:8081
iptables -t nat -I PREROUTING -i eth0 -p udp --dport 8081 -j DNAT --to-dest 192.168.1.225:8081
iptables -t nat -I PREROUTING -i eth0 -p udp --sport 80 -j DNAT --to-dest 192.168.1.227:80
iptables -t nat -I PREROUTING -i eth0 -p udp --dport 80 -j DNAT --to-dest 192.168.1.227:80

Buckminster
(usa Debian)

Enviado em 31/08/2014 - 20:33h

Dei uma remexida no script. Copie ele do VOL.

lineassis22
(usa Lubuntu)

Enviado em 01/09/2014 - 10:52h

Fiz do jeito que você me pediu, só que quando eu tentei reiniciar o iptables, travou, a conexão com a internet e com o servidor caiu.
A rede da empresa, caiu.

Ai não conseguia de jeito nenhum entrar no terminal, e nem me conectar via acesso remoto.

Reiniciei o servidor linux umas 3 vezes, na terceira consegui entrar e limpei a config. para liberar as portas e ip, e coloquei tudo accept..
E depois disso a conexão voltou.

Não não consegui testar se na terceira tentativa antes de eu modificar as configurações, o acesso ja havia se estabelecido.

E quando reiniciei a maquina linux, deu um erro com o eth0.

Saberia me dar algumas dicas de como eu identifico qual a minha placa de rede?
Pois atras, há duas entradas rj45, as duas com os cabos.

Eu sou novata, desculpem o incomodo.
Eu ainda não baixei a ferramenta que o Leo informou, pois esse procedimento que eu estou tentando aprender, e arrumar, é urgente..

Só preciso providenciar isso para dar inicio ao projeto.
E eu não consigo sair do zero :(

lineassis22
(usa Lubuntu)

Enviado em 01/09/2014 - 13:14h

Arquivo: /etc/rc.local


Arquivo: /etc/network/interfaces


Erro que esta acusando quando eu tento reiniciar o iptables:



As politicas abaixo, faz minha rede ficar sem conexão com a internet..
Cai tudo, conexão com a internet, e conexão com a rede.



Agora, se eu deixar tudo ACCEPT, a conexão volta a ficar estável.

Será que estou fazendo alguma coisa errada?

leolopez6
(usa Red Hat)

Enviado em 01/09/2014 - 18:52h

lineassis22, a ferramenta que te falei vai fazer tudo isso que você tá tentando de uma maneira bem mais rápida e pratica, haja visto que você está com um pouco de dificuldade em montar o script de FW. E p/ você identificar "quem é quem" das interfaces de rede, use a ferramenta mii-tool ethx.

Desligue o cabo de uma das interfaces e execute o comando mii-tool eth0, se houver algum tráfego a interface que está com o cabo é a eth0 senão é a eth1.

Obs.: Levando em consideração que esteja usando eth0 e eth1.

lineassis22
(usa Lubuntu)

Enviado em 04/09/2014 - 07:41h

Leonardo, bom dia.

Mas eu não sei muito bem como utilizar essa ferramenta, eu baixei aqui, tentei usar, pede uns passo a passo, não sei qual selecionar..
E eu não posso me conectar com o skype, pois, estou na empesa.
Mas se tiver como me adicionar em alguma rede social, e se voce puder me auxiliar..

Estou no aguardo pessoal, se alguem puder me ajudar de alguma forma agradeço muito, pois, já rodei o google, e não consigo liberar umas portas, que eu acho que seriam procedimentos muitos simples.
Realmente, não sei onde estou errando :(

leolopez6
(usa Red Hat)

Enviado em 15/09/2014 - 18:42h

facebook.com/leolopez6