Meu calo! FORWARD script!

1. Meu calo! FORWARD script!

morati
(usa CentOS)

Enviado em 11/02/2013 - 20:49h

Senhores! Primeiramente, bom carnaval a todos, bom meu grande problema em scripts iptables é na forward, por enquanto, tudo que eu quero é bloquear tudo pra rede local e liberar apenas os protocolos que eu quiser, deixando por default, a 80 e 53, pra pessoas navegarem, mas isso esta meio difícil, segue o script

#!/bin/bash
# Firewall 1.0
# Autor: Paiva
# CentOS6
redelocal=192.168.2.0/24
wan=eth0
lan=eth1
ipt=/sbin/iptables
$ipt -F
echo 1 > /proc/sys/net/ipv4/ip_forward
$ipt -A POSTROUTING -t nat -s $redelocal -o $wan -j MASQUERADE
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD DROP
$ipt -A INPUT -p tcp --dport 22 -s 192.168.1.10 -j ACCEPT
$ipt -A INPUT -p ALL -i $wan -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -p ALL -i $lan -o $wan -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A OUTPUT -p ALL -i $wan -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -i $lan -o $wan -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -i $lan -o $wan -p tcp --dport 80 -j ACCEPT
$ipt -A FORWARD -i $lan -o $wan -p tcp --dport 53 -j ACCEPT
$ipt -A FORWARD -i $lan -o $wan -p tcp --dport 25 -j ACCEPT

Alguém pode me dizer onde eu erro? minha eth0: 192.168.1.11 e eth1 rede local 192.168.2.1 , cliente win7 192.168.2.50

Agradeço em!!!

0 0

Quote

2. Re: Meu calo! FORWARD script!

rcjeferson
(usa Debian)

Enviado em 13/02/2013 - 23:27h

Boa noite amigo!

Cara, eu acho que o que está liberando tudo (pelo que entendi) é essa linha:

$ipt -A POSTROUTING -t nat -s $redelocal -o $wan -j MASQUERADE

Ai, você está fazendo um nat da rede local para a WAN, ou seja, você está liberando todos os acessos.

0 0

Quote

3. Re: Meu calo! FORWARD script!

morati
(usa CentOS)

Enviado em 18/02/2013 - 10:59h

Mas colega,

Esta tudo bloqueado! não acesso nada da rede local --------> internet

0 0

Quote

4. Re: Meu calo! FORWARD script!

rcjeferson
(usa Debian)

Enviado em 18/02/2013 - 12:33h

Me desculpa amigo,

Entendi errado sua pergunta, pensei que quisesse bloquear todos os acesso, mas na verdade está tudo bloqueado e está querendo liberar:

Sendo assim ao invés de usar a linha:

$ipt -A FORWARD -i $lan -o $wan -p tcp --dport 80 -j AC

Use:

$ipt -A INPUT -i INTERFACE -p tcp --dport 80 -j ACCEPT

Onde INTERFACE, você deve colocar a interface de onde virá a requisição. Faça isso também para as demais portas.

0 0

Quote