clients não tem conectividade! [RESOLVIDO]

Bom dia galera, tenho meu ubuntu server com o firewall e um desktop debian (isso tudo em virtual box), estou tentando implementar o firewall nele (iptables) já pesquisei sobre as regras, fiz as regras, criei eth1, botei o client na mesma rede da eth1, mas nem se quer um pinga o outro. Pelo virtual box tenho duas placas no ubuntu, uma em bridge e outra em rede interna.

rc.firewall do firewall:

#ifinternet "eth0"
#Configuração de rede WAN
#IP: 192.168.25.11
#Mascara: 255.255.255.0
#Gateway: 192.168.25.1
#iflocal "eth1"
#IP: 10.0.0.1
#Mascara: 255.255.255.0
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -s 10.0.0.0/24 -d 0/0 -j MASQUERADE
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
iptables -A INPUT -s 127.0.0.1 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -s 10.0.0.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j ACCEPT
iptables -A INPUT -s 10.0.0.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j RETURN
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 110 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 143 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 25 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 587 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 80 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 443 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 22 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 23 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p UDP -s 10.0.0.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 445 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 80 -j ACCEPT

Bom dia Amigo,

Você esta com uma regra no local errado.
A limpeza das regras tem que vir primeiro e depois o masquerade.

Tente assim:

#ifinternet "eth0"

#Configuração de rede WAN

#IP: 192.168.25.11

#Mascara: 255.255.255.0

#Gateway: 192.168.25.1

#iflocal "eth1"

#IP: 10.0.0.1

#Mascara: 255.255.255.0

iptables -F INPUT

iptables -F OUTPUT

iptables -F FORWARD

iptables -P INPUT DROP

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A POSTROUTING -t nat -s 10.0.0.0/24 -d 0/0 -j MASQUERADE

iptables -A INPUT -s 127.0.0.1 -d 0/0 -j ACCEPT

iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

iptables -A INPUT -s 10.0.0.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j ACCEPT

iptables -A INPUT -s 10.0.0.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j RETURN

iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 110 -j ACCEPT

iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 143 -j ACCEPT

iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 25 -j ACCEPT

iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 587 -j ACCEPT

iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 21 -j ACCEPT

iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 80 -j ACCEPT

iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 443 -j ACCEPT

iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 22 -j ACCEPT

iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 23 -j ACCEPT

iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 137:139 -j ACCEPT

iptables -A INPUT -p UDP -s 10.0.0.0/24 -d 0/0 --dport 137:139 -j ACCEPT

iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 445 -j ACCEPT

iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 22 -j ACCEPT

iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 80 -j ACCEPT

 

Tente assim depois nos diga se funcionou.

não deu certo, o client continua não pingando o servidor, muito menos a internet...

Bom. Vamos refazer tudo por partes.
Vou te passar a minha forma de fazer, ai você adapta ao seu modo.

1 - Editar o arquivo /etc/rc.local

sh /etc/init.d/firewall.sh



exit 0

 

2 - Criar o arquivo /etc/init.d/firewall.sh

#!/bin/sh -e



echo "# Limpando regras anteriores."

iptables -F

iptables -X

iptables -Z

iptables -F INPUT

iptables -F OUTPUT

iptables -F FORWARD

iptables -F -t nat

iptables -X -t nat

iptables -F -t mangle

iptables -X -t mangle



echo "# Configuracao de interfaces."

IP_range=192.168.0.0/24 # Faixa de IP.

WAN_iface=eth0 # Conexao com a internet.

LAN_iface=eth1 # Conexao com a rede interna.



echo "1" > /proc/sys/net/ipv4/ip_forward



echo "# Mascaramento."

iptables -t nat -A POSTROUTING -s $IP_range -o $WAN_iface -j MASQUERADE



exit 0;



 

3 - Rode o seguinte comando para dar permissão ao arquivo de firewall

chmod +x /etc/init.d/firewall.sh

 

4 - Verifique se o seu arquivo /etc/network/interfaces esta configurado parecido com este:

# This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).



# The loopback network interface

auto lo

iface lo inet loopback



# The primary network interface

auto eth0

iface eth0 inet static

address 192.168.1.2

netmask 255.255.255.0

broadcast 192.168.1.255

gateway 192.168.1.200



# The secondary network interface

auto eth1

iface eth1 inet static

address 192.168.0.1

netmask 255.255.255.0

broadcast 192.168.0.255

 

5 - Reinicie o seu servidor.

OBS: Neste modelo, a eth0 é a placa que recebe a internet e a eth1 e a que manda a internet para a rede local.
Faça assim, caso funcione, ai sim você passa para implementar mais detalhes no codigo do firewall.
Não esqueça de colocar ip fixo nas estações, pois você ainda não configurou o DHCP para que elas pequem ip dinamicamente.

sem conectividade ou ping, fiz exatamente o que escreveu, e continuo sem ping, uma dúvida, como ficaria a config da eth0 do meu client? o meu ficou assim:
auto eth0
iface eth0 inet static
address 10.0.0.2
netmask 255.255.255.0
broadcast 10.0.0.255

agora deu certo, consigo pingar no 10.0.0.1 que é a eth1 do servidor, mas estou sem conectividade no client, nem apt-get update

No servidor Linux tem acesso normal a internet?

faz um ping no servidor para um site ex: www.google.com.br e depois para um ip ex: 173.194.118.191

Como é tudo virtualizado, a eth0 precisa ser configurada como Bridge ou NAT.
Prefiro usar Bridge. Depois, a eth1 como Rede Interna. As estações todas como Rede Interna e todas com ip fixado.

Ex:

# This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

 

# The loopback network interface

auto lo

iface lo inet loopback

 

# The primary network interface

auto eth0

iface eth0 inet static

address 192.168.1.2

netmask 255.255.255.0

broadcast 192.168.1.255

gateway 192.168.1.200

 

O ping pelo servidor está normal seja para google ou por ip, e os micros virtuais estão assim como disses, a eth0 do servidor está como bridge a eth 1 rede interna, e a eth0 do client esta como rede interna.
Fico na duvida sobre os route -n se fiz certo, se era necessário fazer, e como seria o correto.

galera é o seguinte, o meu clinet de ip 10.0.0.7 se conecta na eth1 do server 10.0.0.1 que este server tem a eth0 em 192.168.25.11, meu server tem conexão com a internet porem com o client eu consigo pingar a eth1 e eth0 do server porém não tenho conectividade, alguém pode me ajudar?

Bom dia Kazz

Poste por favor os arquivos:

/etc/network/interfaces
/etc/rc.local
/etc/init.d/firewall.sh

Me diga também qual a versão do seu Ubuntu.

ubuntu 12.04 LTS server 32 bit

/etc/network/interfaces

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.25.11
netmask 255.255.255.0
broadcast 192.168.25.255
gateway 192.168.25.1

# The secondary network interface
auto eth1
iface eth1 inet static
address 10.0.0.1
netmask 255.255.255.0
broadcast 10.0.0.255

/etc/rc.local

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

"obs: eu uso as config do firewall no /etc/rc.firewall e não no /etc/init.d/firewall.sh não sei se tem alguma diferença"
/etc/rc.firewall
#ifinternet "eth0"
#Configuração de rede WAN
#IP: 192.168.25.11
#Mascara: 255.255.255.0
#Gateway: 192.168.25.1
#iflocal "eth1"
#IP: 10.0.0.1
#Mascara: 255.255.255.0
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -s 10.0.0.0/24 -d 0/0 -j MASQUERADE
iptables -A INPUT -s 127.0.0.1 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -t filter -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -s 10.0.0.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j ACCEPT
iptables -A INPUT -s 10.0.0.0/24 -p icmp --icmp-type echo-request -m limit --limit 10/s -j RETURN
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 110 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 143 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 25 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 587 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 80 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 443 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 22 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -p tcp -d 0/0 --dport 23 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p UDP -s 10.0.0.0/24 -d 0/0 --dport 137:139 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 445 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p TCP -s 10.0.0.0/24 -d 0/0 --dport 80 -j ACCEPT

Diego-Garcia, muito obrigado cara, valeu, eu instalei um novo do zero com as suas dicas e funcionou, obrigado!