firewall no Debian 6.0.3 [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 10/01/2012 - 16:00h

Verifica as configurações de dns das máquinas ou algumas delas;

deixa somente as regras mencionadas por você mesmo e deixa as regras padrões como ACCEPT:

execute no terminal os comandos abaixo:

iptables -F

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE

e tenta navegar assim nas estações.

rubens_web
(usa Debian)

Enviado em 10/01/2012 - 16:12h

Executei, mas ainda NAO navega.

Do PC do usuário consegue pingar para o servidor que tem ip 192.168.1.XX, mas NÃO pinga para fora!
O que está acontecendo?

rubens_web
(usa Debian)

Enviado em 10/01/2012 - 16:26h

Qual necessariamente deve estar configurado as disposições das placas de rede em relação ao firewall.
Tem alguma regra para isso?

pois no meu caso a ETH0 é a rede local (onboard)
e a ETH1 é a internet (offboard)

removido
(usa Nenhuma)

Enviado em 10/01/2012 - 16:30h

Bom amigo vamos fazer algumas verificações....

1º - o Módulo iptable_nat foi carregado ?

# lsmod |grep -i iptable

posta o resultado do comando

2º - o comando echo 1 > /proc/sys/net/ipv4/ip_forward foi executo como root ?

# cat /proc/sys/net/ipv4/ip_forward

Posta ai a saida desse comando

3º - seu script estava funcionando antes ?


Bom... e por ultimo faz o que descrevo abaixo e executa tudo como root:

# modprobe iptable_nat
# iptables -F
# iptables -t nat -F

# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE e se não funcionar assim deixe assim: # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# iptables -A FORWARD -i eth0 -j ACCEPT


veja se consegue a agora e responde as perguntas feitas anteriormente...

rubens_web
(usa Debian)

Enviado em 10/01/2012 - 16:52h

segue dados

.
.
.
.
.
.
.
.
.
1º Está sim carregado o módulo
------------------------------------------------------------------------------------
root@dhcpserver:~# lsmod |grep -i iptable

iptable_mangle 2325 0
iptable_nat 3551 1
nf_nat 10568 2 ipt_MASQUERADE,iptable_nat
nf_conntrack_ipv4 7597 3 iptable_nat,nf_nat
nf_conntrack 38075 4 ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4
iptable_filter 1790 1
ip_tables 7706 3 iptable_mangle,iptable_nat,iptable_filter
x_tables 8327 4 xt_tcpudp,ipt_MASQUERADE,iptable_nat,ip_tables

root@dhcpserver:~#
--------------------------------------------------------------------------------------


2º Foi sim executado como ROOT
-------------------------------------------------------
root@dhcpserver:~# cat /proc/sys/net/ipv4/ip_forward

1

root@dhcpserver:~#
-------------------------------------------------------

3° Segui os passos 2X com a devida alteração em cada teste do POSTROUTING e nao funcionou!

removido
(usa Nenhuma)

Enviado em 10/01/2012 - 17:03h

posta ai as rotas do servidor que roda o firewall:

# route -n

rubens_web
(usa Debian)

Enviado em 10/01/2012 - 17:08h

root@dhcpserver:~# route -n
Tabela de Roteamento IP do Kernel
Destino -------- Roteador ------- MáscaraGen. ---- Opções -Métrica - Ref --- Uso-Iface
XXX.XXX.XX.XX -- 0.0.0.0 -------- 255.255.255.248 - U ----------- 0 ----- 0 ----- 0 - eth1
192.168.1.0 ---- 0.0.0.0 -------- 255.255.255.0 --- U ----------- 0 ----- 0 ----- 0 - eth0
0.0.0.0 -------- XXX.XXX.XX.XX -- 0.0.0.0 --------- UG ---------- 0 ----- 0 ----- 0 - eth1
root@dhcpserver:~#
#---------------------------------------------------------------------------------

X = MEU_IP_FIXO

O que é ou o que deve ser este IP "192.168.1.0"??

rubens_web
(usa Debian)

Enviado em 10/01/2012 - 17:16h

opa... ERRO:
onde eu citei que é o meu IP_FIXO na verdade apareceu com o final xxx.xxx.xx.56 sendo que o meu IP_FIXO tem final "xxx.xxx.xx.58"

DMS_
(usa elementary OS)

Enviado em 10/01/2012 - 17:16h

Pareçe que você não ativou o módulo nat para as estações, talvez seja isso?

echo "Compartilhamento Ativado"

	modprobe iptable_nat

	echo 1 > /proc/sys/net/ipv4/ip_forward

	iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

 

Acima eth0 é a rede externa, caso ai seja diferente basta alterar, ou jogar a placa de rede em uma variável, é bem melhor também. Há muitas receitinhas de bolo na net com scripts feitos, mas sugiro ler sobre a estrutura do iptables, aqui no VOL mesmo tem um artigo muito bom http://www.vivaolinux.com.br/artigo/Estrutura-do-Iptables

Espero que tenha ajudado
[]'s

removido
(usa Nenhuma)

Enviado em 10/01/2012 - 17:21h

adiciona uma rota no teu servidor:

# route add -host ipfixo da internet dev eth1

Adiciona em uma estação de trabalho a seguinte só para teste:

# route add -host ipfixo da internet do servidor gw ip interno do servidor netmask mascara do ip interno do servidor dev placa que se conecta a rede

rubens_web
(usa Debian)

Enviado em 10/01/2012 - 17:25h

Estes comandos já estão no firewall.sh.
Mesmo assim nao está funcionando, como eu disse em uma pergunta anterior!

Existe uma regra de que a eth0 deve ser a de internet? pois a minha de internet é a eth1.

removido
(usa Nenhuma)

Enviado em 10/01/2012 - 17:26h

Não, pois quem recebe a conexão da internet de acordo com suas informações é eth1.