firewall no Debian 6.0.3 [RESOLVIDO]

DMS_
(usa elementary OS)

Enviado em 10/01/2012 - 17:28h

Exemplifica qual é a interface externa cuja esta configurada em DHCP, e qual é a interface interna, cuja está configurada com algum range de ip.

A que está em DHCP é a que recebe a internet da rua, a a com ip fixo, deve ser a da rede local, conectada a algum swicht. Você tem que identificar isso primentamente!

Posta o seu arquivo /etc/network/inerfaces.

removido
(usa Nenhuma)

Enviado em 10/01/2012 - 17:28h

Cara tem certeza que as estações estão com a configuração de gateway e dns corretas.

tem algum servidor de dns na rede e o gateway que as estações estão usando é qual ?

rubens_web
(usa Debian)

Enviado em 10/01/2012 - 17:33h

Não sei o que está acontecendo, pelo servidor consigo pingar para fora e para dentro da rede, consigo até através de outro link acessar o servidor via PUTTY.

De um PC da rede interna pingo normalmente o servidor, o servidor pinga qualquer PC na minha rede interna.

O que está faltando? lembrando estou usando a distribuição DEBIAN 6.0.3

P.S.
Posta ai seu contato para agente conversar amanha via MSN. Pois está crítico minha situação. Todos usuários estao utilizando o link bkp, porém nao tem servidor nenhum (a rede está livre para os usuários).

Estou partindo por hoje!

Até amanhã cedo amigo...

DMS_
(usa elementary OS)

Enviado em 10/01/2012 - 17:35h

Tem certeza que tem essas linhas no seu script???

	modprobe iptable_nat

	echo 1 > /proc/sys/net/ipv4/ip_forward

	iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 

Eu pelo menos não vi! Tem que ativar o módulo nat!
Qual faixa de ips da sua LAN ae, e qual ip da eth local?

rubens_web
(usa Debian)

Enviado em 10/01/2012 - 17:37h

Sim tem sim!

DMS_
(usa elementary OS)

Enviado em 10/01/2012 - 17:53h

Experimenta colocar essas regras bem no começo do seu firewall. Ou melhor, tente usa\r isso:
Configure eth0 e eth1 de acordo como estiver ai.

#! /bin/bash



iniciar(){



//eth0 rede externa

//eth1 rede local





### Política padrão:

	echo "Politica padrão ativada"

	iptables -t filter -P INPUT DROP

	iptables -t filter -P OUTPUT ACCEPT

	iptables -t filter -P FORWARD DROP

 

 



### Ativando compartilhamento de Internet

	echo "Compartilhamento Ativado"

	modprobe iptable_nat

	echo 1 > /proc/sys/net/ipv4/ip_forward

	iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE



}

parar(){

	iptables -F

	iptables -P INPUT ACCEPT

	iptables -P OUTPUT ACCEPT

echo "########## Regras de Firewall desativadas  ###########"

}



case "$1" in

	"start") iniciar ;;

	"stop") parar ;;

	"restart") parar; iniciar ;;

	*) echo "Use os parâmetros start, stop ou restart"

esac



 

Tenta testar com esse script básico, cara, a primeira coisa a fazer, é testar o compartilhamento de internet, feito isso, você vai adicionando as demais regras, por que se não, fica isso ai, você com um problema, com um script gigante para analisarmos.
Tente navegar em alguma estação com este script, caso não funcione, comente as linhas da politica padrão para testes,

[]'s

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 08:06h

Minha eth0 é a LOCAL e eht1 INTERNET.
A eth0 recebe a faixa de ip 192.168.1.50 e eth1 é ip fixo (link dedicado, vai direto para placa. Eu já usava estas configurações no mesmo servidor quando estava com o Debian 5 agora com o 6 que nao está roteando de uma placa para outra a internet.

Como eu disse anteriormente, pelo servidor consigo pingar fora e dentro da rede!

**Irei configurar tudo novamente "firewall.sh" e "interfaces" e posto aqui os resultados!!!

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 08:36h

#/etc/init.d/firewall.sh
-------------------------------------------------------

#! /bin/sh

### BEGIN INIT INFO
# Provides: Firewallbit
# Required-Start: $network $syslog
# Required-Stop: $network
# Default-Start: 2 3 5
# Default-Stop: 0 1 6
# Description: Start or stop the Firewallbit server
### END INIT INFO

# ------------------------------------------------------

#! /bin/bash

start(){
echo "Firewall iniciando ....................... [OK]";
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

# eht0 = redelocal (onboard)
# eth1 = web (offboard)


##########POLITICA PADRAO
#-------------------------
echo "Politica padrao ativada";
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#-------------------------


##########HABILITANDO COMPARTILHAMENTO DA INTERNET
#---------------------------------------------------
echo "Compartilhamento Ativado";
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
#---------------------------------------------------

##########LIBERA PORTAS
#---------------------------------------------------
#LIBERA SSH (PUTTY)
echo "Portas ssh liberadas";
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
#---------------------------------------------------

echo "Firewall ativado! ........................ [OK]";
}


stop (){
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

#Politica padrao
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

echo "Firewall desativado .............................. [OK]";
}


case "$1" in
"start") start ;;
"stop") stop ;;
"reload") stop; start ;;
*)
echo "Use parametros start | stop | reload" ;;

esac

#------------------------------------------------------------------------

-------------------------
#/etc/network/interfaces
-------------------------

auto lo
iface lo inet loopback

##########INTERFACE REDE LOCAL (onboard)
auto eth0
iface eth0 inet static
address 192.168.1.50
netmask 255.255.255.0

##########INTERFACE FIBRA (MEGATELECOM)
auto eth1
iface eth1 inet static
address xxx.xxx.xx.xx
netmask 255.255.255.248
gateway xxx.xxx.xx.xx

##########DNS FIBRA
dns-nameservers xxx.xxx.xx.xx xxx.xxx.xx.xx

#---------------------------------------------------------------------------


************* Reiniciei o servidor mas NÃO funcionou!

removido
(usa Nenhuma)

Enviado em 11/01/2012 - 09:04h

fala amigo,

bom dia, os navegadores e outros programas nas estações de trabalho estão configurados para acessar via proxy ?

Se estiverem faz um teste fazendo com que uma ou duas estações não usem a configuração do proxy nos navegadores e ou outros programas e executa no terminal os comandos abaixo:

# modprobe iptable_nat
# iptables -F
# iptables -t nat -F

# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE e se não funcionar assim deixe assim: # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# iptables -A FORWARD -i eth0 -j ACCEPT

Depois disso veja se as estações conseguem navegar.

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 09:25h

Bom dia eabreu...
Então deu uma clariada aqui. Com este script que eu acabei de postar ai eu mudei para as politicas tudo ACCEPT e no PC do usuário pinguei o site da UOL pelo IP funcionou, mas pelo nome nao!!

O PC do usuário nao está resolvendo os nomes. Mas estranho também que se eu colocar o IP da UOL no navegador ele nao abre o site.

O PC está tudo OK pois quando eu configuro o gateway para sair em um outro link funfa normal, ai quando eu mudo o gataway do mesmo PC para o servidor DEBIAN 6 para tudo!

removido
(usa Nenhuma)

Enviado em 11/01/2012 - 09:28h

Mas os programas ainda estão configurados para acessar via proxy ?

Navegadores entre outros ?

Está falando do script que coloquei acima ?

DMS_
(usa elementary OS)

Enviado em 11/01/2012 - 09:41h

As estações estão com proxy configurado?
Se sim, falta você redireciona requisição da porta 80 para porta do seu proxy! Talvez seja isso por que as estações não estão funcionando... Agora, do servidor você consegue navegar normalmente?