regra iptables não funciona

3str4da
(usa Arch Linux)

Enviado em 12/07/2011 - 22:37h

Pessoal.
Tenho um servidor aqui com iptables/squid (proxy transparente).
Estou com uma rede interna ip da classe c, nessa rede tem um access point.
Criei uma regra para o iptables não deixar uma maquina acessar o access point mas não está tendo efeito.

Segue meu iptables:

echo 1 > /proc/sys/net/ipv4/ip_forward
#
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Limite contra ping da morte e DoS
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j DROP

# Liberando portas SSH a partir de qualquer interface
iptables -A INPUT -p tcp --dport 2233 -j ACCEPT


iptables -A INPUT -p tcp --dport 3128 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 123 -i eth0 -j ACCEPT
iptables -A INPUT -p udp --dport 123 -i eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.10.0/255.255.255.0 -o ppp0 -j MASQUERADE

# Jogando tráfego da porta 80 para o SQUID TRANSPARENT
iptables -t nat -A PREROUTING -s 192.168.10.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128


#Acesso RDP Maquina Windows
iptables -A FORWARD -p tcp --dport 3389 -d ppp0 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to 192.168.10.10


A regra que usei para bloquear o ip foiu a segunte:
iptables -A FORWARD -s 192.168.10.14 -d 192.168.10.5 -j DROP

A Regra para redirecionar a porta 3389 também não funciona.

Alguém pode me dar uma luz?

renato_pacheco
(usa Debian)

Enviado em 12/07/2011 - 23:03h

Tente especificar a interface d rede:

iptables -A FORWARD -i eth0 -s 192.168.10.14 -d 192.168.10.5 -j DROP

E retorne o resultado. Sobre o seu redirecionamento verifique a regra d FORWARD. Acho q tem algo errado. O certo seria:

iptables -A FORWARD -i ppp+ -p tcp --dport 3389 -j ACCEPT

3str4da
(usa Arch Linux)

Enviado em 12/07/2011 - 23:15h

Tentei das duas formas, e nada.
O pior é que tenho certeza que está certo.
Vou ficar maluco rsrsr

renato_pacheco
(usa Debian)

Enviado em 12/07/2011 - 23:18h

Coloque as regras abaixo:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Depois das regras d bloqueio q vc fez, só para testar.

3str4da
(usa Arch Linux)

Enviado em 12/07/2011 - 23:26h

Coloquei as regras e continua a mesma coisa.
Deixei a regra só de mascaramento da rede e a de redirecionamento para a porta 3128 do squid e mesmo assim nada

renato_pacheco
(usa Debian)

Enviado em 12/07/2011 - 23:33h

Se não tá funcionando, tem alguma coisa errada com a ligação entre o firewall e essas máquinas. Como a sua rede está interligada?

3str4da
(usa Arch Linux)

Enviado em 12/07/2011 - 23:37h

servidor com duas placas, uma conectada ao modem e a outra com o ip 192.168.10.1 conectado ao swith
esse servidor está rodando o squid/iptables e dhcp.

ps o ip que quero bloquear o acesso é do access point.
Não sei qul o erro.

renato_pacheco
(usa Debian)

Enviado em 12/07/2011 - 23:44h

Deixa eu entender: a máquina encontra-se no AP ou é o próprio AP q vc tá tentando bloquear? Agora fiquei confuso.

3str4da
(usa Arch Linux)

Enviado em 12/07/2011 - 23:52h

minha maquina com ip 192.168.10.14 quero bloquear o acesso ao acces com ip 192.168.10.5
Lembrando que os dois estao no mesmo swith

O servidor consigo acessar externamente via ssh
porem não consigo direcionar para uma maquina windows via rdp 3389

renato_pacheco
(usa Debian)

Enviado em 13/07/2011 - 00:09h

Agora entendi. Então não tem como o firewall bloquear o tráfego, pq quando é solicitado o acesso de 192.168.10.14 para 192.168.10.5, o pacote não passa pelo firewall, apenas pelo switch.

O redirecionamento é outro problema. Tente dessa forma:

iptables -t nat -I PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to 192.168.10.10

3str4da
(usa Arch Linux)

Enviado em 13/07/2011 - 00:19h

Entendi.
quer dizer que os ips da rede interna não passa pelo server isso ?

O Redirecionamento para a maquina windows ainda não deu certo
o estranho é que pela rede interna acesso a maquina sem problema, até deixei firewall e atirus da maquina windows desligado para desencargo de conciencia.

renato_pacheco
(usa Debian)

Enviado em 13/07/2011 - 09:21h

Quando a comunicação é interna, não passa pelo firewall, só quando o pacote vai para a Internet. Agora sobre o redirecionamento, é muito estranho não dar certo. A regra tá certa... o q vc pode fazer é instalar o wireshark (ou usar o tcpdump) no firewall e analisar os pacotes pra v como anda a comunicação das máquinas.