Liberar MySQL no iptables

1. Liberar MySQL no iptables

Elder J Lenhsherr
elderjmp

(usa Debian)

Enviado em 29/12/2007 - 13:24h

Olá pessoal...

Estou com um problema para liberar no iptables o acesso ao mysql no meu servidor.
Tenho a seguinte situação: um servidor web com os ips AAA.AAA.AAA.AAA (acesso externo) e 192.168.254.3 (rede interna) e um servidor mysql com os ips BBB.BBB.BBB.BBB e 192.168.254.5. Os dois têem regras diferentes de firewall, a idéia foi bloquear tudo e liberar somente as portas dos serviços que utilizo em cada servidor.
Quando ativo o firewall do servidor web, a conexão com o banco de dados no servidor mysql funciona, mas quando, em seguida ativo o firewall do servidor mysql... o servidor web não consegue mais conexão com o banco de dados.
O CCC.CCC.CCC.CCC é o servidor DNS e o DDD.DDD.DDD.DDD é o computador que utilizo.
Segue abaixo as regras de firewall q estou usando... se alguém tiver passado pelo mesmo problema e puder me dar uma ajuda... Agradeço desde já...



############## SERVIDOR WEB ###################################
#!/bin/bash
#
#
echo "iptables -F"
iptables -F
# carregar modulos
echo "iniciando regras"
# carregar modulos
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_queue
modprobe ip_tables
modprobe ipt_LOG
modprobe ipt_MARK
modprobe ipt_MASQUERADE
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ipt_TCPMSS
modprobe ipt_TOS
modprobe ipt_limit
modprobe ipt_mac
modprobe ipt_mark
modprobe ipt_multiport
modprobe ipt_owner
modprobe ipt_state
modprobe ipt_tcpmss
modprobe ipt_tos
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
# politica padrao = negar tudo
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# interface loopback
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -d 127.0.0.1 -j ACCEPT
# cliente DNS
iptables -A OUTPUT -p udp -s AAA.AAA.AAA.AAA --sport 1024:65535 -d CCC.CCC.CCC.CCC --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s CCC.CCC.CCC.CCC --sport 53 -d AAA.AAA.AAA.AAA --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -p udp -s 192.168.254.3 --sport 1024:65535 -d 192.168.254.100 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.254.100 --sport 53 -d 192.168.254.3 --dport 1024:65535 -j ACCEPT
# cliente SMTP
iptables -A OUTPUT -p tcp -s AAA.AAA.AAA.AAA --sport 1024:65535 -d CCC.CCC.CCC.CCC --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s CCC.CCC.CCC.CCC --sport 25 -d AAA.AAA.AAA.AAA --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 1024:65535 -d 192.168.254.100 --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.100 --sport 25 -d 192.168.254.3 --dport 1024:65535 -j ACCEPT
# cliente MySQL
iptables -A OUTPUT -p tcp -s AAA.AAA.AAA.AAA --sport 1024:65535 -d BBB.BBB.BBB.BBB --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s BBB.BBB.BBB.BBB --sport 3306 -d AAA.AAA.AAA.AAA --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 1024:65535 -d 192.168.254.5 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.5 --sport 3306 -d 192.168.254.3 --dport 1024:65535 -j ACCEPT
# servidor FTP
iptables -A OUTPUT -p tcp -s AAA.AAA.AAA.AAA --sport 20 -d 0/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d AAA.AAA.AAA.AAA --dport 20 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 20 -d 0/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.3 --dport 20 -j ACCEPT
iptables -A OUTPUT -p tcp -s AAA.AAA.AAA.AAA --sport 21 -d 0/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d AAA.AAA.AAA.AAA --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 21 -d 0/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.3 --dport 21 -j ACCEPT
# servidor HTTP/HTTPS
iptables -A OUTPUT -p tcp -s AAA.AAA.AAA.AAA --sport 80 -d 0/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d AAA.AAA.AAA.AAA --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 80 -d 0/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.3 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -s AAA.AAA.AAA.AAA --sport 443 -d 0/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d AAA.AAA.AAA.AAA --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 443 -d 0/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.3 --dport 443 -j ACCEPT
# servidor MySQL
iptables -A OUTPUT -p tcp -s AAA.AAA.AAA.AAA --sport 3306 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d AAA.AAA.AAA.AAA --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 3306 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.3 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
# servidor SSH
iptables -A OUTPUT -p tcp -s AAA.AAA.AAA.AAA --sport 22 -d DDD.DDD.DDD.DDD --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s DDD.DDD.DDD.DDD --sport 1024:65535 -d AAA.AAA.AAA.AAA --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 22 -d 192.168.254.99 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.99 --sport 1024:65535 -d 192.168.254.3 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 22 -d 192.168.254.87 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.87 --sport 1024:65535 -d 192.168.254.3 --dport 22 -j ACCEPT
# atualização
iptables -A OUTPUT -d 212.211.132.250 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d 212.211.132.32 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d 128.31.0.36 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d 200.17.202.1 -p tcp --dport 80 -j ACCEPT
###############################################################




############## SERVIDOR MYSQL #################################
#!/bin/bash
#
#
echo "iptables -F"
iptables -F
# carregar modulos
echo "iniciando regras"
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_queue
modprobe ip_tables
modprobe ipt_LOG
modprobe ipt_MARK
modprobe ipt_MASQUERADE
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ipt_TCPMSS
modprobe ipt_TOS
modprobe ipt_limit
modprobe ipt_mac
modprobe ipt_mark
modprobe ipt_multiport
modprobe ipt_owner
modprobe ipt_state
modprobe ipt_tcpmss
modprobe ipt_tos
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
# politica padrao = negar tudo
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# liberando ping a partir do servidor
iptables -A OUTPUT -p icmp --icmp-type 8 -s BBB.BBB.BBB.BBB -d 0/0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.254.5 -d 0/0 -j ACCEPT
# interface loopback
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -d 127.0.0.1 -j ACCEPT
# cliente DNS
iptables -A OUTPUT -p udp -s BBB.BBB.BBB.BBB --sport 1024:65535 -d CCC.CCC.CCC.CCC --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s CCC.CCC.CCC.CCC --sport 53 -d BBB.BBB.BBB.BBB --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -p udp -s 192.168.254.5 --sport 1024:65535 -d 192.168.254.100 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.254.100 --sport 53 -d 192.168.254.5 --dport 1024:65535 -j ACCEPT
# cliente SMTP
iptables -A OUTPUT -p tcp -s BBB.BBB.BBB.BBB --sport 1024:65535 -d CCC.CCC.CCC.CCC --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s CCC.CCC.CCC.CCC --sport 25 -d BBB.BBB.BBB.BBB --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 1024:65535 -d 192.168.254.100 --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.100 --sport 25 -d 192.168.254.5 --dport 1024:65535 -j ACCEPT
# servidor HTTP/HTTPS
iptables -A OUTPUT -p tcp -s BBB.BBB.BBB.BBB --sport 80 -d 0/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d BBB.BBB.BBB.BBB --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 80 -d 0/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.5 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -s BBB.BBB.BBB.BBB --sport 443 -d 0/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d BBB.BBB.BBB.BBB --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 443 -d 0/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.5 --dport 443 -j ACCEPT
# servidor MySQL
iptables -A OUTPUT -p tcp -s BBB.BBB.BBB.BBB --sport 3306 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d BBB.BBB.BBB.BBB --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 3306 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.5 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
# servidor SMTP
iptables -A OUTPUT -p tcp -s BBB.BBB.BBB.BBB --sport 25 -d 0/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d BBB.BBB.BBB.BBB --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 25 -d 0/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.5 --dport 25 -j ACCEPT
# servidor SSH
iptables -A OUTPUT -p tcp -s BBB.BBB.BBB.BBB --sport 22 -d DDD.DDD.DDD.DDD --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s DDD.DDD.DDD.DDD --sport 1024:65535 -d BBB.BBB.BBB.BBB --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 22 -d 192.168.254.99 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.99 --sport 1024:65535 -d 192.168.254.5 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 22 -d 192.168.254.87 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.87 --sport 1024:65535 -d 192.168.254.5 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 22 -d 192.168.254.83 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.83 --sport 1024:65535 -d 192.168.254.5 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 22 -d 192.168.254.82 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.82 --sport 1024:65535 -d 192.168.254.5 --dport 22 -j ACCEPT
# atualização
iptables -A OUTPUT -d 212.211.132.250 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d 212.211.132.32 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d 128.31.0.36 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d 200.17.202.1 -p tcp --dport 80 -j ACCEPT
###############################################################


--
Elder
LINUX USER #422378
[Debian GNU/Linux]


  






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts