Não consigo liberar portas no iptables debiano..

guina-rp
(usa Debian)

Enviado em 02/02/2017 - 21:03h

Pessoal tenho esse script abaixo não consigo liberar portas como 4000 5060 de 10000 a 20000 olha o script abaixo o que pode estar barrando ou não deixando liberar portas
===================
#!/bin/bash

# Interface da Internet
internet="eth1"

# Interface da Rede local
local="eth2"

iniciar(){
#Compartilha a internet
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $internet -j MASQUERADE

#Verificar...

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP

#F
route add -net 192.168.2.0/24 gw 192.168.1.11

#Bloqueia o ping
#iptables -A INPUT -p icmp -j DROP

#Libera
iptables -A INPUT -p tcp --dport 21 -d 192.168.1.3 -j ACCEPT
iptables -t nat -A PREROUTING -i $internet -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.3:21

#Libera consulta DNS ao servidor
iptables -t filter -A INPUT -p udp --dport 53 -d 192.168.1.1 -s 192.168.1.0/24 -j ACCEPT

#Abre uma faixa de endereços de rede local - Com a interface local
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -i $local -j ACCEPT

#Libera o trefeto da interface de rede local
iptables -A INPUT -i $local -j ACCEPT

#Permite o loopback utilizado por programas KDE
iptables -A INPUT -i lo -j ACCEPT

#Bloqueia novas conexões vindas de fora (como ssh que ficou aberto)
iptables -A INPUT -p tcp --syn -j DROP

#Encaminhamento TS
iptables -t nat -A PREROUTING -i $internet -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.23:3389
iptables -t nat -A POSTROUTING -o $local -j MASQUERADE


### Politicas ###

#Altera a politica como bloqueio nas tabelas filter
#iptables -t filter -P INPUT DROP
#iptables -t filter -P FORWARD DROP
#iptables -t filter -P OUTPUT DROP

#Altera a politica como bloqueio nas tabelas nat
#iptables -t nat -P PREROUTING DROP
#iptables -t nat -P INPUT DROP
#iptables -t nat -P OUTPUT DROP
#iptables -t nat -P POSTROUTING DROP

#Altera a politica como bloqueio nas tabelas mangle
#iptables -t mangle -P PREROUTING DROP
#iptables -t mangle -P INPUT DROP
#iptables -t mangle -P FORWARD DROP
#iptables -t mangle -P OUTPUT DROP
#iptables -t mangle -P POSTROUTING DROP

}

parar(){
iptables -F
iptables -F -t nat
echo "Limpando chains"
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar;;
*) echo "start ou stop"
esac

souzacarlos
(usa Outra)

Enviado em 02/02/2017 - 22:38h

Boa noite
Primeira vc precisa se achar
Pra que essas esse POLICE desse jeito, vc definiu o POLICE geral como DROP

### Politicas ###
#Altera a politica como bloqueio nas tabelas filter
#iptables -t filter -P INPUT DROP
#iptables -t filter -P FORWARD DROP
#iptables -t filter -P OUTPUT DROP

Mas... Também criou regras de DROP, pra que, se o POLICE default era negar, entendeu?
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP


Justifique pra mim porque vc precisa definir o POLICE default desssas CHAINS como DROP
#Altera a politica como bloqueio nas tabelas nat
#iptables -t nat -P PREROUTING DROP
#iptables -t nat -P INPUT DROP
#iptables -t nat -P OUTPUT DROP
#iptables -t nat -P POSTROUTING DROP

#Altera a politica como bloqueio nas tabelas mangle
#iptables -t mangle -P PREROUTING DROP
#iptables -t mangle -P INPUT DROP
#iptables -t mangle -P FORWARD DROP
#iptables -t mangle -P OUTPUT DROP
#iptables -t mangle -P POSTROUTING DROP

Antes de tentar buscar o problema com as portas vc precisa entender tua regras
Última >>
Pra que definir o POLICE de OUTPUT como DROP, se devido ao resto de suas regras tudo tá DROP, não faz sentido, uma vez que o tráfego está sendo gerado na própria máquina.
#iptables -t filter -P OUTPUT DROP

Network Analyst
contact skype: carlossouzainfo

n4t4n
(usa Arch Linux)

Enviado em 02/02/2017 - 22:59h

O Guia Foca é um bom começo. Bem esclarecedor.

http://www.guiafoca.org/cgs/guia/avancado/ch-fw-iptables.html

guina-rp
(usa Debian)

Enviado em 03/02/2017 - 11:58h

Sousa então esse script já estava aqui na empresa quando entrei, obrigado pelas observações

guina-rp
(usa Debian)

Enviado em 03/02/2017 - 12:00h

Souza essas regras # não está usando

souzacarlos
(usa Outra)

Enviado em 03/02/2017 - 14:07h

Boa tarde
Desculpe, não tinha se atentado a isso, perdão
Mas cade as regras que tratam das portas q vc quer liberar?

Network Analyst
contact skype: carlossouzainfo

guina-rp
(usa Debian)

Enviado em 03/02/2017 - 20:27h

boa noite Carlos, então as regras que estou tentando usar para abrir as portas são essas,

iptables -A INPUT -p udp --dport 5060 -j ACCEPT

iptables -A FORWARD -p udp --sport 5060 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp --dport 5060 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp --sport 10000:20000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp --dport 10000:20000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

souzacarlos
(usa Outra)

Enviado em 03/02/2017 - 22:02h

Boa noite
Eu não usuaria < --state NEW,ESTABLISHED,RELATED -j ACCEPT > para tratar somente porta de origem e destino as possibilidades são bem maiores. Agora, vc tá esquecendo das funções do NAT, vale lembrar que em conexão vindas da Internet por exemplo antes de vc decidir oq vai vai fazer na Chain FORWARD isso tem que ser redirecionado no NAT. Ai vc só está garantido que pode passar, mas ainda não disse pra onde ele pode ir!



Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

guina-rp
(usa Debian)

Enviado em 06/02/2017 - 08:38h

Bom dia, Carlos e como coloco a função NAT nessa portas ai que citei.obrigado

souzacarlos
(usa Outra)

Enviado em 06/02/2017 - 11:49h

Bom dia.
Cara tá cheio dessas regras aqui no fórum mas vamos lá
Exemplo de regra de NAT

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5060 -j DNAT --to-destination 10.0.4.2:5060

Deu pra entender?

Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)