limaobr
(usa Debian)
Enviado em 09/08/2009 - 23:50h
Pessoal, configurei um firewall com o script abaixo. Aconteceu algo que nunca tinha visto...Ele simplesmente se comporta de maneira estranha...ignora as regras...por exemplo. Um simples forward da porta 3389 para um micro local, se reinciar o micro, funciona alguns segundos, depois disso não funciona mais. Dá a impressão de que quando o rc.local roda o script de firewall ele perde as conf. e para de funcionar. Ou deve ser bobeira minha no script...alguém pode ajudar?? abração!
PS: Distro Debian, Kernel 2.6.26-17, iptables 1.4.2
Segue o script:
modprobe ip_nat_pptp
modprobe ip_conntrack_pptp
modprobe ip_nat_pptp
modprobe ip_gre
INTERNET_IP=200.179.98.74
INTERNET_CLASS=200.179.98.72/255.255.255.248
INTERNAL_IP=192.168.2.1
INTERNAL_CLASS=192.168.2.0/24
INTERNET_ETH=eth0
INTERNAL_ETH=eth1
case $1 in start)
iptables -F
iptables -Z
iptables -t nat -F
iptables -t filter -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -s $INTERNAL_CLASS -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
# Bloquear apache e squid para internet
iptables -A INPUT -p tcp --dport 80 -i $INTERNET_ETH -j DROP
iptables -A INPUT -p tcp --dport 3128 -i $INTERNET_ETH -j DROP
# Liberando acessos da rede interna
iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 3389 -j ACCEPT
iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 9875 -j ACCEPT
iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 8017 -j ACCEPT
iptables -A FORWARD -d $INTERNAL_CLASS -p tcp --dport 8017 -j ACCEPT
# Emails
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
# Forward
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
# Libera Acesso da VPN do Siagri
echo " Liberando VPN SIAGRI [OK]"
VPNSERVER=200.163.51.83
iptables -t nat -A PREROUTING -p tcp --dport 1723 -j DNAT --to $VPNSERVER
iptables -t nat -A PREROUTING -p gre -j DNAT --to $VPNSERVER
# Redirects
iptables -t nat -A PREROUTING -i $INTERNET_ETH -p tcp --dport 9875 -j DNAT --to 192.168.2.5:9875
iptables -t nat -A PREROUTING -i $INTERNET_ETH -p tcp --dport 3389 -j DNAT --to 192.168.2.5:3389