http://www.zago.eti.br/firewall/iptables2.txt Este arquivo FAQ é continuação de iptables.txt, foram divididos para diminuir o tamanho do arquivo. Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux ***************************************************** ***************************************************** Subject: (linux-br) RES: (linux-br) NAT + roteador ADSL (tudo com IPTables) Andres, A segunda linha que me passou estah incorreta. O --to nao aceita uma interface (pelo menos no achei nada na documentação). Para fazer utilizei: iptables -A PREROUTING -t nat -i eth0 -j DNAT --to 10.100.100.254 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Isso funcionou ok. Documentado em http://netfilter.samba.org/documentation/HOWTO/pt/NAT-HOWTO.html Agora, uma outra dúvida, se você puder responder já. Eu gostaria que uma chamada para a porta 8080 (tomcat) fosse para outra máquina da minha rede. E agora? Luciano Macedo Rodrigues lucianor@aton.inf.ufrgs.br Ciência da Computação - UFRGS Linux user #189900 -----Mensagem original----- De: linux-br@bazar.conectiva.com.br [mailto:linux-br@bazar.conectiva.com.br]Em nome de Andres Enviada em: terça-feira, 15 de janeiro de 2002 18:58 Para: Luciano Macedo Rodrigues Cc: Linux-Br Assunto: Re: (linux-br) NAT + roteador ADSL (tudo com IPTables) Veja em http://wwwliptablesbr.cjb.net Não tenho certeza se isso que queres, vamos ver ... Enquanto isso podes pensar algo com redirecionar o que entra em determinada interface e redirecionar para outro endereça na tua rede ! iptables -A PREROUTING -t nat -i eth0 -j DNAT --to 10.100.100.254 iptables -A POSTROUTING -t nat -s 10.100.100.254/32 -j SNAT --to -o eth0 Assim não te preocuparias com o endereço real do 200.xxx.xxx..xxx que o DHCP reservou para teu Modem! Mas realmente não tenho certeza agora e me falta tempo para confirmar, fica como um bom chute(espero) ! Me confirme se essa sintaxe esta correta OK? É isso Andres ***************************************************** MAC ADRESS Vc pode colocar um servidor de DHCP determinando os ips para a wavelan e amarrar por mac adress. (é um pouco capengas). Mas vc pode abrir somente para os IP que agora estão amarrados por mac address Vc pode também colocar um firewall linux e no iptables vc pode parar conexões utilizando o mac: iptables -A FORWARD -p tcp --mac-source XX:XX:XX:XX:XX:XX --destination-port 80 -j MASQ iptables -A FORWARD -p tcp --destination-port 80 -j DROP onde: XX:XX:XX:XX:XX:XX substituir pelo MAC da máquina. Acho que é isto. Frederico Bertucci wrote: > Ae lista > > O problema eh o seguite, tem alguma maneira de bloquear/liberar no linux a > navegação através do mcaddress de cartões PCMCIA Orinoco e sansung, sei q em > AP's (lucent) e SWL's (sansung) isso é possível, uma vez q tenho uma rede > wireless, e em alguns pontos tenho bridges usando linux. ***************************************************** Obrigado a todos que me ajudaram com o redirecionamento de porta. Abaixo segue a regra que deu certo $IPT -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 23 -j DNAT --to $IP_INT Onde A Variavel $IP_EXT = O num do Ip da Web A variavel $IP_INT = O num do ip do servidor de FTP Obrigado ***************************************************** Tente usar como seu firewall rode ele na inicializacao.. modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ip_queue modprobe ip_tables modprobe ipt_LOG modprobe ipt_MARK modprobe ipt_MASQUERADE modprobe ipt_MIRROR modprobe ipt_REDIRECT modprobe ipt_REJECT modprobe ipt_TCPMSS modprobe ipt_TOS modprobe ipt_limit modprobe ipt_mac modprobe ipt_mark modprobe ipt_multiport modprobe ipt_owner modprobe ipt_state modprobe ipt_tcpmss modprobe ipt_tos modprobe ipt_unclean modprobe iptable_filter modprobe iptable_mangle modprobe iptable_nat #!/bin/sh ######################################### # Script created using EasyTables v0.8.4-3 # by Roi Dayan ######################################### printf "." IPC=/usr/sbin/iptables IF=eth0 IP=`/sbin/ifconfig $IF | grep inet | cut -d : -f 2 | cut -d \ -f 1` #MASK=`/sbin/ifconfig $IF | grep Mas | cut -d : -f 4` #NET=$IP/$MASK printf "." #Delete user made chains. Flush and zero the chains. $IPC -F $IPC -X $IPC -Z $IPC -t nat -F $IPC -t nat -X $IPC -t nat -Z #Creating custom chains. $IPC -N LDROP $IPC -A LDROP -p tcp -j LOG --log-level info --log-prefix "DROP " $IPC -A LDROP -p udp -j LOG --log-level info --log-prefix "DROP " $IPC -A LDROP -p icmp -j LOG --log-level info --log-prefix "DROP " $IPC -A LDROP -f -j LOG --log-level warning --log-prefix "DROP " $IPC -A LDROP -j DROP $IPC -N LREJECT $IPC -A LREJECT -p tcp -j LOG --log-level info --log-prefix "REJECT " $IPC -A LREJECT -p udp -j LOG --log-level info --log-prefix "REJECT " $IPC -A LREJECT -p icmp -j LOG --log-level info --log-prefix "REJECT " $IPC -A LREJECT -f -j LOG --log-level warning --log-prefix "REJECT " $IPC -A LREJECT -j REJECT $IPC -N LACCEPT $IPC -A LACCEPT -p tcp -j LOG --log-level info --log-prefix "ACCEPT " $IPC -A LACCEPT -p udp -j LOG --log-level info --log-prefix "ACCEPT " $IPC -A LACCEPT -p icmp -j LOG --log-level info --log-prefix "ACCEPT " $IPC -A LACCEPT -f -j LOG --log-level warning --log-prefix "ACCEPT " $IPC -A LACCEPT -j ACCEPT $IPC -N TREJECT $IPC -A TREJECT -p tcp -j REJECT --reject-with tcp-reset $IPC -A TREJECT -p ! tcp -j REJECT --reject-with icmp-port-unreachable $IPC -A TREJECT -j REJECT $IPC -N LTREJECT $IPC -A LTREJECT -p tcp -j REJECT --reject-with tcp-reset $IPC -A LTREJECT -p ! tcp -j REJECT --reject-with icmp-port-unreachable $IPC -A LTREJECT -p tcp -j LOG --log-level info --log-prefix "REJECT " $IPC -A LTREJECT -p udp -j LOG --log-level info --log-prefix "REJECT " $IPC -A LTREJECT -p icmp -j LOG --log-level info --log-prefix "REJECT " $IPC -A LTREJECT -f -j LOG --log-level warning --log-prefix "REJECT " $IPC -A LTREJECT -p tcp -j REJECT --reject-with tcp-reset $IPC -A LTREJECT -p ! tcp -j REJECT --reject-with icmp-port-unreachable $IPC -A LTREJECT -j REJECT printf "." #Modules to help certain services #/sbin/depmod -a >/dev/null 2>&1 #/sbin/modprobe ip_masq_ftp >/dev/null 2>&1 #/sbin/modprobe ip_masq_raudio >/dev/null 2>&1 #/sbin/modprobe ip_masq_irc >/dev/null 2>&1 #/sbin/modprobe ip_masq_icq >/dev/null 2>&1 #/sbin/modprobe ip_masq_quake >/dev/null 2>&1 #/sbin/modprobe ip_masq_user >/dev/null 2>&1 #/sbin/modprobe ip_masq_vdolive >/dev/null 2>&1 printf "." #Allow all traffic on the loopback interface (lo) $IPC -I INPUT -i lo -j ACCEPT $IPC -I OUTPUT -o lo -j ACCEPT $IPC -I INPUT -i ! lo -s 127.0.0.0/255.0.0.0 -j DROP printf "." #Allow connections with the ack bit set. #(They are from an established connections) $IPC -A INPUT -p tcp ! --syn -i $IF -j ACCEPT printf "." #Turn on source address verification in kernel if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f done fi printf "." #Turn on syn cookies protection in kernel if [ -e /proc/sys/net/ipv4/tcp_syncookies ] then echo 1 > /proc/sys/net/ipv4/tcp_syncookies fi printf "." #Set up kernel to handle dynamic IP masquerading if [ -e /proc/sys/net/ipv4/ip_dynaddr ] then echo 1 > /proc/sys/net/ipv4/ip_dynaddr fi printf "." #to enable ip MASQUERADE and automatic defragmention (for masquerading) echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/ip_always_defrag printf "." #timeouts #$IPC -M -S 14400 60 600 printf "." #Block nonroutable IPs $IPC -A INPUT -j DROP -s 10.0.0.0/32 -i $IF $IPC -A INPUT -j DROP -s 127.0.0.0/8 -i $IF $IPC -A INPUT -j DROP -s 172.16.0.0/12 -i $IF #$IPC -A INPUT -j DROP -s 192.168.0.0/16 -i $IF printf "." #Block Back Orifice $IPC -A INPUT -p tcp -i $IF --dport 31337 -j LDROP $IPC -A INPUT -p udp -i $IF --dport 31337 -j LDROP #Block NetBus $IPC -A INPUT -p tcp -i $IF --dport 12345:12346 -j LDROP $IPC -A INPUT -p udp -i $IF --dport 12345:12346 -j LDROP #Block Trin00 $IPC -A INPUT -p tcp -i $IF --dport 1524 -j LDROP $IPC -A INPUT -p tcp -i $IF --dport 27665 -j LDROP $IPC -A INPUT -p udp -i $IF --dport 27444 -j LDROP $IPC -A INPUT -p udp -i $IF --dport 31335 -j LDROP printf "." #Block Multicast $IPC -A INPUT -s 224.0.0.0/8 -d 0/0 -j DROP $IPC -A INPUT -s 0/0 -d 224.0.0.0/8 -j DROP printf "." #PortsRules #SMTP #$IPC -A INPUT -p tcp -i $IF --dport 25 -j LACCEPT #$IPC -A INPUT -p tcp -i $IF --dport 80 -j LACCEPT #$IPC -A INPUT -p tcp -i $IF --dport 22 -j LACCEPT #Rejecting (not denying) ident requests. $IPC -A INPUT -p tcp -i $IF --dport 113 -j TREJECT $IPC -A INPUT -p udp -i $IF --dport 113 -j TREJECT #Blocking access to the X Server ports. $IPC -A INPUT -p tcp -i $IF --dport 5999:6003 -j LDROP $IPC -A INPUT -p udp -i $IF --dport 5999:6003 -j LDROP $IPC -A INPUT -p tcp -i $IF --dport 7100 -j LDROP printf "." #Settings for internal interfaces (LAN) - Internet Connection Share. $IPC -A FORWARD -i $IF -j ACCEPT $IPC -A FORWARD -o $IF -j ACCEPT $IPC -t nat -A POSTROUTING -o $IF -j MASQUERADE printf "." printf "." #Settings for internal interfaces (LAN). InternalIP=`/sbin/ifconfig eth1 | grep inet | cut -d : -f 2 | cut -d \ -f 1` InternalMASK=`/sbin/ifconfig eth1 | grep Mas | cut -d : -f 4` InternalNET=$InternalIP/$InternalMASK $IPC -A INPUT -i eth1 -j ACCEPT $IPC -A OUTPUT -o eth1 -j ACCEPT $IPC -A INPUT -i ! eth1 -s $InternalNET -j DROP printf "." printf "." ### Custom rules should be added here ### ######################################### printf "." #Set telnet, www, smtp, pop3 and FTP for minimum delay #$IPC -A OUTPUT -p tcp -d 0/0 80 -t 0x01 0x10 #$IPC -A OUTPUT -p tcp -d 0/0 22 -t 0x01 0x10 #$IPC -A OUTPUT -p tcp -d 0/0 23 -t 0x01 0x10 #$IPC -A OUTPUT -p tcp -d 0/0 21 -t 0x01 0x10 #$IPC -A OUTPUT -p tcp -d 0/0 110 -t 0x01 0x10 #$IPC -A OUTPUT -p tcp -d 0/0 25 -t 0x01 0x10 $IPC -t mangle -A OUTPUT -p tcp --dport 21 -j TOS --set-tos Minimize-Delay $IPC -t mangle -A OUTPUT -p tcp --dport 22 -j TOS --set-tos Minimize-Delay $IPC -t mangle -A OUTPUT -p tcp --dport 23 -j TOS --set-tos Minimize-Delay $IPC -t mangle -A OUTPUT -p tcp --dport 80 -j TOS --set-tos Minimize-Delay $IPC -t mangle -A OUTPUT -p tcp --dport 110 -j TOS --set-tos Minimize-Delay $IPC -t mangle -A OUTPUT -p tcp --dport 25 -j TOS --set-tos Minimize-Delay printf "." #Set ftp-data for maximum throughput #$IPC -A OUTPUT -p tcp -d 0/0 20 -t 0x01 0x08 $IPC -t mangle -A OUTPUT -p tcp --dport 20 -j TOS --set-tos Maximize-Throughput printf "." #Allow ICMP $IPC -A INPUT -p icmp -i $IF -j ACCEPT $IPC -A OUTPUT -p icmp -o $IF -j ACCEPT printf "." #Open ports for established connections $IPC -A INPUT -m state --state ESTABLISHED -j ACCEPT $IPC -A INPUT -m state --state RELATED -j ACCEPT $IPC -A INPUT -p tcp -i $IF --dport 1023:65535 -j ACCEPT $IPC -A INPUT -p udp -i $IF --dport 1023:65535 -j ACCEPT printf "." #Set default rule on MASQUERADE chain to DROP $IPC -P FORWARD DROP printf "." #DROP everything else $IPC -P OUTPUT ACCEPT $IPC -A INPUT -i $IF -j LDROP printf "." ***************************************************** Primeiro: vc pode retirar a linha "echo 1 > /proc/sys/net/ipv4/ip_forward" e editar o arquivo /etc/sysctl.conf, adicionando a seguinte linha: net.ipv4.ip_forward = 1 Depois disso, reiniciar as interfaces de rede (/etc/init.d/network restart). Caso vc não possa reiniciar as interfaces, digite o seguinte comando: sysctl -w net.ipv4.ip_forward=1 Segundo: antes da solução, digo que a interface externa é a eth0 e o ip da EBT é chamado aqui de IP_EBT iptables -A INPUT -i eth0 -p tcp ! --syn --source-port 6667 -d IP_EBT --destination-port 1024: -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp -s IP_EBT --source-port 1024: --destination-port 6667 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --source-port 1024: -d IP_EBT --destination-port 1024: -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp -s IP_EBT --source-port 1024: --destination-port 1024: -j ACCEPT Espero que funcione. Mauricio Cavalcanti. ----- Original Message ----- From: "Giulliano Rodrigues Pasa" To: Sent: 13 March, 2002 1:58 AM Subject: Regras IPTable Bom dia a todos primeiramente Tenho o seguinte problema: - Tenho um link da Embratel e uma ADSL da Brasiltelecom, configurei o dhcp para atribuir um ip real da Embratel, mas eu estou utilizando o ADSL como gateway, fiz isso da seguinte maneira: ips da eth0: 192.168.199.2;200.XXX.YYY.130 ##### INICIO SCRIPT # Adicionando gateway default route add default gw 192.168.199.50 (ROUTER ADSL) route add default gw 200.XXX.YYY.129 (ROUTER EMBRATEL) # Mascarando rede Embratel iptables -t nat -A POSTROUTING -s 200.XXX.YYY.128/255.255.255.192 -o eth0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward ##### FIM SCRIPT Esta funcionando certinho, todo o trafico esta saindo pela ADSL Estou querendo fazer o trafico das portas 6667-6669 (IRC) saia para link da Embratel. Alguem poderia me indicar como vai ficar a linha de configuração??? Eu já procurei em varios manuais e não ache nada, tentei de todas as maneiras e não consegui. ***************************************************** Aqui eu configurei assim: Para permitir ao proxy/firewall se comunicar com os servidores externos: # Configuracao para acesso a MAIL (POP3/SMTP) # permissao para enviar pacotes para servidor POP3 iptables -A OUTPUT -o eth0 -p tcp -s $IP_EXTERNO -d $POP --sport 1024: --dport 110 -j ACCEPT # permissao para enviar pacotes para servidor SMTP iptables -A OUTPUT -o eth0 -p tcp -s $IP_EXTERNO -d $SMTP --sport 1024: --dport 25 -j ACCEPT # permissao para receber resposta do servidor POP3 iptables -A INPUT -i eth0 -p tcp -s $POP -d $IP_EXTERNO --sport 110 --dport 1024: -m state --state ESTABLISHED -j ACCEPT # permissao para receber resposta do servidor SMTP iptables -A INPUT -i eth0 -p tcp -s $SMTP -d $IP_EXTERNO --sport 25 --dport 1024: -m state --state ESTABLISHED -j ACCEPT Para fazer o mascaramento dos micros internos para a rede externa: # Acesso ao servidor POP3 # fazendo o mascaramento dos pacotes da rede interna para o POP3 iptables -A POSTROUTING -o eth0 -p tcp -s $REDE -d $POP --sport 1024: --dport 110 -j MASQUERADE -t nat # permitindo o FORWARD da rede interna para o POP3 iptables -A FORWARD -o eth0 -p tcp -s $REDE -d $POP --sport 1024: --dport 110 -j ACCEPT # permitindo o FORWARD do POP3 para a rede interna iptables -A FORWARD -o eth1 -p tcp -s $POP -d $REDE --sport 110 --dport 1024: -j ACCEPT # Acesso ao servidor SMTP # fazendo o mascaramento dos pacotes da rede interna para o SMTP iptables -A POSTROUTING -o eth0 -p tcp -s $REDE -d $SMTP --sport 1024: --dport 25 -j MASQUERADE -t nat # permitindo o FORWARD da rede interna para o SMTP iptables -A FORWARD -o eth0 -p tcp -s $REDE -d $SMTP --sport 1024: --dport 25 -j ACCEPT # permitindo o FORWARD do SMTP para a rede interna iptables -A FORWARD -o eth1 -p tcp -s $SMTP -d $REDE --sport 25 --dport 1024: -j ACCEPT A minha rede interna esta conectada na placa eth1 do firewall e a rede externa na eth0. E so configurar $REDE, $POP,$SMT e $IP_EXTERNO que funciona, pelo menos, aqui esta funcionando. E ai vai uma pergunta, por que nao funciona se eu so tentar usar a tabela nat, fazendo snat e dnat? Tentei configurar os clientes internos dizendo que o servidor POP e SMTP era o proprio firewall, fiz uma regra de PREROUTING fazando DNAT, para dizer que os pacotes deveriam ser enviados para os servidores de verdade e fiz uma regra de POSTROUTING fazendo SNAT para dizer que os pacotes tinham saido do firewall, nao configurei FORWARD e nem fiz MASQUERADA. Nao funcionou :( O DNAT e SNAT nao sao desfeitos automaticamente quando volta a resposta? Achei que se apenas trocasse o destino e origem, e o proprio iptables desfizesse isto automaticamente, funcionaria, mas nao deu certo. Por que? Paulo Ditarso Maciel Júnior wrote: >Óla pra todos, > >Na minha empresa eu tenho um servidor CL 7.0 que serve de proxy para minha rede interna. O servidor proxy está funcionando beleza. O meu problema é que minhas estações clientes não conseguem baixar emails. Eu preciso de uma regra para o iptables que permita as minhas estações baixarem os emails. > >Como ficaria as seguintes linhas descritas abaixo com o iptables > > ipchains -A forward -p tcp -s 10.0.0.0/24 -d 0/0 25 -j MASQ > ipchains -A forward -p tcp -s 10.0.0.0/24 -d 0/0 110 -j MASQ > >Desde já, agradeço a atenção. > ***************************************************** Vc não possue alguma regra anterio que está bloquendo os acessos??? como vc esta usando a opção -A estas regras são colocadas no final, e vale a primeira regra; ex. iptables -A INPUT -i eth0 -j DROP iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT a segunda regra nunca será usada... Neste caso pode ser usada a opção -I (inserir) no logar de -A em dúvida, verifique a sequencia das regras; iptables -L INPUT -n -v OUTRA POSSIBILIDADE, nas regras vc está indicando as portas como sendo de origem --sport, mas se este firewal esta no servidor NFS as portas são de destino --dport Walter ***************************************************** ***************************************************** [corta] > Os problemas que tenho ou tive são: > 1) Toda vez que chegar da internet, um pacote para 200.200.200.1 quero que > quem responda por este ip (passada as regras do firewall) seja a maquina > interna de ip 10.0.0.1 iptables -t nat -A PREROUTING -d 200.200.200.1 -p tcp --dport 80 -j DNAT --to 10.0.0.1 > 2) Toda a vez que a maquina 10.0.0.1 enviar um pacote para a internet ele > saia com o ip 200.200.200.1. iptables -t nat -A POSTROUTING -s 10.0.0.1/32 -j SNAT --to 200.200.200.1 > A segunda parte do problema eu ja resolvi, colocando a seguinte regra no > meu firewall: > $IPTABLES -A POSTROUTING -t nat -s 10.0.0.1/32 -j SNAT --to-source > 200.200.200.1 > Agora, como resolver a primeira parte do problema que é todo o trafego que > chega na internet em um ip-virtual ser redirecionado para a placa de rede > interna? Claudio ***************************************************** From: Fabricio Veloso To: Cc: linux-br Sent: Friday, April 12, 2002 9:11 AM Subject: Re: (linux-br) Squid & IPTables On Fri, 12 Apr 2002 redd@cefet-al.br wrote: > Pessoal, tenho que configurar um serviço proxy (squid) e um firewall (iptables) > em uma mesma máquina. Se eu configurar o squid para aceitar requisições http e > ftp na porta 3128, quais são as regras que eu tenho que colocar no firewall para > que não haja nenhum problema com squid? Leandro, tente: Considerando que a política é DROP: iptables -A INPUT -p tcp -i -s /24 -d /32 \ --dport 3128 -j ACCEPT iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Deve ser +- isto.... []s Fabricio Veloso ***************************************************** From: supmino To: Sent: Friday, April 05, 2002 4:53 PM Subject: Re:(linux-br) ( SOLUÇÃO )Squid + Apache - CL7 - >Tenho o squid rodando legal em um computador, e >estou tentando colocar o apache no mesmo micro. >O squid está usando a porta 80 e para o apache eu >configurei para usar a porta 1200. Mas o apache >não sobe. Li alguns email e verifiquei que tenho >que fazer Proxy Transparente para o squid,certo? >Alguma outra solução? Alterar algum coisa no >apache se possível sem mexer no squid. >Grato >Luis Gustavo No squid.conf coloquei a linha : http_port 8080 No Firewall coloquei a linha : iptables -t nat -A PREROUTING -p tcp -s IPINTERNO/24 --dport 80 -j REDIRECT --to-port 8080, ou seja não precisei alterar as estações que estão configuradas para porta 80. Para o apache adicionei a seguinte linha no firewall: iptables -t nat -A PREROUTING -p tcp -s IPINTERNO/24 --dport 1200 -j REDIRECT --to-port 80 Agora está OK, com squid e apache...!!!!! ***************************************************** De: Marcelo Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) Bloqueio de site por iptables Data: 19 Jun 2002 02:48:48 -0300 Olá.. Estou com o seguinte problema... tenho que bloquear um site por exemplo www.uol.com.br... adicionei a seguinte regra iptables -A FORWARD -d www.uol.com.br -j REJECT mas tenho que liberar o mesmo site pra uma determinada maquina na rede.. então coloquei as linhas iptables -A FORWARD -d www.uol.com.br -s 192.168.10.1/32 -j ACCEPT iptables -A FORWARD -s www.uol.com.br -d 192.168.10.1/32 -j ACCEPT e mesmo assim ele bloqueia o site pra todas as maquinas.... Tentei usar -P na primeira regra, mas mesmo assim ele contiunuo barrando o site na maquina.. Alguém pode me dizer onde estou errando? []'s Marcelo Assinantes em 19/06/2002: 2233 Mensagens recebidas desde 07/01/1999: 171686 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:linux-br-owner@bazar.conectiva.com.br ***************************************************** De:  Nivewton de Cuffa Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Proxy. (Corrigindo) Data:  Fri, 11 Jul 2003 10:00:11 -0300 Em Sex 11 Jul 2003 00:12, espíritas psicografaram esta mensagem de Júlio Henrique: > Olá pessoal da lista. Olá! > Montei um firewall na empresa, mas gostaria de que o proxy ficasse em > outra. Estou usando a seguinte regra no firewall: > > iptables -t nat -A PREROUTING  -p tcp -i eth0 --dport 80 -s 192.168.1.0/24 > -j REDIRECT --to-port 192.168.1.2:3128 Creio que o erro estaja no "--to-port", onde o certo seria apenas "--to", pois você estará indicando outra máquina. "--to-port" é para quando você quer mandar para outra porta da máquina local. Tenta assim: iptables -t nat -A PREROUTING  -p tcp -i eth0 -s 192.168.1.0/24 --dport 80 -j  DNAT --to 192.168.1.2:3128 Caso não dê certo, poste aí novamente. > Já alterei o REDIRECT por DNAT, mas mesmo assim não consegui fazer com o q > o proxy transparente funcionasse na outra máquina. > > Se alguém puder me ajudar, fico desde já agradecido. > > []´s Falows > Júlio Nivewton de Cuffa ***************************************************** De:  Márcio Luciano Donada Responder-a:  Márcio Luciano Donada Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)iptables Data:  Fri, 11 Jul 2003 10:29:04 -0300 Olá Augusto Acredito que você esteja falando do Proxy Transparente, com essa regra do iptables você consegue isso: $iptables -t nat -A PREROUTING -p tcp -s SUA_REDE/24 --destination-port 80 -j REDIRECT --to-ports H3128 Abraço, Márcio ***************************************************** De:  Márcio Renato Para:  Linux-Br (E-mail) Assunto:  (linux-br) Chains definidas pelo usuário Data:  Thu, 26 Jun 2003 12:47:47 -0300 Caros amigos, estou com o seguinte problema: Criei uma chain chamada 'term1' Meu IPTables está assim:         #definindo as regras para as chains         iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 10001 -j term1         iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 10002 -j term2         # Chain term1 - (Terminal1)         iptables -t nat -A term1 -p tcp -i eth0 --dport 10001 -j DNAT --to 192.168.0.10:5800         iptables -t nat -A term1 -p tcp -i eth0 --dport 5900 -j DNAT --to 192.168.0.10:5900 Quando vou executar o IPtables dá o seguinte erro: iptables v1.2.7a: Couldn't load target `term1':/lib/iptables/libipt_term1.so: cannot open shared object file: No such file or directory Alguem sabe o que pode ser? De:  esalvati@terra.com.br Para:  =?iso-8859-1?Q?M=E1rcio_Renato_=3Cmrenato=40tecma=2Eadm=2Ebr=3E?=@salvati.no-ip.com Cc:  Linux-Br (E-mail) Assunto:  Re: (linux-br) Chains definidas pelo usuário Data:  Fri, 27 Jun 2003 11:50:09 -0300 O problema eh que vc nao criou as regras: iptables -N term1 iptables -N term2 -- ***************************************************** De:  Lista Linux-BR Para:  linux-br@bazar.conectiva.com.br Assunto:  (linux-br)Script para Firewall Data:  Thu, 24 Jul 2003 13:04:36 -0300 Pessoal, Alguem teria um script simples para proteger meus compartilhamentos do samba e evitar que usuarios da internet deem ping em meu servidor? Preciso proteger as portas de compartilhamento de arquivos (137,138,139 etc...) se alguem tiver algo fico grato.. []´s Carniel. De:  Adriano Frare Responder-a:  alfrare@terra.com.br Para:  'Lista Linux-BR' , linux-br@bazar.conectiva.com.br Assunto:  RES: (linux-br)Script para Firewall Data:  Thu, 24 Jul 2003 20:17:36 -0300 Segue o script abaixo: # # DROP Rules # # Microsoft Network $IPTABLES -A INPUT -p UDP -i $INTERNET_IFACE -d $INET_BROADCAST \ --destination-port 135:139 -j DROP $IPTABLES -A INPUT -i $INTERT_IFACE -p udp -m multiport --dport 135:139 -j DROP Abraços. Adriano ***************************************************** De:  Paulo Henrique Rodrigues Para:  Valdemir Ap Gherth , lista linux Assunto:  Re: (linux-br)redirecionar porta Data:  Fri, 22 Aug 2003 18:22:08 -0300 > Boa tarde pessoal ! Fala! > estou com o seguinte problema estou utilizando as regras abaixo mas não esta > funcionando o redirecionamento de porta > se eu der o comando > iptables -L -t nat ele me diz que a porta 80 foi redirecionada mas o > internet explorer continua navegando e o squid não serve para nada neste > caso pois os usuarios retiram o proxy do explorer e navega livremente > > echo 1 > /proc/sys/net/ipv4/ip_forward > iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j > REDIRECT --to-port 3128 > iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE > Sera que alguem pode me ajudar tá na mão: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j  REDIRECT --to-port 3128 vc tem que direcionar o eth e não o ppp! []'s Paulo Henrique Rodrigues e-mail: pauloh@infortron.com.br Corporate IT Support Infortron - Assistência Técnica e Comércio Ltda visit us at: http://www.infortron.com.br/linux (15) 3237.9200 - Sorocaba/SP ***************************************************** De:  Sandro Rodrigues Para:  Milton Ribeiro , Linux-Br Assunto:  Re: (linux-br)RH9 e Samba Data:  Thu, 4 Sep 2003 18:25:17 -0300 --> INPUT: utilizada quando o destino final é a própria máquina firewall; --> OUTPUT: qualquer pacote gerado na máquina firewall e que deva sair para a rede será tratado pela chain OUTPUT; --> FORWARD: qualquer pacote que atravessa o firewall, oriundo de uma máquina e direcionado a outra, será tratado pela chain FORWARD A política inicial de cada regra é ACCEPT. ISSO NO CASO DE FIREWALL DESABILITADO. Isso faz com que o firewall, inicialmente, aceite qualquer INPUT, OUTPUT ou FORWARD. A política pode ser alterada para DROP ou DENY, que irá negar o serviço da chain, até que uma opção -A entre em vigor. Para aceitar tudo : ------------------------------ iptables -P FORWARD ACCEPT iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT ------------------------------------------ No caso de não funcionar Execute esta seguência : ----------------------------------------------------- iptables -A INPUT -s 128.0.0.0/24 -j ACCEPT iptables -A OUTPUT -s 128.0.0.0/24 -j ACCEPT iptables -A FORWARD -s 128.0.0.0/24 -j ACCEPT ------------------------------------------------------ E suas regras podem ser vistas assim: # iptables -L Dê uma olhada e estude em : http://www.iptablesbr.cjb.net/ !!! Não é muito difícil ! Até, Sandro Rodrigues Red Hat Linux 8.0 ----- Original Message ----- From: "Milton Ribeiro" To: "Linux-Br" Sent: Wednesday, September 03, 2003 2:22 PM Subject: (linux-br)RH9 e Samba > Ola pessoal ! > Instalei o RH9 com nivel de segurança máximo, mas com essa opção ele não me > permite fazer conexões via terminais windows pelo samba pois ele > automaticamente executa algumas regras de firewall pelo iptables e trava > esse acesso. > > Alguém sabe como eu posso editar essas regras de forma definitiva para que > eu libere acesso via samba apenas para a faixa de IP encontrada em minha > rede ? > ***************************************************** De:  Piero Leonardo Teider Rodrigues Para:  linux-br@bazar2.conectiva.com.br Assunto:  Fw: (linux-br)Camera IP Data:  Mon, 8 Sep 2003 18:00:07 -0300 facil no firewall, q tenha o ip valido .. iptables -t nat -I PREROUTING -d -p tcp --dport 80 -j DNAT --to-dest :80 iptables -t nat -I PREROUTING -d -p tcp --dport 443 -j DNAT --to-dest :443 []´s Piero Galera é o seguinte ,,, tenho uma camera ip, com  um ip válido ligado na dmz disponibilizada na web e presciso colocar ela em outro local, que não tem como ligar na dmz ( por motivos físicos ), queira saber se tem como eu colocar um ip da rede interna nela e adicionar o ip válido no servidor .... e redirecionar para o ip da rede interna onde ela esta ... disponibilizando ela pra web nas portas 80 e 443. ***************************************************** De:  Felipe Stuardo Para:  guerreiro.linux@graciano.com.br, linux-br Assunto:  Re: (linux-br)Regra de iptables para fechar porta 135 Data:  Mon, 08 Sep 2003 18:09:20 -0300 iptables -t filter -A INPUT -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -p tcp --dport 135:135 -i eth0+ -j DROP iptables -t filter -A INPUT -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -p udp --dport 135:135 -i eth0+ -j DROP iptables -t filter -A FORWARD -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -p tcp --dport 135:135 -i eth0+ -j DROP iptables -t filter -A FORWARD -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -p udp --dport 135:135 -i eth0+ -j DROP guerreiro.linux@graciano.com.br wrote: Bom dia !!! > > > Alguem sabe como eu fecho a porta 135 tanto na eth0 como na eth1, no > iptables... > ***************************************************** LIBERAR SERVIÇO DE E-MAIL De:  Luiz Henrique Gomes Para:  CPD SEBS , linux-br@bazar2.conectiva.com.br Assunto:  RES: (linux-br)Iptables novamente Data:  Wed, 10 Sep 2003 11:05:02 -0300 Crie regras de entrada e repasse de pacotes apenas para as portas 25 e 110: iptables -A INPUT -p TCP -s ip.servidor.email -m multiport --sport 25,110 -d $EXT_IFACE -j ACCEPT iptables -A FORWARD -s $IPSOURCE -i $LAN_IFACE -o $EXT_IFACE -p TCP -m multiport --dport 25,110 -j ACCEPT iptables -A FORWARD -d $IPSOURCE -o $LAN_IFACE -i $EXT_IFACE -p TCP -m multiport --sport 25,110 -j ACCEPT Luiz -----Mensagem original-----     Eu instalei o CL9 com o Squid e o mesmo só deixa passar http ou seja porta "80", preciso liberar para todos a porta pop e smtp mas não liberar a porta 80. Ou seja não paginas http somente pelo squid pop e smtp livre.     Ou se tiver como passar pelo squid as contas pop e smtp melhor ainda mas pelo que sei não da.... ***************************************************** De:  Ricardo Guedes Para:  LinuxBR Assunto:  (linux-br)iptables + dnat Data:  Thu, 28 Aug 2003 03:27:06 -0400 Oi pessoal, Gostaria de uma boa solução para este problemas, caso possível. Bom, tenho a seguinte situação: Uma REDE 192.168.0.x onde x varia de 1 ate 100 e preciso fazer com que TODOS pacotes vindos em uma faixa de portas sejam redirecionando para esta REDE e para a máquina que aguarda este pacote. A principio é um problema semelhante ao que acontece com os DCC do mIRC. Exemplo: INTERNET (65000) -> FIREWALL (REDE) -> MAQ_DEST (65000)          |___________________ DCC_______________| A maquina que esta na internet envia um arquivo para a maquina de destino que esta atras do firewall. Ela aceita e força o pedido em uma porta (que esta na faixa) e confirma ao servidor. O servidor vendo que pode estabelecer tal comunicação permite a entrada do pacote e faz o NAT. A maquina destino começa a receber. Com isso montei o seguinte script para teste. FAIXA="2:4"; #Ou seja apenas o IP 192.168.0.2 ate o 192.168.0.4 irão receber! PORTAS="65000:65010"; # faixa por onde os pacotes serão aceitos FINI=`echo $FAIXA | cut -d: -f1`; # 2 FFIM=`echo $FAIXA | cut -d: -f2`; # 4 PINI=`echo $PORTAS | cut -d: -f1`; # 65000 PFIM=`echo $PORTAS | cut -d: -f2`; # 65010 FCOUNTER=$FINI; while [ $FCOUNTER -lt $(($FFIM+1)) ]; do   for i in `seq $PINI $PFIM`; do     $IPT -t nat -A PREROUTING -i $INET_IFACE -p tcp -m tcp --dport $i -j DNAT --to-destination 192.168.0.$FCOUNTER:$i;   done   let FCOUNTER=FCOUNTER+1 done A saida do iptables na tabela nat seria: -A PREROUTING -i eth1 -p tcp -m tcp --dport 65000 -j DNAT --to-destination 192.168.0.2:65000 -A PREROUTING -i eth1 -p tcp -m tcp --dport 65001 -j DNAT --to-destination 192.168.0.2:65001 ... -A PREROUTING -i eth1 -p tcp -m tcp --dport 65009 -j DNAT --to-destination 192.168.0.2:65009 -A PREROUTING -i eth1 -p tcp -m tcp --dport 65010 -j DNAT --to-destination 192.168.0.2:65010 -A PREROUTING -i eth1 -p tcp -m tcp --dport 65000 -j DNAT --to-destination 192.168.0.3:65000 -A PREROUTING -i eth1 -p tcp -m tcp --dport 65001 -j DNAT --to-destination 192.168.0.3:65001 ... -A PREROUTING -i eth1 -p tcp -m tcp --dport 65007 -j DNAT --to-destination 192.168.0.3:65009 -A PREROUTING -i eth1 -p tcp -m tcp --dport 65008 -j DNAT --to-destination 192.168.0.3:65010 -A PREROUTING -i eth1 -p tcp -m tcp --dport 65000 -j DNAT --to-destination 192.168.0.4:65000 -A PREROUTING -i eth1 -p tcp -m tcp --dport 65001 -j DNAT --to-destination 192.168.0.4:65001 ... -A PREROUTING -i eth1 -p tcp -m tcp --dport 65007 -j DNAT --to-destination 192.168.0.4:65009 -A PREROUTING -i eth1 -p tcp -m tcp --dport 65008 -j DNAT --to-destination 192.168.0.4:65010 Isso para 100 maquina seria bem maior e provavelmente inviavel por a checagem demoraria um tempo enorme e acabaria levando ao timeout. Tenho esta solução funcionando com apenas 5 maquinas. Pergunto a vocês experts em iptables que solução eu poderia ter para contorna isso? Algum módulo extra? PS: não posso criar subredes! Ricardo Guedes ***************************************************** De:  Ricardo Guedes Para:  JBoy___ , linux Assunto:  Re: (linux-br)iptables Data:  Sat, 13 Sep 2003 16:02:14 -0400 > Como eu disse eu tenho velox e tenho que autenticar pela web, então gostaria > de liberar acesso a web, smtp, pop3 e futuramente quem sabe a porta do Liberar o que ENTRADA ou SAÍDA? > iptables -P INPUT DROP //nega tudo > iptables -A INPUT -p TCP -s 200.226.132.230 --sport 25 -j ACCEPT //libera > iptables -A INPUT -p TCP -s 200.226.132.50 --sport 110 -j ACCEPT //libera > iptables -A INPUT -p TPC --sport 80 -j ACCEPT //libera acesso da web Por acaso sua máquina provê algum desses serviços para você liberar? > Não estou interessado em rodar mais nenhum serviço (por enquanto) fora esses > listados ai em cima. E também não gostaria de rodar nenhum servidor em minha > máquina. Isso é somente para navegar e receber e-mails. Não será você que ira rodar os serviços, você usará os serviços (entende?). Comece fazendo os processos semelhantes aos de cima só que mudando os destinos e os originantes e mude também a chain utilizada. iptables -P OUTPUT DROP iptables -A OUTPUT -p TCP -d 0/0 --dport 80 -j ACCEPT Faça assim para as demais regras. Libere também as saida para DNS para você poder resolver nomes. > Obrigado. por nada. Ricardo Guedes ***************************************************** SEM RESTRIÇÃO NO SQUID De:  Nivewton de Cuffa Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Maquina sem restrição no iptables Data:  Tue, 16 Sep 2003 13:03:39 -0300 Em Ter 16 Set 2003 08:45, espíritas psicografaram esta mensagem de Juliano Rodrigo: > Salve galera E aí! > > Estou usando o squid em uma maquina com acls, de forma a permitir que o > sujeito só acesse o que estiver listado dentro de um arquivo > /etc/squid/sites. Qualquer outro site, será negado. E, para dificultar um > pouco mais coloquei no iptables a regra > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j > REDIRECT --to -port 3128 Uma regra para evitar que um determinado e-mail seja direcionado, seria: iptables -t nat -A PREROUTING -i eth1 ! ip_da_maquina -p tcp --dport 80 -j REDIRECT --to-port 3128 P.S.: O ponto de exclamação(!) , quer dizer exceção. Ou então, você poderia criar uma outra acl: ... acl livre src ip_da_maquina ... e liberá-la antes da regra dos "sites", entende... ... http_access allow livre ... Se não funcionar, poste outra mensagem... []'s Ton De:  Juliano Rodrigo Para:  Nivewton de Cuffa , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Maquina sem restrição noiptables Data:  Tue, 16 Sep 2003 15:40:00 -0300 Ueba... >acl livre src ip_da_maquina >e liberá-la antes da regra dos "sites", entende... >http_access allow livre Desta forma funciona a navegação sem retrições, mas a regra antiga no iptables continua afetando outros serviços, como atualizações via Ftp. Basta retirar a regra que as atualizações funcionam corretamente.. Acredito que o correto é tratar essa excessão direto no IPTables, mas tenho erro na inserção da regra: [root@linux juliano]# iptables -t nat -A PREROUTING -i eth1 ! 192.168.100.20 -p tcp --dport 80 -j REDIRECT --to-port 3128 Bad argument `192.168.100.20' Try `iptables -h' or 'iptables --help' for more information. De:  Nivewton de Cuffa Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: Re: (linux-br) Maquina sem restrição noiptables Data:  Tue, 16 Sep 2003 16:24:10 -0300 Em Ter 16 Set 2003 15:40, espíritas psicografaram esta mensagem de Juliano Rodrigo: > Ueba... > > >acl livre src ip_da_maquina > >e liberá-la antes da regra dos "sites", entende... > >http_access allow livre > > Desta forma funciona a navegação sem retrições, mas a regra antiga no > iptables continua afetando outros serviços, como atualizações via Ftp. > Basta retirar a regra que as atualizações funcionam corretamente.. > Acredito que o correto é tratar essa excessão direto no IPTables, mas tenho > erro na inserção da regra: > [root@linux juliano]# iptables -t nat -A PREROUTING -i eth1 ! > 192.168.100.20 -p tcp --dport 80 -j REDIRECT --to-port 3128 > Bad argument `192.168.100.20' > Try `iptables -h' or 'iptables --help' for more information. Não entendi, muito bem, o que você esta querendo dizer, mas isso não vem ao caso. Enfim, na correria eu esquici de colocar o "-s" antes do "ip_da_maquina". Então a regra correta ficará assim: iptables -t nat -A PREROUTING -i eth1 ! -s 192.168.100.20 -p tcp --dport 80 -j REDIRECT --to-port 3128 Ok!? []'s Ton ***************************************************** De:  cpr.linux@br.inter.net Para:  Juliano Rodrigo , LinuxBr Assunto:  Re: (linux-br) Maquina sem restrição no iptables Data:  Tue, 16 Sep 2003 13:03:46 -0300 Simples. Ponha a regra iptables -t nat -A POSTROUTING -s -j SNAT --to antes da regra de proxy transparente. Luis C P R > pouco mais coloquei no iptables a regra > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j > REDIRECT --to -port 3128 > Agora o problema: quero que um endereco IP nao tenha o trafego > redirecionado, de forma que eu possa acessar nessa maquina o que eu quiser, ***************************************************** De:  Massahide Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)2 Links ADSL em um servidor Linux como balancear? Data:  Sat, 11 Oct 2003 21:40:50 -0300         Creio que esta regra do iptables lhe sirva: #iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 192.168.1.1-192.168.1.2         Esta regra faz com que todo o tráfego que vier ao computador que contém esta regra pela interface eth0 seja distribuido entre 192.168.1.1 e 192.168.1.2, obviamente estes endereços devem ser trocados pelos dos seus links. Obs.: para esta regra os IPs devem estar em série. Em Fri, 10 Oct 2003 21:19:40 -0300 Fábio S. Rosa escreveu: > Galera, alguém sabe como posso fazer balanceamento de 2 links ADSL no > linux, todos os 2 links ADSL já estão funcionando, mas as estações só > navegam por 1 deles, > tudo isso consegui vizualizar usando o iptraf. ***************************************************** De:  tecnicosredes@ig.com.br Para:  linux-br@bazar2.conectiva.com.br Assunto:  Subject: (linux-br)Iptables / ssh Data:  Wed, 29 Oct 2003 14:15:25 -0200 Subject: (linux-br)Iptables / ssh >To: linux-br@bazar.conectiva.com.br >$FW -A INPUT -p tcp --destination-port 22 -j ACCEPT tente especificar a eth de entrada, tipo: $FW -A INPUT -i eth0 -p tcp --dport -j ACCEPT ***************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)liberar portas com IPTABLES Data:  Wed, 26 Nov 2003 11:18:04 -0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Silva, Marcos wrote: >Fiz um script de firewall onde é feito NAT e liberado somente algumas portas >para um servidor  de email que fica e minha rede interna, com as seguintes >linhas: > > >iptables -A FORWARD -d ip_interno -p tcp -m multiport --dport 25,53,80,110 >-j ACCEPT >iptables -A FORWARD -s ip_interno -p tcp -m multiport --dport 25,53,80,110 >-j ACCEPT [corta script] >iptables -A FORWARD DROP Você bloqueou todas as outras portas. Veja que você permite que conexões indo para o seu servidor, nas portas desejadas e vindo do seu servidor, mas indo para as mesmas portas. Você não esqueceu de trocar o --dport por --sport na segunda linha acima não? Quanto às regras -t nat, só a primeira delas faz sentido. As outras estão erradas. Mas fora elas você deve ter uma regra simples de MASQUERADE ou SNAT para a sua rede inteira, não? PS: DNS funciona sobre UDP principalmente. - --   Thiago Macieira  -  Registered Linux user #65028    thiagom@mail.com               ICQ UIN: 1967141  ***************************************************** De:  Marcus Lima Responder-a:  marcuslima@marcuslima.eti.br Para:  bragalinux , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Firewall Data:  Tue, 23 Sep 2003 17:50:24 -0300 Estava indo muito bem até ... > /usr/sbin/iptables -a INPUT -p tcp -s 192.168.1.0/24 --dport 3128 -j ACCEPT Essa libera a entrada (INPUT) de conexões vindas de computadores na rede 192.168.1.0-255 para a porta 3128 do protocolo TCP no seu firewall. Se você deseja permitir que pessoas da rede 192.168.1.0-255 acessem outros locais (fora desta rede) é necessário colocar a regra em FORWARD. Alias, INPUT e OUTPUT são referentes a máquina do Firewall (quer dizer, criar regras nestas chains só afeta o Firewall). FORWARD é que é referente as redes ligadas no Firewall (quer dizer, encaminhamento de pacotes entre redes). Att, Marcus Lima Consultor de Segurança Aker Security Solutions - Regional RJ/ES www.aker.com.br ***************************************************** De:  Daniel Banak Para:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)iptables Data:  Tue, 3 Feb 2004 11:56:34 -0300 > instale via apt-get o iptables em meu conectiva 9 > quando executo as linhas abaixo ele da invalid argument nas 3 ultimas. > alguem sabe me explica o porque??? Bom dia Valter, é necessário que vc atualize o kernel também. Em ftp://ftp.unicamp.br/pub/Linux/conectiva/atualizacoes/9/RPMS vc encontrará o kernel mais novo. A versão que funciona corretamente é a 2.4.21-31301U90_13cl. t+ ***************************************************** De:  Tiago Cruz Para:  Lúcio Dalmas - J Marcante Cc:  Linux-br Assunto:  Re: (linux-br)Problemas com NAT em Iptables Data:  Thu, 05 Feb 2004 08:10:59 -0200 Em Qua, 2004-02-04 às 15:44, Lúcio Dalmas - J Marcante escreveu: > Quando tento executar o comando: modprobe iptables ou modprobe iptable_nat, > o sistema me retorna erro: modprobe: Can't locate module xxxxxx Verifica se o pacote 'iptables' está instlado e seus módulos presentes root@kurumin:/home/tiago# modinfo ip_tables filename:   /lib/modules/2.4.20-xfs/kernel/net/ipv4/netfilter/ip_tables.o description: author:      license:     "GPL" root@kurumin:/home/tiago# modinfo iptable_nat filename:   /lib/modules/2.4.20-xfs/kernel/net/ipv4/netfilter/iptable_nat.o description: author:      license:     "GPL" -- Abraços,   Tiago Cruz Org. King de Contab. S/C Ltda. Linux User # 282636 http://www.linuxrapido.linuxdicas.com.br Mandrake Linux i18n Team ***************************************************** De:  Tiago Cruz Para:  Rafael Nery Cc:  Linux-BR Assunto:  Re: (linux-br)regras do iptables Data:  Tue, 10 Feb 2004 16:54:56 -0200 Em Seg, 2004-02-09 às 16:37, Rafael Nery escreveu: > Olá! Olá > Não consigo entender muito bem iptables... > Alguém poderia me esclarecer... Conheço ótimas documentações em pt_BR > Que regras que faço  para proteger a rede interna... Para que os usuários > possam navegar e receber e-mails em todas as estações. Somente  1 máquina n > poderá ter acesso a internet que seria 192.168.1.10 Recomendo que leia algo antes e faça aos poucos até chegar no resultado esperado. Comece pelo mais fácil... escrevi um artigo sobre isso na semana passada, com ótimas referências sobre o assunto na nossa língua natal. Se interessar: http://www.linuxrapido.linuxdicas.com.br/modules.php?name=Sections&op=viewarticle&artid=71 O que você quer é muita coisa para escrever em um e-mail só (pelo menos para mim que sou novato no assunto) então vai lendo, tentando que nós vamos ajudando ;) -- Abraços,   Tiago Cruz Org. King de Contab. S/C Ltda. Linux User # 282636 http://www.linuxrapido.linuxdicas.com.br Mandrake Linux i18n Team ***************************************************** De:  Kilson Arruda Responder-a:  Kilson Arruda Para:  Cleyton Luiz Scherer , Lista Conectiva Assunto:  Re: (linux-br)iptables: parar tudo Data:  Mon, 19 Jan 2004 17:07:08 -0300 > > Como comando do iptables deve ser usado para derrubar todas as conexões > INPUT e FORWARD, mesmo as que já estão em andamento ? Acho que deve funcionar: iptables -P INPUT DROP iptables -P FORWARD DROP -- Kilson Arruda linux User # 228238 ***************************************************** De:  Anselmo Guimarães Para:  Ronaldo Pierre , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Nat com IP valido Data:  Tue, 2 Mar 2004 23:28:29 -0500 O iptables oferece SNAT e DNAT ...talvez esses link's te ajudem a esclarecer um pouco : http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html#ss6.1 http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html#ss6.2 Sd's Anselmo ----- Original Message ----- From: "Ronaldo Pierre" > Pessoal, preciso de uma ajuda, tenho um servidor linux(red hat 9) que faz a > minha Nat com IP falso 192.168.x.x e estou querendo fazer nat nesse mesmo > servidor com IP validos, tem alguma possibilidade? > Uso o IPTABLES para fazer a nat e o firewall do meu linux, se alguem souber > por favor me de uma ajudinha, obrigado a todos pela atenção. ***************************************************** De:  Junior Responder-a:  filisbino@clips.com.br Para:  minhaslistas@brfree.com.br Cc:  Discussao Assunto:  Re: (linux-br)DNAT Data:  Fri, 12 Mar 2004 08:59:55 -0300 (BRT) allan faça um redirecionamento, mas vc precisara saber a porta que o programa usa... iptables -t nat -A PREROUTING -p tcp -d x.x.x.x dport $porta -j DNAT to y.y.y.y onde x.x.x.x -> ip real do roteador linux $porta -> porta que o programa usa y.y.y.y -> ip da máquina interna onde está instalado o software Como esta regra não especifica a porta, a máquina da rede interna receberá o pacote na porta "$porta" espero ter ajudado valeu Allan Queiroz disse: > Olá caros amigos da Lista. > Por favor, vocês poderiam me ajudar a criar uma regrinha de firewall que >  estou precisando utilizar? É o seguinte, recentemente foi instalado um > sistema de monitoração via Câmeras de filmagem que podem ser vistas > remotamente, e o software que controla o sistema está instalado em uma > máquina da subrede, e o que eu quero fazer é criar uma regra que qando > eu digite de fora da rede interna o ip da máquina que acessa a web > diretamente, ela me redirecione para a máquina onde está o software. > MUITO OBRIGADO A TODOS. ***************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)DNAT Data:  Fri, 12 Mar 2004 16:08:00 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Allan Queiroz wrote: >Por favor, vocês poderiam me ajudar a criar uma regrinha de firewall > que estou precisando utilizar? É o seguinte, recentemente foi > instalado um sistema de monitoração via Câmeras de filmagem que podem > ser vistas remotamente, e o software que controla o sistema está > instalado em uma máquina da subrede, e o que eu quero fazer é criar > uma regra que qando eu digite de fora da rede interna o ip da máquina > que acessa a web diretamente, ela me redirecione para a máquina onde > está o software. iptables -t nat -A POSTROUTING -i $IFACE_EXT -d $IP_EXT -j DNAT --to $IP_INT iptables -A FORWARD -i $IFACE_EXT -d $IP_INT -j ACCEPT iptables -A FORWARD -o $IFACE_EXT -s $IP_INT -j ACCEPT Essas três regras acima fazem o que você quer, onde: IFACE_EXT = interface conectada ao mundo externo (ex: eth1) IP_EXT = IP externo (ex. 201.2.3.4) IP_INT = IP interno da máquina com a câmera (ex. 192.168.2.3) Note, em especial, que eu respondi ao que você pediu ao pé da letra: redirecionar o IP da máquina que tem a conexão direta para a máquina interna. Isso significa redirecionar TODAS as requisições, todos os pacotes. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info ***************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)fechar portas Data:  Mon, 29 Mar 2004 19:44:31 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Allan Queiroz wrote: >Olá Caros amigos. >Por favor eu estou tentando fechar algumas portas desnecessárias que >estão respondendo e estou tentando as seguintes regras: >iptables -A FORWARD -p TCP --dport 445 -j DROP >iptables -A FORWARD -p UDP --dport 445 -j DROP >mas quando escaneio o host, a porta continua aberta, ou melhor as >portas, pois existem várias que estão respondendo e quero fechá-las, Se você quer fechá-las, desligue o serviço que as mantém abertas. É o melhor jeito. Se você quer simplesmente impedir o acesso, as regras do iptables acima estão quase corretas, exceto um detalhe: FORWARD. Essas portas estão na máquina do firewall ou em alguma sendo roteada atrás dele? Se estiver no firewall, você deveria estar usando a cadeia INPUT ao invés da FORWARD. Em todo caso, lembre-se de fazer o teste a partir de uma máquina fora da sua rede. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info ***************************************************** De:  noproc@gmx.de Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)habilitar ip_forwarding Data:  Mon, 19 Apr 2004 16:13:33 -0300 On Monday 19 April 2004 15:24, Garak wrote: > Como sei se o "ip_forwarding" esta habilitado na minha maquina? > E se nao estiver, como habilita-lo? cat /proc/sys/net/ipv4/ip_forward se te retornar 1 tá habilitado se não for echo "1" > /proc/sys/net/ipv4/ip_forward ***************************************************** De:  Alex Para:  linux-br Assunto:  Re: (linux-br)habilitar ip_forwarding Data:  Tue, 20 Apr 2004 05:01:58 -0700 (PDT)   Só complementando, você pode deixar ativo o repasse de pacotes mesmo com uma reinicialização ao configurar em:   /etc/sysctl.conf   Deixando a linha correspondente igual a:   net.ipv4.ip_forward = 1 Falows > Pra verificar vc faz assim: > > cat /proc/sys/net/ipv4/ip_forward > > se a resposta estiver 0 , é porque nao esta > habilitado. > > ai vc faz assim. > > echo 1 > /proc/sys/net/ipv4/ip_forward ***************************************************** De:  Elias Andrade - Suporte técnico - Litoral On Line Para:  Garak Cc:  listas-linux-br Assunto:  Re: (linux-br)habilitar ip_forwarding Data:  Mon, 19 Apr 2004 19:14:56 -0300         Acesse o diretorio "/proc/sys/net/ipv4".         depois de um "cat" no "ip_forward".         se retornar "1", esta habilitado, 0 nao :-) [root@snoopy ipv4]# cat /proc/sys/net/ipv4/ip_forward 1 [root@snoopy ipv4]# falol... Em Seg, 2004-04-19 às 15:24, Garak escreveu: > Ola! > Como sei se o "ip_forwarding" esta habilitado na minha maquina? > E se nao estiver, como habilita-lo? > > Obrigado -- [ ]'s Elias Andrade - Analista de Suporte - Litoral On Line Home Page: http://www.lol.com.br ***************************************************** De:  Marcio Merlone Para:  elton simoes baptista Cc:  lista linux-br Assunto:  Re: (linux-br)  outlook retorna erro quando tenta verificar email no postfix Data:  Fri, 07 May 2004 07:55:27 -0300 elton simoes baptista wrote: Seu servidor terminou inesperadamente a conexão. Possíveis causas para isso incluem > problemas no servidor, problemas na rede ou um longo período de inatividade. Conta: > 'almeida@cipec.com.br', Servidor: 'pop3.cipec.com.br', Protocolo: POP3, Porta: 110, > Segura (SSL): Não, Nº do erro: 0x800CCC0F > Isto não tem nada a ver com o postfix. O que vc usa para pop? -- -- Marcio Merlone ***************************************************** De:  hamacker Para:  Rafael Nery Cc:  Lista Linux BR Assunto:  Re: (linux-br) usuários que tiram a configuração do proxy do navegador conseguem acessar a net... Data:  Mon, 10 May 2004 09:59:13 -0300 Provavelmente voce usou uma receita de iptables que libera o navegacao de forma mascarada para toda a rede. Tire da receita algo como : ### liberando ip-mascarado para a rede inteira $IPTABLES -t nat -A POSTROUTING -s IP.DA.SUA.REDE/8 -o $ETH_EXTERNAL -j MASQUERADE e troque por acesso mais especifico : ### ip mascarado apenas para o micro do SQUID e MAIL $IPTABLES -t nat -A POSTROUTING -s 192.168.1.4/32 -o $ETH_EXTERNAL -j MASQUERADE Se tiver outras maquinas que necessitem do acesso mascarado voce vai acrescentando. Outra coisa, na configuracao do DHCP (se houver) ou DNS das estacoes nao coloque os DNS do provedor, somente as maquinas que forem acessar de forma mascarada precisam de DNS. O Proxy é um deles. inte+ Rafael Nery wrote: Olá! > Alguém me ajude, fiz de tudo "acho" mas os usuários que tiram a > configuração do proxy do navegador conseguem acessar a net. > minha regra de firewall está assim: > iptables -t nat -A PROSTROUTING -p tcp --dport 80 REDIRECT --to-ports 3128 > Já coloquei essa regra no inicio, no fim e tal.. mas nada... > Eu verifiquei no log, e vi que mesmo sem o proxy configurado no > navegador ele registra o acesso.. então.. onde será que está o erro, no > squid ou no firewall? > --------------------------- ***************************************************** De:  Marco Aurélio P. de Carvalho Para:  Lista-Linux-BR Lista , Rafael Nery Assunto:  Re: (linux-br)regras de iptables para algumasmáquinas Data:  Wed, 12 May 2004 12:22:23 -1200 E soh antes da regra de bloquio vc criar um regra que aceite o pacote indo ou vindo de uma determinada maquina. Por exemplo iptables -A INPUT -s 10.10.10.1/8 -p tcp --dport 445 -j ACCEPT iptables -A INPUT -s 10.10.10.0/8 -p tcp --dport 445 -j REJECT No exemplo acima ele vai aceitar conexões vindo de 10.10.10.01 para porta 445 mas vai rejeitar as demais maquinas vindo da rede 10.10.10.0/8 Quando um pacote passa por uma regra e ele e rejeitado ou liberado ele não passa pelas demais.                           Marco Aurélio                           Adm. rede/sistemas >   Olá! > Fiz um firewall que está bloqueando várias portas, inclusive o kazaa... > só eu tenho a necessidade que algumas máquinas tenham acesso a esse > serviços... Tem como eu criar uma regra pra que apenas algumas máquinas > tenham acesso mornal total... Eu uso DHCP na rede. > Obrigado, > Rafael. ***************************************************** De:  Marcus Lima Responder-a:  marcuslima@marcuslima.eti.br Para:  Marco Aurélio P.de Carvalho , Lista-Linux-BR Lista , Rafael Nery Assunto:  Re: (linux-br)regras de iptables para algumasmáquinas Data:  Wed, 12 May 2004 23:02:15 -0300 Só uma observação, a primeira regra vai liberar a porta 445 para TODAS as máquinas da rede 10.0.0.0. Veja pela máscara que você aplicou!!! > iptables -A INPUT -s 10.10.10.1/8 -p tcp --dport 445 -j ACCEPT > iptables -A INPUT -s 10.10.10.0/8 -p tcp --dport 445 -j REJECT Att, Marcus Lima Consultor de Segurança. De:  Marcus Lima Responder-a:  marcuslima@marcuslima.eti.br Para:  Marco Aurélio P.de Carvalho , Lista-Linux-BR Lista , Rafael Nery Assunto:  Re: (linux-br)regras de iptables para algumasmáquinas Data:  Wed, 12 May 2004 23:05:39 -0300 > iptables -A INPUT -s 10.10.10.1/8 -p tcp --dport 445 -j ACCEPT > iptables -A INPUT -s 10.10.10.0/8 -p tcp --dport 445 -j REJECT    Observando melhor, a primeira regra já libera acesso a porta 445/tcp para todas as máquinas da rede 10.0.0.0. Veja a máscara que foi utilizada.    Você deveria ter usado: iptables -A INPUT -s 10.10.10.1/32 -p tcp --dport 445 -j ACCEPT iptables -A INPUT -s 10.0.0.0/8 -p tcp --dport 445 -j REJECTa Att, Marcus Lima Consultor de Segurança. ***************************************************** De:  sirhamacker Para:  Rafael Nery Cc:  Linux-BR (E-mail) Assunto:  Re: (linux-br)regra no iptables onde ele consulte um arquivo... Data:  Thu, 15 Jul 2004 10:05:31 -0300 Voce cria um script em bash usando for, buscando as linhas separadas por espaco numa string ou arquivo. Buscando duma string, eu tenho um exemplo : DENIED_PORTS_TCP="137:139 6000:6063 \                20034 12345:12346 27374 27665 \                27444 31335 10498 12754" echo "Negando acesso as seguintes portas TCP :" echo $DENIED_PORTS_TCP for PORT in $DENIED_PORTS_TCP; do     $IPTABLES -A DENY_PORTS -p tcp --dport $PORT -m limit --limit 5/minute \                 -j LOG  --log-level $LOG_LEVEL --log-prefix "DENIED PORT:"     $IPTABLES -A DENY_PORTS -p tcp --sport $PORT -m limit --limit 5/minute \                 -j LOG --log-level $LOG_LEVEL --log-prefix "DENIED PORT:"     $IPTABLES -A DENY_PORTS -p tcp --dport $PORT -j DROP     $IPTABLES -A DENY_PORTS -p tcp --sport $PORT -j DROP done Voce poderá adaptar o exemplo acima para suas regras e para buscar os IPs dum arquivo, seria apenas substituit a linha DENIED_PORTS_TCP acima por : DENIED_PORTS_TCP=`cat /etc/lista_ips_negados.txt` []'s Rafael Nery escreveu: Olá! > Tem como eu fazer um regra no iptables onde ele consulte um arquivo... > Por ex. eu quero criar uma regra para vários ips e esses ips estão em um > arquivo texto chamado bloqueio.txt > De:  Elias Andrade - Suporte técnico - Litoral On Line Para:  Rafael Nery Cc:  Linux-BR (E-mail) Assunto:  Re: (linux-br)regra no iptables onde ele consulte um arquivo... Data:  Thu, 15 Jul 2004 10:43:33 -0300         Vc vai precisar criar um script. ex: #/bin/bash for i in `cat arquivo.txt`; do         iptables -A OUTPUT -s $i -d 192.168.0.197 -j DROP done         obs: para ficar por dentro dos scripts, assine a lista http://br.groups.yahoo.com/group/shell-script/... falol, Em Qui, 2004-07-15 às 08:18, Rafael Nery escreveu: > Olá! > Tem como eu fazer um regra no iptables onde ele consulte um arquivo... > Por ex. eu quero criar uma regra para vários ips e esses ips estão em um > arquivo texto chamado bloqueio.txt > 192.168.0.12 > 192.168.0.13 -- [ ]'s Elias Andrade - Analista de Suporte - Litoral On Line Home Page: http://www.lol.com.br - Fone:(41)423-2825 ------------------------------------------------------------ Site pessoal: http://www.esan.cjb.net    |Slackware/Fedora Projeto Monesa: http://monesa-br.cjb.net | Linux User #229468: http://www.linuxcounter.org ------------------------------------------------------------ Paranagua - PR - Brasil [<0>] "O melhor guerreiro é aquele que consegue transformar o inimigo em amigo" De:  vandeciluiz@bol.com.br Para:  Rafael Nery , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)regra no iptables onde ele consulte um arquivo... Data:  Thu, 15 Jul 2004 11:03:16 -0300 > BLOQUEIO='/root/bloqueio.txt' for BLOQUEIO in `cat /root/bloqueio.txt` do iptables -A OUTPUT -s $BLOQUEIO -d 192.168.0.197 -j DROP done; Vandeci De:  Henrique Cesar Ulbrich Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)regra no iptables onde ele consulte um arquivo... Data:  Thu, 15 Jul 2004 11:30:12 -0300 Historiadores acreditam que, em Qui 15 Jul 2004 08:18, Rafael Nery disse: > BLOQUEIO='/root/bloqueio.txt' > iptables -A OUTPUT -s $BLOQUEIO -d 192.168.0.197 -j DROP > E quando eu rodo o script gera um erro ... > iptables v1.2.7a: invalid mask `bloqueio.txt' specified experimente BLOQUEIO=`cat /root/bloqueio.txt` (é crase ` e não aspa simples ' ou dupla ") Isso vai colocar o CONTEÚDO     do arquivo bloqueio.txt na regra, não o nome do arquivo (coisa que, aliás, parece óbvia)... Não vai dar esse erro, vai dar outro, como segue: > Tem como eu fazer um regra no iptables onde ele consulte um arquivo... > Por ex. eu quero criar uma regra para vários ips e esses ips estão em um > arquivo texto chamado bloqueio.txt > 192.168.0.12 > 192.168.0.13 > e assim vai... O comando iptables até permite isso, mas vc vai ter que colocar a sintaxe correta dentro do arquivo, não simplesmente um IP por linha. Não vai funcionar do jeito que vc fez, mas vou deixar vc penar um pouco pra descobrir por que. > Try `iptables -h' or 'iptables --help' for more information. Era o que vc devia ter feito antes de perguntar: iptables -h man iptables Saudações -- Henrique Linux User #157134 henrique.ulbrich@terra.com.br ***************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)bloquear ips p/ não acessar a internet (alguns) Data:  Wed, 14 Jul 2004 17:30:42 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Rafael Nery wrote: >Olá! >Como eu faço para bloquear alguns ips para que não acessem a internet, >mas tenham acessos ao samba. >Eu fiz uma regra assim: >iptables -A INPUT -s 192.168.0.147 -d 200.245.46.66 -j DROP Isso bloqueia a máquina de IP 192.168.0.147 de acessar o site que está em 200.245.46.66. E isso somente se esse IP pertencer ao seu firewall, pois, de outra maneira, não terá efeito algum. A cadeia INPUT serve somente para pacotes recebidos que são destinados à própria máquina onde essas regras estão presentes. Da mesma maneira, a cadeia OUTPUT é apenas para pacotes gerados localmente. Se você está falando de um roteador, então os pacotes que vêm de outras máquinas e têm como destino ainda outras só passam pela cadeia FORWARD. É aí que você quer colocar a regra. E você quer também que sua regra bata com qualquer destino (-d 0/0 ou simplesmente não use a opção -d). Obviamente, tudo o que eu falei está no Netfilter HOWTO, que deve fazer tempo que você leu, porque já o esqueceu. Apenas para refrescar a memória: http://www.netfilter.org - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: ***************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Ref. Iptables Data:  Mon, 9 Aug 2004 13:41:53 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 rodrigosantin_rs wrote: >Pessoal... >Eu preciso bloquear o acesso  de alguns ips tipo 211.200.122.12 ao meu > servidor de internet, tenho varios ips q necessito bloquear, quais > regras eu uso?? > iptables -A INPUT -s 211.200.122.12 -j DROP >ou >iptables -A INPUT -s 211.200.122.12  -i eth0 -j DROP >ou >exite uma regra especifica??? Ambas as regras estão boas. >se tiver q utilizar estas regras eu preciso criar uma para cada > endereço ip?? Por IP ou por bloco de IPs. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: ***************************************************** De:  caio ferreira Para:  linux Assunto:  Re: (linux-br)  nao consigo conectar na rede fastrack usando o mlonkey (kmldonkey       - mlnet) Data:  Wed, 15 Sep 2004 11:23:44 -0300 otavio wrote: Pessoal, > > Eu usando o kmlondkey em uma rede doméstica com adsl 300 da BRT e um > roteador 3com (office conect ou 812 - aquele alugado pela brt) com > PPPoA. > > Mas estou com dificuldade em baixar arquivos em redes p2p? Existe alguma > configuração a ser feita.  Ouvi dizer que o mldonkey pode não funcionar > direito em redes com masquerade ou nat. Isso é verdade? > > Uso mandrake em uma maquina e conectiva em outra (10.0) >         Coloca as seguintes regras no seu script de firewall, com o cuidado de mudar o valor do ip # eMule $IPTABLES -A PREROUTING -t nat -p tcp --dport 4661 -j DNAT --to 192.168.1.20 $IPTABLES -A PREROUTING -t nat -p tcp --dport 4662 -j DNAT --to 192.168.1.20 $IPTABLES -A PREROUTING -t nat -p udp --dport 4665 -j DNAT --to 192.168.1.20 $IPTABLES -A FORWARD -i $ETH0IP -p udp -m udp --dport 4665 -j ACCEPT $IPTABLES -A FORWARD -i $ETH0IP -p tcp -m tcp --dport 4662 -j ACCEPT $IPTABLES -A FORWARD -i $ETH0IP -p tcp -m tcp --dport 4661 -j ACCEPT $IPTABLES -A FORWARD -s 192.168.1.20 -i eth1 -j ACCEPT ***************************************************** De:  Leonardo Pinto Para:  'Wyvern' Cc:  Lista Conectiva (E-mail) Assunto:  RES: (linux-br)Liberar MSN para alguns no Iptables Data:  Thu, 16 Sep 2004 18:58:45 -0300 Olá Wyvern, Eu pessoalmente fiz desta forma abaixo, porém não é a mais indicada. Dizem os gurus que a melhor forma é pelo SQUID.     PORTS="1863:1864 6891:6900 6901 1863 5190 6901"     for PORT in $PORTS; do       $IPTABLES -A FORWARD -o $DEV_PUB -s ! 192.168.0.20 -p tcp --dport $PORT -j DROP     done     $IPTABLES -A FORWARD -s ! 192.168.1.20 -d 64.4.13.0/24 -j REJECT Repare o NOT (!) do IP que NÃO quero bloquear... Sds, Leonardo Pinto. >  Eu tenho um regra que bloqueia geral o MSN do povo... mas > preciso liberar >  para alguns determinados IPS ou MACS Adresss... como fazer isso?? ***************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Bloquear portas e liberar a 80 no firewall Data:  Fri, 17 Sep 2004 08:18:03 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 robsoncb2 wrote: >Pessoal pretendo liberar só a porta 80 no meu firewall >e fechar as outras, Ok. Você quer bloquear as portas do firewall, certo? >bom sei que devo acrescentar >regras no forward, alguém pode dar uma ajuda ae ? Não é no FORWARD. É no INPUT. O FORWARD só serve para os pacotes que o seu firewall, como o nome diz, repassa. Aqueles que são destinados ao próprio ficam no INPUT. >iptables -P FORWARD DROP >iptables -A FORWARD -d 10.0.0.0/8 -m state --state >RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp -mstate --state \! ESTABLISHED,RELATED -j REJECT - --reject-wth tcp-reset - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: ***************************************************** De:  Thiago Macieira Para:  robsoncb2 Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Bloquear portas e liberar a 80 no firewall Data:  Fri, 17 Sep 2004 13:40:23 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 robsoncb2 wrote: >Bom eu acho que perguntei de forma errada. >É para fechar a porta para os pc's que compartilho a >internet, isto é que sofrem NAT, suponho q seja no >campo forward. certo ? > >iptables -P FORWARD DROP >iptables -A FORWARD -d 10.0.0.0/8 -m state --state >RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 80 -j ACCEPT Isso liberará apenas a navegação Web (HTTP). - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: ***************************************************** De:  Rogério Alexandre Machado Carrasqueira - Interativa Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)FTP: Nao consigo acessar fora da rede Data:  Wed, 29 Sep 2004 22:40:57 -0300 Caros, Sobre a mensagem: > barka wrote: > >Configurei o proftp e rodo ele na rede interna > >perfeitamente, mas qdo fui acessar fora de minha rede, > >ele nao mostra os arquivos da pasta. > >O que devo fazer para conseguir "ver" as pastas? > > Deixe-me adivinhar: FTP atrás de NAT ou algum firewall? > > Se sim, coloque o servidor FTP num servidor numa DMZ e com IP acessível da > Internet. Não use NAT para servidores de FTP (porque não funciona). Discordo em parte. Já passei por este problema. Faça uma regra no iptables em seu firewall, caso você o utilize, liberando da 20 a 21, como segue o exemplo iptables -t nat -A PREROUTING -p tcp -i device-de-entrada --dport 20:21 -j DNAT --to-destination  ip-real-da-maquina-ftp:20:21 (se der erro de sintaxe faça uma regra para cada porta) iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d  ip-real-da-maquina-ftp  --dport 20:21 -j ACCEPT iptables -A FORWARD -p tcp -s  ip-real-da-maquina-ftp  -d 0.0.0.0/0 --sport 20:21 -j ACCEPT Coloque estas regras no fim do do seu script de firewall. Espero ter ajudado. Atenciosamente, Rogério Alexandre Machado Carrasqueira Gerente de TI -- Interativa Internet Services Ltda site: http://www.interativaservices.com.br e-mail: rogerio@interativaservices.com.br ***************************************************** De:  Wendell Almeida Silva Para:  Thiago Macieira Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Como liberar somente pop e smtp? Data:  Thu, 30 Sep 2004 10:38:20 -0300 Consegui resolver o problema. Como a política definida para o FORWARD foi DROP, qualquer conexão estava bloqueada. Os clientes de e-mail primeiro buscam no servidor DNS o ip do servidor de e-mail para depois efetivamente enviar a mensagem. Então, liberei o acesso ao protocolo udp porta 53 e funciou. Valeu. []'s Wendell On Wednesday 29 September 2004 20:24, Thiago Macieira wrote: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Wendell Almeida Silva wrote: > >Ainda tem algo errado. > >Pq qdo eu troco de regra funciona? > > > >#iptables -A internet -j DROP > >para > >#iptables -A internet -j ACCEPT > > Porque você liberou tudo. > - -- >   Thiago Macieira  -  Registered Linux user #65028 >    thiago (AT) macieira (DOT) info >     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: >     E067 918B B660 DBD1 105C  966C 33F5 F005 6EF4 5358 > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.2.5 (GNU/Linux) > > iD8DBQFBW0RHM/XwBW70U1gRAntZAKDBwKRrdLDHL2uSBzbm9o3qSGkXTQCgubG/ > oVPoIl5lLUzX6JsYac056rM= > =V6mG > -----END PGP SIGNATURE----- --       Wendell A. Silva - Equipe Computer TECH                    icq:132093655 ___________________________________________________             Computer TECH Informática Sempre a melhor solução para você e a sua empresa! Av. do Rio Bonito, 1926 conjunto 03 fone: +55 11 5666-7552 fax:  +55 11 5666-7552 ***************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  Lista Linux Assunto:  Re: (linux-br)Liberar endereco *.xxxx.yyyy.com.br no firewall. Data:  Thu, 7 Oct 2004 19:04:07 -0300 Olá, Não, o iptables não aceita *.petronect.com.br ... Bom, procurando por www.petronect.com.br, vi que o ip associado é: 200.184.189.7 Então, fazendo um whois@200.184.189.7 peguei a rede: 200.184.189.0/25 Se os servidores estiverem nessa rede, pode resolver o problema colocando esse range, já que você não sabe quais são. Abraço! Alejandro > > /sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -d > *.petronect.com.br -j MASQUERADE > > e a empresa tá demorando muito para me dizer quais sao os > "*.petronect.com.br" e isso tem causado alguns aborrecimentos. Tem algum > jeito do IPTABLES aceitar *.petronect.com.br ? ***************************************************** De:  Dornelles Vissotto Junior Para:  Rafael Nery Cc:  Linux-BR (E-mail) Assunto:  Re: (linux-br) Dúvida no iptables... em relação a posição das regras... Data:  Wed, 27 Oct 2004 09:20:47 -0200 Sempre prevalece a última regra. O ideal é sempre você fechar tudo antes e depois liberar para o que você precisa. Rafael Nery wrote: Olá! > Tenho uma dúvida em relação na posiçõe das regras do iptables.... > No iptables por ex. eu drop uma porta ex: 22 e logo em seguida eu  > libero para alguns ips... > QUal regra vai prevalecer? > Como tem que ser no fw... 1ª nega depois libera ou vice versa? > Pq eu andei vendo uns scripts-fw que o autor abre uma determinada > porta e depois fecha para o resto... > > # Abre para a rede local >  #========================================================================================== > >  #iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT >  #========================================================================================== > >  # Fecha o resto >  #========================================================================================== > >  #iptables -A INPUT -p tcp --syn -j DROP > -------------------------------------------------- > E alguns fazem ao contrário.... > Afinal o fw 1ª nega depois libera... agora minha cabeça deu nó! > Tipo assim... aqui quero quero liberar algumas portas (5190) para > certos ips e fechar para o resto... > como ficaria essa regra então? (correta) > > Rafael. > De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Dúvida no iptables... em relação a posição das regras... Data:  Wed, 27 Oct 2004 10:25:25 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Dornelles Vissotto Junior wrote: >Sempre prevalece a última regra. O ideal é sempre você fechar tudo antes >e depois liberar para o que você precisa. Contrário: sempre prevalece a primeira regra. Primeiro você libera o que tem que liberar, depois fecha para todo o resto. O processamento é feito na ordem das regras. A primeira que bater, de cima para baixo, é a que vale. E lembre-se que a política padrão é como se fosse a última regra. >Rafael Nery wrote: >> Olá! >> Tenho uma dúvida em relação na posiçõe das regras do iptables.... >> No iptables por ex. eu drop uma porta ex: 22 e logo em seguida eu >> libero para alguns ips... >> QUal regra vai prevalecer? - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info ***************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  Rafael Nery Cc:  Linux-BR (E-mail) Assunto:  Re: (linux-br) Dúvida no iptables... em rel ação a posição das regras... Data:  Wed, 27 Oct 2004 11:15:59 -0300 Rafael, As regras são analisadas linearmente, ou seja de acordo com a oderm que você colocar no script. > No iptables por ex. eu drop uma porta ex: 22 e logo em seguida eu > libero para alguns ips... > QUal regra vai prevalecer? Se você colocar um DROP para TODOS os pacotes com destino a porta 22, a regra abaixo nunca vai ser atingida. > Como tem que ser no fw... 1ª nega depois libera ou vice versa? Normalmente você libera o que é necessário, e no final nega todo o resto. Abraço! Alejandro Flores ***************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br, Kilson Arruda Assunto:  Re: (linux-br) Limitar número de conexões com iptables Data:  Tue, 9 Nov 2004 22:34:39 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Kilson Arruda wrote: >Estive lendo um pouco sobre o match limit no iptables. Pude perceber que > o cálculo do limit é feito pelo número de pacotes que passam pela > regra, mas o que eu gostaria de fazer era limitar a quantidade de > conexões tcp que um determinado ip pode ter em um intervalo de tempo. > Isso é possível? Limite o número de pacotes de abertura de conexão. (TCP com o flag SYN ativo e ACK desativado) - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info ***************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Help Iptables Data:  Tue, 23 Nov 2004 12:16:15 -0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Sílvio Munhoz wrote: > Olá, configurei um iptables e td beleza mas > instalei uns serviços na máquina, qndo uso o Nmap ele mostra q essas > portas estão abertas mas qndo acesso elas o Iptables dropa por causa da > minha regra. A > pergunta é a seguinte: existe como eu camuflar essas portas?? Eu naum >queria q > nem aparecessem no Nmap. Não use -j DROP, mas sim -j REJECT --reject-with tcp-reset. (Para portas UDP, não inclua o --reject-with) PS: "dropar" = descartar. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info ***************************************************** De:  William da Rocha Lima Para:  guerreiro.linux@graciano.com.br, linux-br@bazar2.conectiva.com.br, Rodrigo Lima Assunto:  Re: (linux-br)Duvidas de iptables Data:  Wed, 29 Dec 2004 17:17:29 -0200 Caro, Basta criar a seguinte regra: iptables -A FORWARD -d www.orkut.com -j REJECT ou para bloquear apenas algum ip da rede iptables -A FORWARD -s X.X.X.X -d www.orkut.com -j REJECT X.X.X.X = ip da rede Falou, http://www.linuxit.com.br ***************************************************** De:  Rodrigo Lima Para:  guerreiro.linux@graciano.com.br, linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Duvidas de iptables Data:  Wed, 29 Dec 2004 16:51:59 -0200 O comando Ping também é muito útil: [rodrigo@suporte rodrigo]$ ping www.orkut.com PING www.orkut.com (64.233.171.85) 56(84) bytes of data. 64 bytes from www.orkut.com (64.233.171.85): icmp_seq=0 ttl=236 time=187 ms 64 bytes from www.orkut.com (64.233.171.85): icmp_seq=1 ttl=236 time=204 ms 64 bytes from www.orkut.com (64.233.171.85): icmp_seq=2 ttl=236 time=187 ms Observe aí o endereço Ip: 64.233.171.85 :-D Agora, quanto a barrar pelo Iptables acho que isso resolve: /sbin/iptables -A OUTPUT -d www.orkut.com -j DROP Abraço a todos da lista e um feliz ano novo!! []'s Rodrigo de Lima Silva Certificado Conectiva Linux email: rodrigo.lima[arroba]brturbo.com GAIM: rodrigo.lima[arroba]brturbo.com LICQ: 170008989 GNU/Linux User: # 289388 GNU Linux Conectiva 10 Kernel 2.6.9 Guerreiro - Linux escreveu: > Bom dia > > > Alguem da lista sabe como eu faço no iptables para bloquear a > navegacao neste site www.orkut.com > > Tenho uma outra duvida tambem como eu faco para saber qual e o > endereco ip deste site. no CL8 eu usava este comando > host www.orkut.com     e me era retornado o ip deste site so que agora > nao funciona... > ***************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  eddy Cc:  linux Assunto:  Re: (linux-br)bloqueando porta 135 136 137 139 udp Data:  Thu, 6 Jan 2005 17:06:36 -0300 Olá, > tenho um firewall com iptables no meu slackware > no input tah assim > iptables -A INPUT -p tcp --dport 135:139 -j DROP > quando rodo um nmap -sT ip_server > para as portas 137 138 139 netbios filtradas Quando você utiliza DROP, os pacotes são descartados 'silenciosamente'. Ou seja, quem origina a conexão não recebe uma resposta nem positiva, nem negativa. É como se eu te falasse "Bom dia" e você não respondesse. No caso de uma conexão TCP, quando eu te falar "Bom dia", você me responde "Bom dia", apertamos as mãos e começamos a conversar. É o famoso "Three-way-handshake". Ou seja, quem origina uma conexão, espera uma resposta. > quando rodo um nmap -sU ip_server > aparece abertas as portas udp 137 138 139 > ai coloquei uma regra no iptables assim > iptables -A INPUT -p udp --dport 135:139 -j DROP > iptables -A INPUT -p udp --sport 135:139 -j DROP > teoricamente era para bloquear... > mas quando dou um nmap aparace abertas as portas do netbios No caso do UDP, não necessariamente existe uma resposta para a sua solicitação. Quando alguem tenta conectar em uma porta que não está em escuta, não está em uso, o sistema operacional responde com um RST (Reset). Como o UDP não necessáriamente existe resposta, e vc deu um DROP no pacote, ou seja, não emitiu uma resposta, o nmap assumiu que a porta está aberta. Você pode utilizar a opção REJECT. O default da opção REJECT é enviar um icmp port-unreachable, indicando que a porta de destino está inacessível. > jah coloquei estas regras no FORWARD tb e nda. No forward vc coloca regras cujo destino não é o seu firewall. Ou seja, da sua rede interna para a internet. Da internet para a sua rede interna. Abraço! Alejandro Flores ***************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  Rafael Nery Cc:  Linux-BR (E-mail) Assunto:  Re: (linux-br)Preciso criar um regra de IPTABLES para bloquear INPUT do ip 192.168.0.12 a 192.168.0.200... Data:  Thu, 13 Jan 2005 17:54:30 -0300 Olá, > Preciso criar um regra de IPTABLES para bloquear INPUT do ip > 192.168.0.12 a 192.168.0.200 Tem como eu fazer uma regra em uma única > linha para bloquear todos esses ips? Tem não. Você poderia usar mascara, mas não daria numa regra só também. Faz o seguinte, coloca isso aqui no teu script: #!/bin/bash INICIO=12 FIM=201 IP=192.168.0 while [ $INICIO -lt $FIM ] do    echo iptables -A INPUT -s $IP.$INICIO/32 -j REJECT    ((INICIO++)); done Abraço! Alejandro Flores ***************************************************** De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)iptables + AND Data: Mon, 7 Mar 2005 11:54:11 -0300 scsantos at unigranrio com br wrote: >O iptables suporte mais de um source na mesma regra ? Não. >Tipo "-s 200.0.0.0 and 200.0.0.1" por exemplo. > >Não consegui ver nada parecido no MAN do iptables. É porque não tem. O máximo que você consegue é um netmask, mas você fica restrito a blocos de tamanhos potências de 2 e alinhados nas bordas naturais. PS: você quer "or", não "and" :-) -- Thiago Macieira - thiago (AT) macieira (DOT) info De: Alejandro Flores Responder A: Alejandro Flores Para: scsantos at unigranrio com br Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)iptables + AND Data: Mon, 7 Mar 2005 11:30:08 -0300 Olá, > O iptables suporte mais de um source na mesma regra ? > Tipo "-s 200.0.0.0 and 200.0.0.1" por exemplo. > Não consegui ver nada parecido no MAN do iptables. Não. O source pode vir acompanhado de mascara. -s 200.0.0.0/255.255.255.0. Abraço! Alejandro Flores ***************************************************** De: Leonardo Pinto Responder A: Leonardo Pinto Para: Pedro Junior Ashidani Cc: Linux-BR Lista Assunto: Re: (linux-br)Acesso interno a rede de portas redirecionadas com IPTables Data: Mon, 28 Feb 2005 10:17:06 -0000 Olá Pedro, Muito obrigado. Certo, porém dessa sua forma com "-F" (flush) nas rules a invasão é iminente. Temos que usar o "-R" (replace) sem desligar o fw. INET_IP="`ip addr show ppp0 | grep inet | awk '{print $2}'`" $IPTABLES -t nat -R PREROUTING 4 -p TCP -i $LAN_IFACE --dport 80 -d \ $INET_IP -j DNAT --to-destination $DMZ_HTTP_IP $IPTABLES -t nat -R PREROUTING 5 -p TCP -i $LAN_IFACE --dport 443 -d \ $INET_IP -j DNAT --to-destination $DMZ_HTTP_IP Assim que está, porém acho que os mais experientes da lista tenham algo a acrescentar. Sds, Leonardo Pinto. > > Leonardo Pinto wrote: > > >Olá Pessoal, > > > >Sei que esse é um assunto já muito batido por aqui, porém tenho um > >desafio que me persegue. Quando consegui sacar o lance do IPTables > >através de análise de tráfego, deixando de usar o famigerado "redir" > >e criei a regra: > > > >$IPTABLES -t nat -A PREROUTING -p TCP -i $LAN_IFACE --dport 80 -d > >www.meu-site.no-ip.com > >-j DNAT --to-destination $DMZ_HTTP_IP > >$IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE --dport 80 > >-j DNAT --to-destination $DMZ_HTTP_IP > > > > > > > > Construa um shel script que pega o ip designado e reconstrua a regra... > ================================= > #!/bin/sh > MEUIP=`ifconfig|grep P-t-P|cut -f 2 -d":"|cut -f1 -d" "` > iptables -F -t nat > <outras regras do iptables> > > $IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $MEUIP --dport 80 > -j DNAT --to-destination $DMZ_HTTP_IP:80 > > =============================================== > Deve ter meios mais elegantes para achar o ip, como mas acho que assim > funciona > > >Me deparo com o ADSL, pois com o IP dinâmico dele a regra é anulada > >após a troca de IP. > >Não consigo imaginar um meio de trocar esse trecho da rule: > >"-d www.m > > > []'s > Pedro Ashidani ***************************************************** De: Pedro Junior Ashidani Para: Leonardo Pinto , Linux-BR Lista Assunto: Re: (linux-br) Acesso interno a rede de portas redirecionadas com IPTables Data: Mon, 28 Feb 2005 10:28:46 -0300 Leonardo Pinto wrote: >Olá Pessoal, > >Sei que esse é um assunto já muito batido por aqui, porém tenho um >desafio que me persegue. Quando consegui sacar o lance do IPTables >através de análise de tráfego, deixando de usar o famigerado "redir" >e criei a regra: > >$IPTABLES -t nat -A PREROUTING -p TCP -i $LAN_IFACE --dport 80 -d >www.meu-site.no-ip.com \ >-j DNAT --to-destination $DMZ_HTTP_IP >$IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE --dport 80 \ >-j DNAT --to-destination $DMZ_HTTP_IP > > > Construa um shel script que pega o ip designado e reconstrua a regra... ================================= #!/bin/sh MEUIP=`ifconfig|grep P-t-P|cut -f 2 -d":"|cut -f1 -d" "` iptables -F -t nat $IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $MEUIP --dport 80 \ -j DNAT --to-destination $DMZ_HTTP_IP:80 =============================================== Deve ter meios mais elegantes para achar o ip, como mas acho que assim funciona >Me deparo com o ADSL, pois com o IP dinâmico dele a regra é anulada >após a troca de IP. >Não consigo imaginar um meio de trocar esse trecho da rule: >"-d www.m > []'s Pedro Ashidani ***************************************************** De: Rogério Alexandre Machado Carrasqueira Responder A: Rogério Alexandre Machado Carrasqueira Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Firewall e ADLS Data: Tue, 8 Feb 2005 12:41:23 -0200 Caro Rodolfo, > O firewall do ADSL não precisa destes > pacotes ou devo instala-los e configurar manualmente os parametros de > segurança? E como posso fazer um teste de segurança tipo o da symantec para > saber se meu micro esta seguro? > Segue a receita de bolo: 1 - Procure pelo iptables em sua máquina rpm -qa | grep iptables 2 - Caso não esteja instalado, faça: apt-get update apt-get install iptables* Talvez peça os CDs do CL9 ou então ele vai procurar em um dos servidores mirrors de atualização do CL9 3 - Depois crie um script rc.firewall e salve em /etc/rc.d e dê um chmod 755 neste script ( uma boa fonte de scripts prontos para firewall você poderá encontrar em http://www.yolinux.com/TUTORIALS/LinuxTutorialIptablesNetworkGateway.html ) 4 - No arquivo rc.local, coloque na última linha dele: . /etc/rc.d/rc.firewall (ou rc.filtro, ou rc.porteira, uai sô!!) 5 - Navegue à vontade na web e faça seu teste no site da symantec , pode ser de um micro da rede interna mesmo, e configure o iptables de acordos com os How-to (s) do site www.netfilter.org. Espero ter ajudado []'s Rogério ***************************************************** De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br Cc: EDUARDO ANTONIO RAGA LUCCAS Assunto: Re: (linux-br)Ajuda regra no IPtables Data: Tue, 1 Feb 2005 21:45:58 -0200 EDUARDO ANTONIO RAGA LUCCAS wrote: >Srs, podem me ajudar na criação de uma regra no iptables ? >eu ainda não consegui aprender isso direito... > >quero que a maquina firewall com o iptables aceite qualquer pacote vindo > de uma determinada máquina (digamos, 10.1.0.11), indo pra qquer lugar, > e também o inverso, que qquer pacote de volta para essa, e somente > essa, máquina passe na boa. iptables -A FORWARD -s 10.1.0.11 -j ACCEPT iptables -A FORWARD -d 10.1.0.11 -j ACCEPT -s = --source -d = --destination >Outra coisa, na regra de retorno, dá pra atrelar ao MAC da placa de rede > da máquina ? Sim: iptables -A FORWARD -mmac --mac 00:11:22:33:44:55 -s 10.1.0.11 -j ACCEPT O -mmac --mac só serve para a origem. Não dá para usá-lo com o IP de destino. Para forçar isso, você deve mudar a sua tabela de ARP: arp -s 10.1.0.11 00:11:22:33:44:55 Lembrando apenas que qualquer um com acesso de root pode mudar o MAC de uma placa de rede. MAC não é segurança se a sua rede em si não for segura: é necessário atrelar o MAC e/ou o IP a uma porta do seu switch e impedir o acesso físico ao switch e ao ponto de rede. -- Thiago Macieira - thiago (AT) macieira (DOT) info ***************************************************** De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br Cc: Reinaldo de A. Bonilho Assunto: Re: (linux-br) Organização Iptables Data: Mon, 9 Aug 2004 19:54:02 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Reinaldo de A. Bonilho wrote: >Gostaria de tirar uma dúvida, existe algora forma de >organizar as regras do iptables. Só existe uma ordem: a ordem em que as regras se aplicam. As regras são tratadas na ordem em que forem inseridas com -A (ou na ordem reversa se forem inseridas com -I). As regras em cadeias diferentes e tabelas diferentes não têm relação de ordem entre si. Mas cada cadeia/tabela tem um papel específico. - -- Thiago Macieira - Registered Linux user #65028 ***************************************************** De: Anderson J. da Silva Para: Aguiar Magalhaes Cc: linux-br@bazar2.conectiva.com.br Assunto: RES: (linux-br)iptables e ipchains - perigo Data: Thu, 23 Sep 2004 16:58:51 -0300 > > Estou tentando habilitar uma regra contra port > scanners avançados (NMAP) no iptables, mas está > acusando erro... > > iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST > -m limit --limit 1/s -j ACCEPT > > erro: iptables 1.2.7a - tcp-flags requires two args > > Gostaria também de saber como bloquear port scanners > usando o ipchains faltou un RST $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT ***************************************************** De: Jorge Godoy Para: Aguiar Magalhaes Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Hardware de servidor de e-mail Data: Thu, 23 Sep 2004 17:38:27 -0300 Aguiar Magalhaes writes: > Obrigado Godoy, > > você teria uma dica como saber o volume de mensagens > no postfix e tráfego diário previsto ?? Algum software > ?? Eu respondi isso quando você enviou a mensagem em PVT. Como disse, não há software para isso. Você deve estudar o perfil dos usuários e ver com eles o tipo de tráfego que gerarão. Sobre o volume de mensagens, uma mensagem enviada corresponde a uma mensagem trafegada, uma mensagem recebida corresponde a uma mensagem recebida... Se houver mais de um destinatário na mensagem, em mais de um domínio, você passa a ter mais tráfego e assim por diante. Você tem que estudar o perfil dos usuários, o tipo de uso do email, etc. Se teus usuários enviarem DEZ emails por dia com 100 MiB, você terá um volume baixíssimo, mas um tráfego que começa a ser interessante :-) Se mais de um usuário tiver esse perfil, você já começa a ter problemas de link, etc. :-) -- Godoy. ***************************************************** De: André Mariano Responder A: andremariano@brfree.com.br Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Mantando uma conexao especifica Data: Mon, 14 Mar 2005 13:36:01 -0300 com #netstat -A inet -p você verá qual o pid do processo. mate-o. Em Seg 14 Mar 2005 07:27, Isaac Cavalcanti escreveu: > Prezado colegas, > > quando entro no iptraf no meu servidor percebo q a maquina > xxx.xxx.x.xxx esta fazendo um download, entao para "punir" > eu bloqueio a maquina: > > iptables -A FORWARD -s xxx.xxx.x.xxx -j DROP > > ok, so q a conexao continua ativa e somente quando ele > termina o download e vai tentar de novo ai sim a regra vale, > isso ainda q eu limpe as regras e rode o firewall de novo, > como eu posso derrubar a conexao especifica dessa maquina > em tempo real, imediatamente, obrigado por qualquer ajuda. ***************************************************** *****************************************************