Responder 
 
Avaliação do Tópico:
  • 0 Votos - 0 Média
  • 1
  • 2
  • 3
  • 4
  • 5
Problemas com NETFILTER / IPTABLES
04/10/2011, 09:29
Resposta: #1
Triste Problemas com NETFILTER / IPTABLES
Pessoal, esse é o meu primeiro post aqui!
Estou com um problemão na rede de uma empresa onde instalei um Router/firewall/proxy.

Ninguém consegue enviar/receber emails da empresa pelo Outlook, somente por webmail. O email é hospedado na Locaweb.
PS: quando coloco uma máquina no Iptables sem passar pelo Firewall, consegue sincronizar normalmente os email, mas apenas liberando todas as portas necessárias não vai de jeito nenhum!!!
Não sei mais o que tentar!
vou postar uma parte do meu script de firewall aqui para vocês analisarem e quem sabe me ajudarem! desde já agradeço muito!

Código:
#!/bin/sh

echo "Carregando de script de firewall .........................."

# Variveis para tornar o script mais genrico.
   INET_IFACE="eth1" # Internet
   LAN_IFACE="eth0" # Rede Local
PORTAS="23,25,110,143,389,443,465,587,993,995,587,1434,2086,2095,3389"
#


echo "Carregando modulos do netfilter."
   /sbin/depmod -a
   /sbin/modprobe ipt_LOG
   /sbin/modprobe ipt_REJECT
   /sbin/modprobe ipt_MASQUERADE
   /sbin/modprobe ipt_owner
   /sbin/modprobe ip_conntrack_ftp
   /sbin/modprobe ip_nat_ftp
   /sbin/modprobe iptable_nat

echo "Flush inicial nas chains padroes."
   /sbin/iptables -t nat -F
   /sbin/iptables -t mangle -F
   /sbin/iptables -t filter -F
#

echo "Aplicando polticas default das chains."
   /sbin/iptables -P INPUT DROP
   /sbin/iptables -P OUTPUT ACCEPT
   /sbin/iptables -P FORWARD DROP

   /sbin/iptables -t nat -P PREROUTING ACCEPT
   /sbin/iptables -t nat -P OUTPUT ACCEPT
   /sbin/iptables -t nat -P POSTROUTING ACCEPT

   /sbin/iptables -t mangle -P PREROUTING ACCEPT
   /sbin/iptables -t mangle -P OUTPUT ACCEPT
#

echo "Marcando pacotes de alta prioridade."
  /sbin/iptables -A PREROUTING -t mangle -p tcp --sport 2200 -j TOS --set-tos Minimize-Delay
  /sbin/iptables -A PREROUTING -t mangle -p tcp --dport 53 -j TOS --set-tos Minimize-Delay
  /sbin/iptables -A PREROUTING -t mangle -p tcp --dport 80 -j TOS --set-tos Minimize-Delay
#

echo "Permitindo entrada/saida de pacotes ICMP."
   /sbin/iptables -A INPUT -p icmp -j ACCEPT
   /sbin/iptables -A FORWARD -p icmp -j ACCEPT
   /sbin/iptables -A OUTPUT -p icmp -j ACCEPT

echo "Permitindo acessos a partir da interface local."
   /sbin/iptables -A INPUT -i lo -j ACCEPT


echo "Liberando acessos a partir da rede interna."
  /sbin/iptables -A INPUT -i $LAN_IFACE -j ACCEPT

echo "Aplicando Protecao contra port scanners ocultos."
   /sbin/iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

echo "Aplicando protecoes contra ataques externos."
   /sbin/iptables -A INPUT -m state --state INVALID -j DROP

echo "Permite a entrada de pacotes relacionados a conexes j estabelecidas."
   /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "Aplicando Protecao contra ping da morte"
   /sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

echo "liberando a porta 22 (para SSH) e 10000 (para webmin)."
   /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
   /sbin/iptables -A INPUT -p tcp --dport 10000 -j ACCEPT

echo "Liberando porta DNS"
   /sbin/iptables -A FORWARD -p udp --dport 53 -j ACCEPT # DNS

echo "Liberando portas TCP"
   /sbin/iptables -A FORWARD -p tcp -m multiport --dport $PORTAS -j ACCEPT
   /sbin/iptables -A INPUT -p tcp -m multiport --dport $PORTAS -j ACCEPT

echo "Liberando portas UDP"
   /sbin/iptables -A FORWARD -p udp -m multiport --dport $PORTAS -j ACCEPT
   /sbin/iptables -A INPUT -p udp -m multiport --dport $PORTAS -j ACCEPT

#Emails Locaweb
#Portas Locaweb = 25,110,143,587,995 (via outlook) Todas ja liberadas
   /sbin/iptables -A FORWARD -s 10.1.1.0/24 -d locaweb.com.br -j ACCEPT
   /sbin/iptables -A FORWARD -s 10.1.1.0/24 -d pop.locaweb.com.br -j ACCEPT
   /sbin/iptables -A FORWARD -s 10.1.1.0/24 -d smtp.locaweb.com.br -j ACCEPT
   /sbin/iptables -A FORWARD -s 10.1.1.0/24 -d vninformatica.com.br -j ACCEPT
   /sbin/iptables -A FORWARD -s 10.1.1.0/24 -d pop.vninformatica.com.br -j ACCEPT
   /sbin/iptables -A FORWARD -s 10.1.1.0/24 -d smtp.vninformatica.com.br -j ACCEPT
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
04/10/2011, 13:02
Resposta: #2
RE: Problemas com NETFILTER / IPTABLES
Cara, de uma lida neste artigo:

http://www.hardware.com.br/artigos/firewall-iptables/

Ai vai esta a resposta que você precisa.

Notebook Lenovo ThinkPad E430, Intel® Core™ i3-2328M CPU @ 2.20GHz × 4, Intel® Sandybridge Mobile, 4 GB RAM DDR3, 500 GB HD, Ubuntu 13.04 64bits
Visitar o website do usuário Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
04/10/2011, 20:17
Resposta: #3
RE: Problemas com NETFILTER / IPTABLES
Você precisa também monitorar com o tcpump e verificar que portas estão tentando acessar, a partir daí efetuar aliberação no iptables.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
10/10/2011, 13:13
Resposta: #4
RE: Problemas com NETFILTER / IPTABLES
Você pode tentar fazer um log do iptables.

Daniel Vieceli
Administrador de Redes
[Imagem: debian.png]
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
10/10/2011, 14:57
Resposta: #5
RE: Problemas com NETFILTER / IPTABLES
você já tentou tirando o fim do seu script da liberação de portas do e-mail pois esta repetindo a mesma coisa que você fez no inicio com a variavel PORTA

Jvianez
Todo Cristão é Livre use Linux e não seja Pirata.
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
Responder 


Ir ao Fórum:


Usuários visualizando este tópico: 1 Visitantes

Entre em Contato | Fórum Debian | Voltar ao Topo | Voltar ao Conteúdo | Modo Leve (Arquivo) | Feeds RSS