Responder 
 
Avaliação do Tópico:
  • 0 Votos - 0 Média
  • 1
  • 2
  • 3
  • 4
  • 5
porta 80 bloqueada
01/12/2009, 16:35
Resposta: #1
porta 80 bloqueada
salve galera..
to criando um script de firewall iptables com as chains input e forward como drop, porem mesmo eu permitindo o acesso na porta 80 eu nao to conseguindo acessar nada.
caso la em sessoes estabelecidas eu altere
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
para
iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

ae sim eu consigo acessar blz, alguem pode me dizer o que esta errado, pois caso eu nao coloque o new, a minah porta 80 fica bloqueado e nao consigo acessar nada,
segue abaixo o script de firewall.

#!bin/bash
firewall_start(){
echo "Carregando as regras..."
sleep 1

#ativa compartilhamento da internet
echo "1" > /proc/sys/net/ipv4/ip_forward

#redireciona porta 80 para 3128 proxy transparente
iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128

#encaminha os pacotes da rede local para internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#bloqueia input na porta do squid exceto para minha lan
iptables -A INPUT -p tcp -s ! 192.168.0.0/24 --dport 3128 -j REJECT

#ignora/limita pings
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/s -j ACCEPT
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

#protecao contra IP spoofing
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -N syn-flood
iptables -A INPUT -i eth0 -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP

#protecao contra synflood
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

#protecao contra ICMP broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#interface loopback
iptables -I INPUT -i lo -j ACCEPT
iptables -I OUTPUT -o lo -j ACCEPT
iptables -I INPUT -i ! lo -s 127.0.0.0/255.0.0.0 -j DROP

# Proteçao contra worms
iptables -A FORWARD -p tcp --dport 135 -i eth1 -j REJECT

#Protecao contra tronjans
iptables -N TROJAN
iptables -A TROJAN -j DROP
iptables -A INPUT -p TCP -i eth0 --dport 666 -j TROJAN
iptables -A INPUT -p TCP -i eth0 --dport 666 -j TROJAN
iptables -A INPUT -p TCP -i eth0 --dport 4000 -j TROJAN
iptables -A INPUT -p TCP -i eth0 --dport 6000 -j TROJAN
iptables -A INPUT -p TCP -i eth0 --dport 6006 -j TROJAN
iptables -A INPUT -p TCP -i eth0 --dport 16660 -j TROJAN

# Protecao contra trinoo
iptables -N TRINOO
iptables -A TRINOO -j DROP
iptables -A INPUT -p TCP -i eth0 --dport 27444 -j TRINOO
iptables -A INPUT -p TCP -i eth0 --dport 27665 -j TRINOO
iptables -A INPUT -p TCP -i eth0 --dport 31335 -j TRINOO
iptables -A INPUT -p TCP -i eth0 --dport 34555 -j TRINOO
iptables -A INPUT -p TCP -i eth0 --dport 35555 -j TRINOO

#Contra Port Scanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#Bloquear Back Orifice
iptables -A INPUT -p tcp --dport 31337 -j DROP
iptables -A INPUT -p udp --dport 31337 -j DROP

#Bloquear NetBus
iptables -A INPUT -p tcp --dport 12345:12346 -j DROP
iptables -A INPUT -p udp --dport 12345:12346 -j DROP

#WebService
iptables -A INPUT -p tcp --dport 8080 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -i eth0 -j ACCEPT
iptables -A FORWARD -p tcp -j ACCEPT -d 192.168.0.10 --dport 3306
iptables -A FORWARD -p tcp -j ACCEPT -d 192.168.0.10 --dport 8080
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.0.10:8080
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3306 -j DNAT --to-destination 192.168.0.10:3306

#web
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p udp --dport 80 -j ACCEPT
iptables -A FORWARD -o eth0 -p tcp --dport 80 -j ACCEPT

#CAT
iptables -A FORWARD -o eth0 -p tcp --dport 5017 -j ACCEPT
iptables -A INPUT -p tcp --dport 5017 -i eth0 -j ACCEPT

#DNS
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -o eth0 -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -o eth0 -p udp --sport 53 -j ACCEPT

#HTTPS
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -o eth0 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -o eth0 -p udp --sport 443 -j ACCEPT

#SSH
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 22 -j ACCEPT

#ftp liberar descomente as 4 primeiras linhas
#iptables -A FORWARD -o eth0 -p tcp --dport 20 -j ACCEPT
#iptables -A FORWARD -o eth0 -p tcp --sport 20 -j ACCEPT
#iptables -A FORWARD -o eth0 -p tcp --dport 21 -j ACCEPT
#iptables -A FORWARD -o eth0 -p tcp --sport 21 -j ACCEPT

#pop e smtp
iptables -A INPUT -p tcp -m multiport --dport 25,110,111,113,143,465,587,993,995 -j ACCEPT

#sessoes estabelecidas
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state INVAlID -j DROP

echo "Regras ativas!"
sleep 1
}

firewall_stop(){
iptables -F
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -X
}

case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "Desativando firewall..."
sleep 2
echo "firewall desativado!"
;;
"restart")
echo "Firewall reiniciando..."
sleep 1
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
01/12/2009, 18:27
Resposta: #2
Re: porta 80 bloqueada
O bloqueio é feito no provedor.
Use a 8000 ao invés de 80.

Só conseguirá a porta 80, se pagar mais ou pedir para eles.

Todo o tráfego de *entrada* pela porta 80 é bloqueado em 99% dos provedores que eu conheço.

Eles alegam uma questão de *segurança*, mas eu acredito ser uma questão de segurança do bolso deles.

Abraço.

Lucas Saliés Brum
site | blog | telegram | medium | vk | twitter | github | .share
Visitar o website do usuário Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
02/12/2009, 09:34
Resposta: #3
Re: porta 80 bloqueada
sistematico Escreveu:O bloqueio é feito no provedor.
Use a 8000 ao invés de 80.

Só conseguirá a porta 80, se pagar mais ou pedir para eles.

Todo o tráfego de *entrada* pela porta 80 é bloqueado em 99% dos provedores que eu conheço.

Eles alegam uma questão de *segurança*, mas eu acredito ser uma questão de segurança do bolso deles.

Abraço.


pow irmao vlw pela intenção em ajudar, mais infelizmente não é isso não, pois ak é um plano para empresa e pagamos a incrivel bagatela de 2800 reais pelo link da embratel, é um link full dedicado, e por isso nao sofremos nem um tipo de bloqueio.
mais desde ja agradeço

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
02/12/2009, 13:20
Resposta: #4
Re: porta 80 bloqueada
Sem o NEW, novas conexões não são aceitas.

Se o tráfego vem de fora pra dentro, de uma origem não conhecida, é lógico e óbvio que ela se enquadra no parametro NEW, concorda?

Qual o problema de usar o NEW?

Lucas Saliés Brum
site | blog | telegram | medium | vk | twitter | github | .share
Visitar o website do usuário Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
02/12/2009, 14:33
Resposta: #5
Re: porta 80 bloqueada
sistematico Escreveu:Sem o NEW, novas conexões não são aceitas.

Se o tráfego vem de fora pra dentro, de uma origem não conhecida, é lógico e óbvio que ela se enquadra no parametro NEW, concorda?

Qual o problema de usar o NEW?

me ajude a entender, eu ainda sou muito leigo em iptables, to lendo o livro do urubatan mais mesmo assim ainda tem muita coisa que nao entendi.
vamos la, pelo que eu li no livro nao sei se interpretei certo se tiver errado sinta-se muito a vontade para me corrigir pois quem sabe seja justamente este o erro, o NEW como o proprio nome sujere é para novas conexoes, ou seja ele é usado para permitir novas conexoes sem ele o iptables vai permiti apenas as que estao descritas no teu firewall ESTABLISHED e RELATED nao seria isso? ou seja ele ia permitir tudo que eu to liberando no firewall e os demais ele nao iria permitir, é isso?
o problema em usar o NEW, e que qdo eu troco
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
por
iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
tudo fica liberado, nao bloqueio nada.
por exemplo o ftp e ate mesmo o emule.

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
02/12/2009, 15:51
Resposta: #6
Re: porta 80 bloqueada
um acho que entendi o q tenho que fazer inclusive vi isso tbm la no seu site sistematico, na realidade o qeu tenho que fazer ao liberar uma porta é o seguinte:
iptables -A OUTPUT -p tcp --sport 1024:5999 --dport 1863:1863 -m state --state NEW -j ACCEPT

tenho que adicionar sempre a expresao -m state --state NEW -j ACCEPT, no final de cada regra amanha eu irei testar pois no momento estou impossibilitado e se der certo volto a comentar.

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
02/12/2009, 17:40
Resposta: #7
Re: porta 80 bloqueada
dalveson Escreveu:um acho que entendi o q tenho que fazer inclusive vi isso tbm la no seu site sistematico, na realidade o qeu tenho que fazer ao liberar uma porta é o seguinte:
iptables -A OUTPUT -p tcp --sport 1024:5999 --dport 1863:1863 -m state --state NEW -j ACCEPT

tenho que adicionar sempre a expresao -m state --state NEW -j ACCEPT, no final de cada regra amanha eu irei testar pois no momento estou impossibilitado e se der certo volto a comentar.

tbm nao deu certo, alguma sujestao

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
03/12/2009, 09:07
Resposta: #8
Re: porta 80 bloqueada
Cara, você tá fazendo uma grande confusão aí.
iptables -A OUTPUT --sport
iptables -A INPUT --dport
Entendeu?

Se for usar uma sequencia de portas como postou aí, tem que carregar o módulo multiport, entende?
iptables -A OUTPUT -p tcp -m multiport --ports 1024:5999 -m ctstate --state NEW -j ACCEPT
iptables -A INPUT -p tcp -m multiport --ports 1863:1863 -m ctstate --state NEW -j ACCEPT
Viu?
Essas suas regras estão MUITO bagunçadas, a chance disso funcionar é mínima :lol:
Sugiro fortemente a leitura do manual do iptables:
Código:
man iptables

Abraço.

Lucas Saliés Brum
site | blog | telegram | medium | vk | twitter | github | .share
Visitar o website do usuário Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
03/12/2009, 11:32
Resposta: #9
Re: porta 80 bloqueada
sistematico Escreveu:Cara, você tá fazendo uma grande confusão aí.
iptables -A OUTPUT --sport
iptables -A INPUT --dport
Entendeu?

Se for usar uma sequencia de portas como postou aí, tem que carregar o módulo multiport, entende?
iptables -A OUTPUT -p tcp -m multiport --ports 1024:5999 -m ctstate --state NEW -j ACCEPT
iptables -A INPUT -p tcp -m multiport --ports 1863:1863 -m ctstate --state NEW -j ACCEPT
Viu?
Essas suas regras estão MUITO bagunçadas, a chance disso funcionar é mínima :lol:
Sugiro fortemente a leitura do manual do iptables:
Código:
man iptables

Abraço.

kra essas regras eu nao uso foi de apenas um site que peguei e coloquei ak, apenas para frisar a maneira em que eu imaginaria ser correto, repito eu nao uso essa regra foi apenas referencia. O que eu queria destaca era apenas o -m state --state NEW -j ACCEPT apos as portas imaginei que isso funcionaria, e nao se preocupa ja estou sim lendo o manual do iptables, o guia foca linux e muitos outros tranquilo...

----------------------------Torcida que canta e vibra----------------------------------
Seja sabio pergunte para aqueles que realmente sabem "obrigado forumdebian".
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
Responder 


Ir ao Fórum:


Usuários visualizando este tópico: 1 Visitantes

Entre em Contato | Fórum Debian | Voltar ao Topo | Voltar ao Conteúdo | Modo Leve (Arquivo) | Feeds RSS