Prezados,
Tenho um cliente atualmente utilizando
as regras de firewall mais abaixo, porém as máquinas clientes (winxp,
win2k, win98) que estão passando pelo NAT estão muito instáveis, ou
seja, impedidas de navegar, checar emails, etc. Sendo necessário
restartar a interface de rede p/ poder voltar ao normal e depois
falhar
Analisei bem estas regras e não consegui encontrar
a falha. Os IPs que estão passando pelo NAT possuem o subtítulo #IPs liberados
(no final do script)
Detalhe, não pode ser problema físico nem de
instabilidade no link, porque as máquinas que estão passando pelo proxy navegam
e enviam emails normalmente.
O SO é Debian Woody 3.0 r0 - Kernel 2.4.18 - Link
de 128K - Proxy: SQUID
Obrigado pela atenção e ajuda!
# Limpar a tabela atual iptables -t nat -F iptables -F # habilita forward
echo 1 > /proc/sys/net/ipv4/ip_forward # Desabilita resposta para ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all # Desabilita port Scan
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts ##### Protecao contra IP Spoofing
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 >$i done ##### Disable ICMP Redirect Acceptance
for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do echo 0 > $f done ##### Log packets with impossible addresses
for f in /proc/sys/net/ipv4/conf/*/log_martians; do echo 1 > $f done # PortScan
iptables -A INPUT -i eth1 -p udp -s any/0 --sport 32769:65535 -d 200.X.X.X --dport 33434:33523 -j LOG --log-prefix "Incoming traceroute: " iptables -A INPUT -i eth1 -p udp -s any/0 --sport 32769:65535 -d
200.X.X.X --dport 33434:33523 -j DROP
echo "ATIVANDO FIREWALL..." /sbin/modprobe ip_conntrack
/sbin/modprobe ipt_MASQUERADE /sbin/modprobe ipt_LOG /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_irc # Barra todo o forward que nao estiver listado abaixo
iptables -t filter -P FORWARD DROP # Libera trafego livre para loopback
iptables -t filter -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT iptables -t filter -A OUTPUT -o lo -s 0/0 -d 0/0 -j ACCEPT # Definicoes iniciais - Rede privada pode fazer novas conexoes
iptables -t filter -A INPUT -i eth0 -m state --state NEW -j ACCEPT iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Liberacoes para a rede privada 10.6.0.0
#iptables -t filter -A FORWARD -d 0/0 -s 10.6.0.0/255.0.0.0 -o eth1 -j ACCEPT iptables -t filter -A FORWARD -d 10.6.0.0/255.0.0.0 -s 0/0 -i eth1 -j ACCEPT iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 200.242.213.143
iptables -t filter -A INPUT -s 10.6.0.0/255.0.0.0 -d 0/0 -j ACCEPT
iptables -t filter -A OUTPUT -s 10.6.0.0/255.0.0.0 -d 0/0 -j ACCEPT iptables -t filter -A OUTPUT -p icmp -s 10.6.0.0/255.0.0.0 -d 0/0 -j ACCEPT # bloqueia tudo
#iptables -t filter -A FORWARD -s 10.6.0.0/255.0.0.0 -j DROP # Ips liberados
iptables -A FORWARD -s 10.6.0.80 -j ACCEPT iptables -A FORWARD -p tcp -s 10.6.0.10 -j ACCEPT iptables -A FORWARD -s 10.6.0.40 -j ACCEPT iptables -A FORWARD -s 10.6.0.41 -j ACCEPT iptables -A FORWARD -s 10.6.0.42 -j ACCEPT iptables -A FORWARD -s 10.6.0.44 -j ACCEPT iptables -A FORWARD -s 10.6.0.45 -j ACCEPT iptables -A FORWARD -p tcp -s 10.6.0.40 -j ACCEPT # Filtros para a rede
iptables -A FORWARD -p tcp -s 10.6.0.0/255.0.0.0 --dport 25 -j ACCEPT iptables -A FORWARD -p tcp -s 10.6.0.0/255.0.0.0 --dport 110 -j ACCEPT iptables -A FORWARD -p tcp -s 10.6.0.0/255.0.0.0 --dport 3128 -j ACCEPT iptables -A INPUT -p tcp -s 10.6.0.0/255.0.0.0 --dport 3128 -j ACCEPT iptables -A FORWARD -p tcp -s 10.6.0.0/255.0.0.0 --dport 53 -j ACCEPT iptables -A FORWARD -p udp -s 10.6.0.0/255.0.0.0 --dport 53 -j ACCEPT echo "FIREWALL ATIVADO!" []´s
Pedro Ivo Lima
|