virtua - linux como router - problemas nas regras

To: "debian-user-portuguese" <debian-user-portuguese@lists.debian.org>
Subject: virtua - linux como router - problemas nas regras
From: "nuser" <fakeact@bol.com.br>
Date: Sun, 15 Apr 2007 21:17:11 -0300
Message-id: <[🔎] JGKE4N$AD88BD865B75F618D79ECFC6F0BEB7CB@bol.com.br>
 oi,

 li sobre compartilhar internet usando o linux e acabei encontrando um script com quase aquilo que preciso.

 o cenario:

 internet vem por cabo (virtua), o modem eh um motorla sbv5120, ele tem um dhcp dentro, e ele da pro meu computador um ip valido na internet.
 todos os cabos usados sao diretos, sem crossover.
 modem - cabo - eth0.
 eth1 - cabo - porta1(uplink) do hub/switch
 portas 2 em diante utilizadas por 2 pcs com windows.
 a rede interna tem ips fixos para todos.. o gateway dos pcs windows eh o meu linux, 10.1.1.1
 em /proc eu ativei tudo relacionado a ip forwarding, e desabilitei um que tinha ignore all icmp broadcasts, nao recordo..

 uso 2.6

 a intencao eh:
 - todos os 3 pcs podem usar web/msn/clientes p2p/etc..... sendo que nos clientes p2p vou botar uma faixa de portas para cada maquina, pq alguns vao usar os mesmos programas, nao quero liberar/redirecionar todas as portas no servidor para a rede interna, apenas as realmente utilizadas. saindo da rede pode tudo, entrando apenas aquilo que msn/p2p exige. eh uma exigencia dos outros pagantes

 nesse setup tudo fica fechado (trafego fica impossivel, nao sai pacote nenhum) depois que boto em uso o set de regras da funcao "seguro". ate mesmo na maquina local, o servidor, nao eh possivel resolver nomes.............

--------------------------------- codigo
#! /bin/bash

#IP_LOCAL=172.16.23.22
IP_LOCAL=$(ifconfig eth0 | grep "inet addr:" | cut -c 21-33)
IP_DNS1=200.247.141.12
IP_DNS2=200.247.141.11

apagueTabelas () {
        echo
## ----------------------------------
## Tabelas FILTER e NAT
## ----------------------------------
        echo \ \ -\>IPTables: Apagando regras em tabelas FILTER e NAT
        sudo iptables -F
        sudo iptables -X
        sudo iptables -t nat -F
        sudo iptables -t nat -X
}


abraTudo () {
        apagueTabelas
        echo
	echo "\n Carregando modulos.. \n"
	modprobe ip_conntrack
	modprobe ip_nat_ftp
	modprobe ip_nat
	modprobe ip_nat_tftp
	modprobe ip_queue
	modprobe iptable_nat
	modprobe iptable_raw
	modprobe ip_tables
	modprobe ipt_MASQUERADE
## ----------------------------------
## Configurando políticas
## ----------------------------------
        echo \ \ -\>IPTables: Abrindo todas as saídas e entradas do sistema
        sudo iptables -P INPUT ACCEPT
        sudo iptables -P FORWARD ACCEPT
        sudo iptables -P OUTPUT ACCEPT

        echo
## ----------------------------------
##  Configurando NAT
## ----------------------------------
        echo \ \ -\>IPTables: Configurando acesso da rede interna para a Internet
        #sudo iptables -t nat -A POSTROUTING -s 192.168.0.5 -o wlan0 -j MASQUERADE
	sudo iptables -t nat -A POSTROUTING -s 10.1.1.0/255.255.255.0 -o eth0 -j MASQUERADE
}

fecheTudo() {
        apagueTabelas
        echo
## ----------------------------------
## Configurando políticas
## ----------------------------------
        echo \ \ -\>IPTables: Trancando todas as saídas e entradas do sistema
        sudo iptables -P INPUT DROP
        sudo iptables -P FORWARD DROP
        sudo iptables -P OUTPUT DROP
}

construaModoSeguro () {
        apagueTabelas
        echo
	echo "\n Carregando modulos.. \n"
	modprobe ip_conntrack
	modprobe ip_nat_ftp
	modprobe ip_nat
	modprobe ip_nat_tftp
	modprobe ip_queue
	modprobe iptable_nat
	modprobe iptable_raw
	modprobe ip_tables
	modprobe ipt_MASQUERADE

## ----------------------------------
## Configurando políticas
## ----------------------------------
        echo \ \ -\>IPTables: Configurando políticas para valores seguros
        sudo iptables -P INPUT ACCEPT
        sudo iptables -P FORWARD DROP
        sudo iptables -P OUTPUT DROP

        echo
## ----------------------------------
## Configurando INPUT
## ----------------------------------
        echo \ \ -\>IPTables: Liberando que serviços e máquinas comuniquem com vc
        ## Permite entradas para uma faixa de endereços da rede local
        sudo iptables -A INPUT -p tcp -s 10.1.1.0/255.255.255.0 -j ACCEPT
        ## Permite entradas na porta 80 (Apache)
        sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
        # Permite que localhost receba dados para localhost
        sudo iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
        # Permite que entre somente pacotes de uma conexão já estabelecida
        sudo iptables -A INPUT -p tcp --syn -j DROP

        echo
## ----------------------------------
## Configurando OUTPUT
## ----------------------------------
        echo \ \ -\>IPTables: Liberando acesso de programas e serviços para o uso da Internet
        ## Permite saídas para uma faixa de endereços da rede local
        sudo iptables -A OUTPUT -p tcp -d 10.1.1.0/255.255.255.0 -j ACCEPT
        # Libera uso de serviços que estejam escutando localhost, como o CURPS e o POSTFIX
        sudo iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT
        # Libera a consulta ao servidor DNS
        #sudo iptables -A OUTPUT -s $IP_LOCAL -d $IP_DNS -j ACCEPT
	sudo iptables -A OUTPUT -s $IP_LOCAL -d $IP_DNS1 -j ACCEPT
	sudo iptables -A OUTPUT -s $IP_LOCAL -d $IP_DNS2 -j ACCEPT
	sudo iptables -A OUTPUT -s 127.0.0.1 -d $IP_DNS1 -j ACCEPT
	sudo iptables -A OUTPUT -s 127.0.0.1 -d $IP_DNS2 -j ACCEPT
	sudo iptables -A OUTPUT -s 10.1.1.1 -d $IP_DNS1 -j ACCEPT
	sudo iptables -A OUTPUT -s 10.1.1.1 -d $IP_DNS2 -j ACCEPT
	sudo iptables -A OUTPUT -s 10.1.1.4 -d $IP_DNS1 -j ACCEPT
	sudo iptables -A OUTPUT -s 10.1.1.4 -d $IP_DNS2 -j ACCEPT
	sudo iptables -A OUTPUT -s 10.1.1.8 -d $IP_DNS1 -j ACCEPT
	sudo iptables -A OUTPUT -s 10.1.1.8 -d $IP_DNS2 -j ACCEPT
	sudo iptables -A OUTPUT -s 10.1.1.0/255.255.255.0 -d $IP_DNS1 -j ACCEPT
	sudo iptables -A OUTPUT -s 10.1.1.0/255.255.255.0 -d $IP_DNS2 -j ACCEPT

        ## Libera resposta para requisições web vindos de fora (Apache)
        sudo iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

        sudo iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
        # Libera consulta aos serviços da web (HTTP)
        sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 80 -j ACCEPT 
#IP_LOCAL	sudo iptables -A OUTPUT -s 127.0.0.1 -p tcp --dport 80 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.1 -p tcp --dport 80 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 80 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.8 -p tcp --dport 80 -j ACCEPT
        # Libera consulta aos serviços da web (HTTPS, MSN)
        sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 443 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 127.0.0.1 -p tcp --dport 443 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.1 -p tcp --dport 443 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 443 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.8 -p tcp --dport 443 -j ACCEPT
	# FTP
	sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 21 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 127.0.0.1 -p tcp --dport 21 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.1 -p tcp --dport 21 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 21 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.8 -p tcp --dport 21 -j ACCEPT
        # Libera consulta a caixa postal do e-mail (SMTP)
        sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 25 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 127.0.0.1 -p tcp --dport 25 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.1 -p tcp --dport 25 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 25 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.8 -p tcp --dport 25 -j ACCEPT
        # Libera envio de e-mails (POP3)
        sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 110 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 127.0.0.1 -p tcp --dport 110 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.1 -p tcp --dport 110 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 110 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.8 -p tcp --dport 110 -j ACCEPT
        # Libera consulta a caixa postal do GMail
	sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 995 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 127.0.0.1 -p tcp --dport 995 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.1 -p tcp --dport 995 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 995 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.8 -p tcp --dport 995 -j ACCEPT
        # Libera envio de e-mail do GMail
        sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 465 -j ACCEPT
        sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 587 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 127.0.0.1 -p tcp --dport 465 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.1 -p tcp --dport 465 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 465 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.8 -p tcp --dport 465 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 127.0.0.1 -p tcp --dport 587 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.1 -p tcp --dport 587 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 587 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.8 -p tcp --dport 587 -j ACCEPT
        # Libera o uso da rede Jabber
	sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 5222 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 127.0.0.1 -p tcp --dport 5222 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.1 -p tcp --dport 5222 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 5222 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.8 -p tcp --dport 5222 -j ACCEPT
        # Libera o uso da rede MSN
        sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 1863 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 127.0.0.1 -p tcp --dport 1863 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.1 -p tcp --dport 1863 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 1863 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.8 -p tcp --dport 1863 -j ACCEPT
        # Libera o uso do IRC
	sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 6667 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 127.0.0.1 -p tcp --dport 6667 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.1 -p tcp --dport 6667 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 6667 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.8 -p tcp --dport 6667 -j ACCEPT
        # Libera o uso do ICQ
	sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 5190 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 127.0.0.1 -p tcp --dport 5190 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.1 -p tcp --dport 5190 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 5190 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.8 -p tcp --dport 5190 -j ACCEPT
        # Libera o uso do YahooMesseger
	sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 5050 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 127.0.0.1 -p tcp --dport 5050 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.1 -p tcp --dport 5050 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 5050 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.8 -p tcp --dport 5050 -j ACCEPT
	# Skype
	sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 55017 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 127.0.0.1 -p tcp --dport 55017 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.1 -p tcp --dport 55017 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 55017 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.8 -p tcp --dport 55017 -j ACCEPT
	# Limewire e Emule
	sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 6346 -j ACCEPT
	sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 4662 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 6346 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 4662 -j ACCEPT
	# MSN
	# 6891-6900/TCP,UDP 	MSN Messenger (File transfer)
	# 6901/TCP,UDP 	MSN Messenger (Voice)
	sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 6891:6900 -j ACCEPT
	sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 6901 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 127.0.0.1 -p tcp --dport 6891:6900 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.1 -p tcp --dport 6891:6900 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 6891:6900 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.8 -p tcp --dport 6891:6900 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 127.0.0.1 -p tcp --dport 6901 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.1 -p tcp --dport 6901 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.4 -p tcp --dport 6901 -j ACCEPT
#IP_LOCAL	sudo iptables -A OUTPUT -s 10.1.1.8 -p tcp --dport 6901 -j ACCEPT



        echo
## ----------------------------------
## Configurando FORWARD
## ----------------------------------
        echo \ \ -\>IPTables: Configurando acesso de programas e servicos da rede interna a Internet
        ## Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
        ## Contra Ping of Death
        sudo iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
        ## Contra Ping
        sudo iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
        ## Contra port scanners avançados (nmap)
        sudo iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
        ## Contra pacotes danificados (NÃO FUNCIONA?)
        #sudo iptables -A FORWARD -m unclean -j DROP
        ## Outros ataques
        #sudo iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
        #sudo iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
        ## Ignora pings
        #sudo echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

        # Libera consulta aos serviços da web (Saída e Entrada)
        #sudo iptables -A FORWARD -s 192.168.0.5 -p tcp --dport 80 -j ACCEPT
        #sudo iptables -A FORWARD -d 192.168.0.5 -p tcp --sport 80 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.1 -p tcp --dport 80 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.1 -p tcp --sport 80 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.4 -p tcp --dport 80 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.4 -p tcp --sport 80 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.8 -p tcp --dport 80 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.8 -p tcp --sport 80 -j ACCEPT
        #Libera o uso de serviços da web (HTTPS, MSN)
        sudo iptables -A FORWARD -s 10.1.1.1 -p tcp --dport 443 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.1 -p tcp --sport 443 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.4 -p tcp --dport 443 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.4 -p tcp --sport 443 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.8 -p tcp --dport 443 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.8 -p tcp --sport 443 -j ACCEPT
        #libera o uso de serviços do MSN
        sudo iptables -A FORWARD -s 10.1.1.1 -p tcp --dport 1863 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.1 -p tcp --sport 1863 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.4 -p tcp --dport 1863 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.4 -p tcp --sport 1863 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.8 -p tcp --dport 1863 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.8 -p tcp --sport 1863 -j ACCEPT
        # Libera consulta a serviços de e-mail (Saída e Entrada)
        sudo iptables -A FORWARD -s 10.1.1.1 -p tcp --dport 25 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.1 -p tcp --sport 25 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.4 -p tcp --dport 25 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.4 -p tcp --sport 25 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.8 -p tcp --dport 25 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.8 -p tcp --sport 25 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.1 -p tcp --dport 110 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.1 -p tcp --sport 110 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.4 -p tcp --dport 110 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.4 -p tcp --sport 110 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.8 -p tcp --dport 110 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.8 -p tcp --sport 110 -j ACCEPT
        # Libera a consulta ao servidor DNS (Saída e Entrada)
        #sudo iptables -A FORWARD -s 192.168.0.5 -d $IP_DNS -j ACCEPT
        #sudo iptables -A FORWARD -s $IP_DNS -d 192.168.0.5 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.1 -d $IP_DNS1 -j ACCEPT
	sudo iptables -A FORWARD -s 10.1.1.1 -d $IP_DNS2 -j ACCEPT
	sudo iptables -A FORWARD -s $IP_DNS1 -d 10.1.1.1 -j ACCEPT
	sudo iptables -A FORWARD -s $IP_DNS2 -d 10.1.1.1 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.4 -d $IP_DNS1 -j ACCEPT
	sudo iptables -A FORWARD -s 10.1.1.4 -d $IP_DNS2 -j ACCEPT
	sudo iptables -A FORWARD -s $IP_DNS1 -d 10.1.1.4 -j ACCEPT
	sudo iptables -A FORWARD -s $IP_DNS2 -d 10.1.1.4 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.8 -d $IP_DNS1 -j ACCEPT
	sudo iptables -A FORWARD -s 10.1.1.8 -d $IP_DNS2 -j ACCEPT
	sudo iptables -A FORWARD -s $IP_DNS1 -d 10.1.1.8 -j ACCEPT
	sudo iptables -A FORWARD -s $IP_DNS2 -d 10.1.1.8 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.0/255.255.255.0 -d $IP_DNS1 -j ACCEPT
	sudo iptables -A FORWARD -s 10.1.1.0/255.255.255.0 -d $IP_DNS2 -j ACCEPT
	sudo iptables -A FORWARD -s $IP_DNS1 -d 10.1.1.0/255.255.255.0 -j ACCEPT
	sudo iptables -A FORWARD -s $IP_DNS2 -d 10.1.1.0/255.255.255.0 -j ACCEPT

        # Libera consulta a serviços do Skype
        #sudo iptables -A FORWARD -s 192.168.0.5 -p tcp --dport 55017 -j ACCEPT COMETNADO
        #sudo iptables -A FORWARD -d 192.168.0.5 -p tcp --sport 55017 -j ACCEPT COMENTADO
        sudo iptables -A FORWARD -s 10.1.1.1 -p tcp --dport 55017 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.1 -p tcp --sport 55017 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.4 -p tcp --dport 55017 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.4 -p tcp --sport 55017 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.8 -p tcp --dport 55017 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.8 -p tcp --sport 55017 -j ACCEPT
        # Libera consulta a serviços do Jabber
        #sudo iptables -A FORWARD -s 192.168.0.5 -p tcp --dport 5222 -j ACCEPT
        #sudo iptables -A FORWARD -d 192.168.0.5 -p tcp --sport 5222 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.1 -p tcp --dport 5222 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.1 -p tcp --sport 5222 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.4 -p tcp --dport 5222 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.4 -p tcp --sport 5222 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.8 -p tcp --dport 5222 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.8 -p tcp --sport 5222 -j ACCEPT
	# FTP lauro
        sudo iptables -A FORWARD -s 10.1.1.1 -p tcp --dport 21 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.1 -p tcp --sport 21 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.4 -p tcp --dport 21 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.4 -p tcp --sport 21 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.8 -p tcp --dport 21 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.8 -p tcp --sport 21 -j ACCEPT
	# Limewire e Emule
        sudo iptables -A FORWARD -s 10.1.1.4 -p tcp --dport 6346 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.4 -p tcp --sport 6346 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.4 -p tcp --dport 4662 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.4 -p tcp --sport 4662 -j ACCEPT
	# MSN
	# 6891-6900/TCP,UDP 	MSN Messenger (File transfer)
	# 6901/TCP,UDP 	MSN Messenger (Voice)
        sudo iptables -A FORWARD -s 10.1.1.1 -p tcp --dport 6891:6900 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.1 -p tcp --sport 6891:6900 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.4 -p tcp --dport 6891:6900 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.4 -p tcp --sport 6891:6900 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.8 -p tcp --dport 6891:6900 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.8 -p tcp --sport 6891:6900 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.1 -p tcp --dport 6901 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.1 -p tcp --sport 6901 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.4 -p tcp --dport 6901 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.4 -p tcp --sport 6901 -j ACCEPT
        sudo iptables -A FORWARD -s 10.1.1.8 -p tcp --dport 6901 -j ACCEPT
        sudo iptables -A FORWARD -d 10.1.1.8 -p tcp --sport 6901 -j ACCEPT


        # Libera consulta aos serviços da web (Saída e Entrada)
# ok    sudo iptables -A FORWARD -s 10.1.1.1 -p tcp --dport 80 -j ACCEPT
# tem jásudo iptables -A FORWARD -d 10.1.1.1 -p tcp --sport 80 -j ACCEPT
        #Libera o uso de serviços da web (HTTPS, MSN)
# ok       sudo iptables -A FORWARD -s 10.1.1.1 -p tcp --dport 443 -j ACCEPT
# tem já   sudo iptables -A FORWARD -d 10.1.1.1 -p tcp --sport 443 -j ACCEPT

        # Libera consulta a serviços do Jabber
        #sudo iptables -A FORWARD -s 192.168.0.2 -p tcp --dport 5222 -j ACCEPT ok tem ali em cima
        #sudo iptables -A FORWARD -d 192.168.0.2 -p tcp --sport 5222 -j ACCEPT


        # Libera consulta aos serviços da web (Saída e Entrada)
        # ok tem já sudo iptables -A FORWARD -s 192.168.0.7 -p tcp --dport 80 -j ACCEPT
        # ok tem já sudo iptables -A FORWARD -d 192.168.0.7 -p tcp --sport 80 -j ACCEPT
        #Libera o uso de serviços da web (HTTPS, MSN)
        # ok tem já sudo iptables -A FORWARD -s 192.168.0.7 -p tcp --dport 443 -j ACCEPT
        # ok tem já sudo iptables -A FORWARD -d 192.168.0.7 -p tcp --dport 443 -j ACCEPT
        # Libera consulta a serviços do Jabber
        # ok tem já sudo iptables -A FORWARD -s 192.168.0.7 -p tcp --dport 5222 -j ACCEPT
        # ok tem já sudo iptables -A FORWARD -d 192.168.0.7 -p tcp --sport 5222 -j ACCEPT


        echo
## ----------------------------------
## Configurando NAT
## ----------------------------------

        echo \ \ -\>IPTables: Configurando acesso da rede interna para a Internet
        #sudo iptables -t nat -A POSTROUTING -s 192.168.0.5 -o wlan0 -j MASQUERADE
	sudo iptables -t nat -A POSTROUTING -s 10.1.1.1 -o eth0 -j MASQUERADE
	sudo iptables -t nat -A POSTROUTING -s 10.1.1.4 -o eth0 -j MASQUERADE
	sudo iptables -t nat -A POSTROUTING -s 10.1.1.8 -o eth0 -j MASQUERADE
## ************************************
## *           ATENÇÃO                *
## ************************************
## 1 ) Log como root
##      $ sudo su -
## 2 ) Edite o arquivo /proc/sys/net/ipv4/ip_forward
##       echo 1  > /proc/sys/net/ipv4/ip_forward
## 3 ) Edite a variavel no arquivo /etc/network/options
##      ip_forward=yes
## ************************************

}


echo Configurando iptables...

case "$1" in
    abra)
        echo -n "Iniciando montagem da pasta servidor:"
        abraTudo
        ;;
    feche)
        echo -n "Desmontando a pasta servidor:"
                fecheTudo
        ;;
    seguro)
        construaModoSeguro
        ;;
   *)
        exit 1
        ;;
esac

echo
echo Configuração de tabelas completa.
echo

exit 0

---------------------- codigo.
Reply to:
Prev by Date: Limitar velocidade no KTorrent
Next by Date: pl.rede sundance e problema no dhcp (virtua)
Previous by thread: Re: Limitar velocidade no KTorrent
Next by thread: pl.rede sundance e problema no dhcp (virtua)
Index(es):
- Date
- Thread