Re: iptables

[Rafael Henrique da Silva Correia <rafaelhenriqu@gmail.com>]

Pessoal não sei se estou errado mas normalmente quando você tira a regra 
de MASQUERADE da jogada o "firewall"/"roteador" não libera a internet 
nem a pau. Experiência própria pois uma vez fiz um script pra por em 
produção e por erro de digitação ao invés de digitar MASQUERADE coloquei 
ACCEPT! (idiota eu não?)

Será que você não ta rodando outra coisa além desse script que deixa o 
MASQUERADE da chain POSTROUTING da tabela NAT ativo?

Tenta arrancar a regra que da um "jump" para o alvo MASQUERADE e tenta 
entrar na internet através da máquina "client".

Abraço!

Em 20-04-2011 17:37, Eden Caldas escreveu:
> Seguinte...
>
> No seu script tem algumas regras de INPUT, e uma de NAT, porém quando
> você lista as regras nao aparece nada.
>
> Sugiro que você mude o script para uma forma mais simples, sem case.
> Sugiro também que troque:
>
>    echo 1>  /proc/sys/net/ipv4/conf/default/rp_filter
>
> por
>
>    echo 1>  /proc/sys/net/ipv4/ip_forward
>
> Execute o script e depois novamente os comandos que te passei.
>
> Eden Caldas
> Consultor de TI
> eden@linuxfacil.srv.br
> (81) 9653 7220
> LINUX FÁCIL – Consultoria e Serviços em TI
>
>
>
> Em 20 de abril de 2011 10:29, Messias Manoel da Silva Junior
> <juniormj1@globo.com>  escreveu:
>    
> > Cara, desabilita teu roteamento.
> >
> > echo 1>  /proc/sys/net/ipv4/ip_forward
> >
> > Em 20 de abril de 2011 07:45, Diác. Moretti<mtt@mitranh.org.br>  escreveu:
> >      
> > > Ola,
> > >
> > > A resposta para o comando iptables -L -n -v   é:
> > >
> > > Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
> > >   pkts bytes target     prot opt in     out     source
> > > destination
> > >
> > > Chain FORWARD (policy ACCEPT 254 packets, 15240 bytes)
> > >   pkts bytes target     prot opt in     out     source
> > > destination
> > >
> > > Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
> > >   pkts bytes target     prot opt in     out     source
> > > destination
> > >
> > >
> > >
> > > A resposta para o comando iptables -t nat -L -n -v  é:
> > >
> > > Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
> > >   pkts bytes target     prot opt in     out     source
> > > destination
> > >
> > > Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
> > >   pkts bytes target     prot opt in     out     source
> > > destination
> > >
> > > Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
> > >   pkts bytes target     prot opt in     out     source
> > > destination
> > >
> > >
> > >
> > > A resposta para o comando sysctl -a | grep ip_forward é:
> > >
> > > net.ipv4.ip_forward = 1
> > >
> > >
> > >        
> >
> > echo 0>  /proc/sys/net/ipv4/ip_forward
> >
> >
> >      
> > > O meu script para o compartilhamento é:
> > >
> > > #!/bin/bash
> > >
> > > # ... Interface da internet
> > > ifinternet="eth0"
> > >
> > > # ... Interface da rede local
> > > iflocal="eth1"
> > >
> > > iniciar(){
> > >    modprobe iptable_nat
> > >    echo 1>  /proc/sys/net/ipv4/ip_forward
> > >    iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
> > > #   iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
> > >    echo 1>  /proc/sys/net/ipv4/conf/default/rp_filter
> > >    iptables -A INPUT -m state --state INVALID -j DROP
> > >    iptables -A INPUT -i lo -j ACCEPT
> > >    iptables -A INPUT -i $iflocal -j ACCEPT
> > >    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
> > >    iptables -A INPUT -p tcp --syn -j DROP
> > > }
> > >
> > > parar(){
> > >    iptables -F
> > >    iptables -F -t nat
> > > }
> > >
> > > case "$1" in
> > > "start") iniciar;;
> > > "stop") parar;;
> > > "restart") parar; iniciar;;
> > > *) echo "Use os parametros start ou stop"
> > > esac
> > >
> > >
> > > Fico no agardo de sugestões.
> > > abraço
> > >
> > > Moretti
> > >
> > > Em 20/04/2011 às 00:00, Eden Caldas<edencaldas@gmail.com>  escreveu:
> > >        
> > > > Depois de executar esses dois comandos. Manda pra gente a saida dos
> > > > seguintes comandos.
> > > >
> > > > iptables -L -n -v
> > > > iptables -t nat -L -n -v
> > > > sysctl -a | grep ip_forward
> > > >
> > > > Eden Caldas
> > > > Consultor de TI
> > > > eden@linuxfacil.srv.br
> > > > (81) 9653 7220
> > > > LINUX FÁCIL – Consultoria e Serviços em TI
> > > >
> > > >
> > > > Em 19 de abril de 2011 14:31, Diác. Moretti<mtt@mitranh.org.br>  escreveu:
> > > >          
> > > > > Estou aprendendo sobre o iptables.
> > > > >
> > > > > Tenho a seguinte ambiente:
> > > > > duas maquinas virtuais.
> > > > > Maquina A) com Debian Squeeze servidora de internet
> > > > > Maquina B) com Windows XP
> > > > >
> > > > > Gostaria que todo acesso a internet da maquina B passa-se pela maquina A)
> > > > > Estou usando o iptables e o compartilhamento da internet está funcionando.
> > > > >
> > > > > Minha duvida é quando eu não quero mais compartilhar
> > > > > ou seja quero bloquear a internet, no iptables estou usando
> > > > > iptables -F
> > > > > iptables -F -t nat
> > > > >
> > > > > Porém após esses comandos a maquina B ainda continuar a ter acesso a
> > > > >            
> > > internet
> > >        
> > > > > como faço para "corta" esse acesso??
> > > > >
> > > > >
> > > > >
> > > > > Diác. Moretti
> > > > > twitter:@cjmoretti
> > > > >
> > > > >                                             \///
> > > > >                                             (o  o)
> > > > > ______________oo0 - () - 0oo_______________
> > > > > Na  certeza  de  nossa  imortalidade, seguimos
> > > > > nosso caminho fazendo o bem, desejando bem
> > > > > e sendo a paixão única de nosso Deus.
> > > > > _______________________________________
> > > > >            
> > > > WebRep
> > > > Overall rating
> > > >
> > > > WebRep
> > > > Overall rating
> > > >
> > > >
> > > > --
> > > > To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> > > > with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> > > > Archive:
> > > >          
> > > [🔎] BANLkTikQ6AObkrJm5qUVSzsmLxL9rbbC2w@mail.gmail.com">http://lists.debian.org/[🔎] BANLkTikQ6AObkrJm5qUVSzsmLxL9rbbC2w@mail.gmail.com
> > >        
> > > >          
> > >
> > >
> > > --
> > > To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> > > with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> > > Archive: [🔎] 562005506591267389@mitranh.org.br">http://lists.debian.org/[🔎] 562005506591267389@mitranh.org.br
> > >
> > >
> > >        
> >
> >
> > --
> > __________________________
> > Messias Manoel da Silva Junior
> > Paulo Afonso-BA
> > Técnico de Suporte
> > Linux User: #491808
> > Linux  LPIC1 - Linux Pronfessional Institute Certification
> > Novell DCTE - Data Center Technical Specialist
> > Novell CLA   - Novell Certified Linux Administrator
> >
> > --------------------------------------------------
> >
> >    .~.                                        .''`.
> >   / v \       Use GNU/Linux!        : :`  :
> >   /( )\                                       `. `'`
> >   ^^-^^                                        `-
> >
> > "Para as lagartixas só posso dizer, treine muito e vire um calango, e
> > continue admirando os crocodilos"
> >
> >
> > --
> > To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> > Archive: [🔎] BANLkTikNCF7xVj27knir31RUEDrw3MfTDQ@mail.gmail.com">http://lists.debian.org/[🔎] BANLkTikNCF7xVj27knir31RUEDrw3MfTDQ@mail.gmail.com
> >
> >
> >      
>
>    


--
Rafael Henrique da Silva Correia
http://abraseucodigo.blogspot.com

Administrador de Sistemas Linux
Certificado pela LPIC - 101
ID: LPI000160699