Heitor Mauricio wrote:
Ol� Lista !! Tenho uma rede dom�stica (2 micros) com a seguinte configura��o: --> CL10 (Servidor Web, SSH) c/ kernel 2.6.10 (CL) com endere�o 192.168.0.1 (gateway) compartilhando a conex�o com a esta��o. --> Debian Sarge (Esta��o) c/ kernel 2.6.8 no endere�o 192.168.0.2 At� dois dias atr�s, as portas 22, 8090 (web) e outras estavam abertas segundo o grc.com/... com o seguinte script de firewall:
# Interface to the internet EXTIF=ppp+
IPTABLES=/usr/sbin/iptables
# load some modules /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_conntrack_irc /sbin/modprobe ip_nat_irc
$IPTABLES -F $IPTABLES -X
# abrir portas $IPTABLES -A INPUT -p tcp --dport 8090 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT # liberar portas para a esta��o (tirado do Guia do Hardware livros) $IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 6881:6889 -j DNAT --to-dest 192.168.0.2 $IPTABLES -A FORWARD -p tcp -i ppp0 --dport 6881:6889 -d 192.168.0.2 -j ACCEPT $IPTABLES -t nat -A PREROUTING -i ppp0 -p udp --dport 6881:6889 -j DNAT --to-dest 192.168.0.2 $IPTABLES -A FORWARD -p udp -i ppp0 --dport 6881:6889 -d 192.168.0.2 -j ACCEPT # liberar enemy-territory (� necess�rio??) $IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 27960:27962 -j DNAT --to-dest 192.168.0.2 $IPTABLES -A FORWARD -p tcp -i ppp0 --dport 27960:27962 -d 192.168.0.2 -j ACCEPT # liberar emule para a esta��o (copiei as regras acima) $IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 4662 -j DNAT --to-dest 192.168.0.2 $IPTABLES -A FORWARD -p tcp -i ppp0 --dport 4662 -d 192.168.0.2 -j ACCEPT $IPTABLES -t nat -A PREROUTING -i ppp0 -p udp --dport 4672 -j DNAT --to-dest 192.168.0.2 $IPTABLES -A FORWARD -p udp -i ppp0 --dport 4672 -d 192.168.0.2 -j ACCEPT
$IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT DROP
$IPTABLES -N drop_log $IPTABLES -A drop_log -j LOG --log-prefix "drop_log " $IPTABLES -A drop_log -j DROP
$IPTABLES -N spoof_drop_log $IPTABLES -A spoof_drop_log -j LOG --log-prefix "spoof_drop_log " $IPTABLES -A spoof_drop_log -j DROP
$IPTABLES -N spoof_check $IPTABLES -A spoof_check -s 192.168.0.0/16 -j spoof_drop_log $IPTABLES -A spoof_check -s 10.0.0.0/8 -j spoof_drop_log $IPTABLES -A spoof_check -s 172.16.0.0/12 -j spoof_drop_log $IPTABLES -A spoof_check -s 127.0.0.0/8 -j spoof_drop_log
$IPTABLES -A INPUT -i ! $EXTIF -j ACCEPT $IPTABLES -A INPUT -i $EXTIF -j spoof_check $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -i $EXTIF -j drop_log
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT $IPTABLES -A OUTPUT -j drop_log
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT $IPTABLES -A FORWARD -j drop_log
# enable forwarding /sbin/sysctl -w net.ipv4.ip_forward=1 > /dev/null
Tudo estava OK, pois acessava meu servidor de fora via SSH e podia ver minha p�gina web hospedada no servidor (Uso o www.zoneedit.com para rotear meu endere�o de dom�nio registrado para o ip din�mico do Speedy). Sem problemas. Acontece que nesse fim de semana fui jogar Enemy-Territory e o programa n�o conseguiu listar os servidores da internet. Fui no grc.com/... pra ver se alguma porta estava bloqueada e eis que me deparo com meu IP totalmente STEALTH, BLOQUEADO !! N�o estou entendendo o por qu� disso agora, ou melhor, � poss�vel que a Telef�nica tenha bloqueado todas as portas?? Sei que ela bloqueia a 80 por exemplo e por isso tive que rodar o Apache na 8090. � poss�vel?? Obrigado
Bom, em casa eu uso speedy e parece estar tudo normal... se vc n�o mexeu na configura��o do seu micro, ent�o foi algo na sua rede ou do provedor...
� dificil saber onde est� o problema.
-- Marcos
-- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
