Se tem q tomar cuidado com o parâmetro -A ou -I são diferentes e costumam causar problemas
-A Append no final -I Insert no começo att surfistabr surfistabr escreveu: > Oi Gente, > > Pesquisando na Net e no guia FocaLinux, fiz um firewall um pouco > simples, mas bem funcional, porém estou tendo problemas com o Outlook > Express, pois depois que coloquei o Firewall, toda vez que tento enviar ou > receber mensagem via Outlook da as seguintes Mensagens:" Não foi possível > conectar ao servidor. Conta: 'Famatri', Servidor: 'pop.triang.com.br', > protocolo: POP3, porta 110,segura (ssl): Não, erro de soquete: 10060, Nro do > erro: 0x800ccc0e > Não foi possível conectar ao servidor. Conta: 'Famatri', Servidor: > 'pop.triang.com.br', protocolo: SMTP, porta 25,segura (ssl): Não, erro de > soquete: 10060, Nro do erro: 0x800ccc0e " > > Estou postando o firewall, e solicito ajuda de quem já passou por > este problema, pois já pesquisei na NET e no próprio guia FocaLinux, e nada > tá dando certo. (Sistema Fedora Core 5. Não tem servidor de DNS. Roda Proxy > e Firewall "Iptables". O Squid esta ativo e as acl safe port 110 e 25 não > estão comentadas) > > Gente desde já agradeço a ajuda, > > Felipe > > > > ======================================================= > #!/bin/bash > > echo " INICIANDO REGRA DE FIREWALL " > > #-------------------------------------------------------------- > # Definição da Variaveis > #--------------------------------------------------------------- > ipt=/sbin/iptables > mod=/sbin/modprobe > dnssmt=201.16.129.157 # IP do Servidor de Correio SMT (smt.triang.com.br) > dnspop=201.16.129.156 # IP do Servidor de Correio POP (pop.triang.com.br) > rede_interna=192.168.1.0/24 > > #placa interna =eth1 > #placa externa =eth0 > # IP do Servidor Web 192.168.1.1 > # O IP da Rede Interna vai do 192.168.1.2 até 192.168.1.80 > > # ---------------------------------------------------------------- > # Zera regras > # ---------------------------------------------------------------- > > $ipt -F > $ipt -X > $ipt -F -t nat > $ipt -X -t nat > $ipt -F -t mangle > $ipt -X -t mangle > echo "Zeramento das regras OK!" > > # ---------------------------------------------------------------- > # Ativa modulos > # ---------------------------------------------------------------- > $mod iptable_nat > $mod ip_conntrack > $mod ip_conntrack_ftp > $mod ip_nat_ftp > $mod ipt_LOG > $mod ipt_REJECT > $mod ipt_MASQUERADE > > echo "Carga dos Modulos OK!" > > $ipt -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port > 3128 > $ipt -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j REDIRECT --to-port > 3128 > > # ---------------------------------------------------------------- > # Mascaramento ( NAT ) > # ---------------------------------------------------------------- > # Mascarar pacotes de saida para a internet > # Habilitando o recurso de IP forwarding > > echo 1 > /proc/sys/net/ipv4/ip_forward > > #----------------------------------------------------------------- > # VNC regras de iptables pra repassar pra maquina local > # ---------------------------------------------------------------- > $ipt -A FORWARD -i eth0 -p tcp --dport 5800:5900 -m state --state > NEW,ESTABLISHED,RELATED -j ACCEPT > $ipt -A FORWARD -i eth0 -p udp --dport 5800:5900 -m state --state > NEW,ESTABLISHED,RELATED -j ACCEPT > $ipt -t nat -A PREROUTING -p tcp -i eth0 --dport 5800:5900 -j DNAT --to > 192.168.1.30:5800-5900 > $ipt -t nat -A PREROUTING -p udp -i eth0 --dport 5800:5900 -j DNAT --to > 192.168.1.30:5800-5900 > > # ---------------------------------------------------------------- > # Proteções Contra Ataques > # ---------------------------------------------------------------- > > # bloqueia ping > echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all > > #Bloquear Trin00 > $ipt -A INPUT -p tcp -i eth0 --dport 1524 -j DROP > $ipt -A INPUT -p tcp -i eth0 --dport 27665 -j DROP > $ipt -A INPUT -p udp -i eth0 --dport 27444 -j DROP > $ipt -A INPUT -p udp -i eth0 --dport 31335 -j DROP > > # Proteção contra pacotes danificados ou suspeitos. > $ipt -A FORWARD -m unclean -j DROP > > #Proteção contra Syn-floods > $ipt -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT > > # Protege contra os "Ping of Death" > $ipt -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j > ACCEPT > > # Protege contra os ataques do tipo "Syn-flood, DoS, etc" > $ipt -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT > > # Protege contra port scanners avançados (Ex.: nmap) > $ipt -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s > -j ACCEPT > > # Protege AS PORTAS PROIBIDAS > $ipt -A INPUT -p tcp --dport 21 -j LOG --log-prefix "Porta do FTP " > $ipt -A INPUT -p tcp --dport 23 -j LOG --log-prefix "Porta do TELNET " > $ipt -A INPUT -p tcp --dport 22 -j LOG --log-prefix "Porta do SSH " > $ipt -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix "Porta do NETBEUI " > > # Protege contra BackDoors Wincrash e BackOrifice > $ipt -A INPUT -p tcp --dport 5042 -j LOG --log-prefix "Porta do Wincrash " > $ipt -A INPUT -p tcp --dport 12345 -j LOG --log-prefix "Porta do BackOrifice " > > # ---------------------------------------------------------------- > #libera o loopback > # ---------------------------------------------------------------- > $ipt -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT > > echo "Proteção das regras OK!" > > # ---------------------------------------------------------------- > # libera conexões de fora pra dentro > # ---------------------------------------------------------------- > $ipt -A INPUT -p tcp --dport 443 -j ACCEPT > $ipt -A IMPUT -p tcp --dport 563 -j ACCEPT > $ipt -A INPUT -p tcp --dport 20 -j ACCEPT > $ipt -A INPUT -p tcp --dport 21 -j ACCEPT > $ipt -A INPUT -p tcp --dport 22 -j ACCEPT > $ipt -A INPUT -p tcp --dport 25 -j ACCEPT > $ipt -A INPUT -p tcp --dport 110 -j ACCEPT > $ipt -A INPUT -p tcp --dport 443 -j ACCEPT > $ipt -A INPUT -p tcp --dport 563 -j ACCEPT > > # ---------------------------------------------------------------- > #Liberar portas para minha Correio > # ---------------------------------------------------------------- > $ipt -A FORWARD -p tcp -s $rede_interna -d $dnssmt --dport 53 -j ACCEPT > $ipt -A FORWARD -p tcp -s $rede_interna -d $dnspop --dport 53 -j ACCEPT > $ipt -A FORWARD -p tcp -s $dnssmt --sport 53 -d $rede_interna -j ACCEPT > $ipt -A FORWARD -p tcp -s $dnspop --sport 53 -d $rede_interna -j ACCEPT > $ipt -A FORWARD -p TCP -s $rede_interna --dport 25 -j ACCEPT > $ipt -A FORWARD -p TCP -s $rede_interna --dport 110 -j ACCEPT > $ipt -A FORWARD -p tcp --sport 25 -j ACCEPT > $ipt -A FORWARD -p tcp --sport 110 -j ACCEPT > > # ---------------------------------------------------------------- > #Libera porta para a Conectividade Social > # ---------------------------------------------------------------- > $ipt -A FORWARD -p tcp --dport 2631 -j ACCEPT > $ipt -A FORWARD -p udp --dport 2631 -j ACCEPT > > # ---------------------------------------------------------------- > #Libera porta HTTPS > # ---------------------------------------------------------------- > $ipt -A FORWARD -p tcp --dport 443 -j ACCEPT > $ipt -A FORWARD -p tcp --dport 563 -j ACCEPT > > # ---------------------------------------------------------------- > # Libera conexoes de dentro pra fora: > # ---------------------------------------------------------------- > $ipt -A OUTPUT -p tcp --dport 80 -j ACCEPT > $ipt -A OUTPUT -p tcp --dport 22 -j ACCEPT > $ipt -A OUTPUT -p tcp --dport 20 -j ACCEPT > $ipt -A OUTPUT -p tcp --dport 21 -j ACCEPT > $ipt -A OUTPUT -p tcp --dport 86 -j ACCEPT > $ipt -A OUTPUT -p tcp --dport 5190 -j ACCEPT > $ipt -A OUTPUT -p tcp --dport 1863 -j ACCEPT > $ipt -A OUTPUT -p tcp --dport 25 -j ACCEPT > $ipt -A OUTPUT -p tcp --dport 110 -j ACCEPT > $ipt -A OUTPUT -p tcp --dport 443 -j ACCEPT > $ipt -A OUTPUT -p tcp --dport 563 -j ACCEPT > > # --------------------------------------------------------------- > # Redireciona conexâo via DesktopRemoto, para o balão > #---------------------------------------------------------------- > redir --caddr=192.168.1.30 --lport=3389 --cport=3389 & > > echo "Conexão do DeskTop Remoto Liberada" > > echo "Carga do Firewall OK!" > > > __________________________________________________ > Fale com seus amigos de graça com o novo Yahoo! Messenger > http://br.messenger.yahoo.com/ > __________________________________________________ > Fale com seus amigos de graça com o novo Yahoo! Messenger > http://br.messenger.yahoo.com/ > > [As partes desta mensagem que não continham texto foram removidas] > > > > > --------------------------------------------------------------------- > Esta lista é EXCLUSIVAMENTE destinada aos assuntos servidores Linux e > clientes Linux em rede. Quem insistir em não seguir esta regra será moderado > ou terá o envio de msg suspenso sem prévio aviso. > --------------------------------------------------------------------- > Soluções Clássicas: > http://br.groups.yahoo.com/group/servux/links/Mensagens_001047609003/ > --------------------------------------------------------------------- > Esta lista é moderada de acordo com o previsto em > http://www.listas-discussao.cjb.net > --------------------------------------------------------------------- > Servidor Newsgroup da lista: news.gmane.org > Grupo: gmane.org.user-groups.linux.brazil.servux > > > > > > Links do Yahoo! Grupos > > > _______________________________________________________ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/
