On May 11, 2010, at 12:46 PM, Eliel wrote: > Iptables por si soh eh extremamente complexo.. > nem gosto muito de mexer com ele Nao concordo. Iptables é apenas um comando e a sintaxe dele é bem clara e os modulos explicam suas opcoes. O que eu concordo que é complexo é fazer um firewall. Iptables nao faz firewall, VOCE faz. O iptables só implementa o que voce quer fazer.
É como dizer que fazer QoS é complicado por causa da sintaxe do comando tc. O tc é bem simples, o complicado é acertar quais qdiscs vao melhor pra cada caso/cenario. > prefiro ipfw, eh mais "intuitivo" > nao tem zilhoes de tabelas (tah, nao sao zilhoes) > entao fica mais facil de gerenciar... > por isso que tem tao poucas pessoas fluentes em iptables ;D > > regards > > 2010/5/11 Andre Ramoni <[email protected]>: >> >> On May 11, 2010, at 11:49 AM, Alexandre Pereira Bühler wrote: >> >> Você tem razão não preciso abrir a entrada (INPUT) no firewall e usar >> também O FORWARD se já redireciono a porta (PREROUNTING) para uma máquina na >> rede. Quais as outras incoerências? Desejo aprender no que erro. Aprender a >> fazer é melhor que ctrl+c e ctrl+v. >> Tirei o INPUT e FORWARD além do udp para 3389 do script. >> >> O FORWARD precisa manter. O PREROUTING faz apenas o nat, daí basta a regra >> de forward pra permitir, o input é que nao precisa. >> >> Quanto a vpn na época usei o openvpn e dentro da vpn as máquinas tinham >> ping, apareciam no ambiente de rede. Tudo certinho. Apenas 2 máquinas com >> windows tinham problema para enxergar por exemplo uma outra máquina dentro >> da filial e mandar uma impressão. As outras funcionavam perfeitamente. As >> vezes elas não enxergavam nem o PDC da rede e deixavam de aplicar o policy. >> Tivemos de reinstalar o windows para funcionar. Agora fica a dúvida era algo >> do windows ou da vpn que montei. Mais provável que seja do windows. >> Instalei o Slackware para aprender a fundo as coisas e oferecer um >> serviço melhor aos meus clientes. E acredite aprendi coisas novas todos os >> dias. Como aprendo agora com vocês. Eu precisava tirar aquele conceito que >> Slackware é somente para usuários avançados. Ele serve para qualquer um e é >> o que achei mais flexível de todos em minha opinião pessoal. Talvez se >> tivesse usado antes aprenderia as coisas mais rapidamente. >> Entendi sobre o ipv6. >> Sobre o GNU/Linux posso citar Platão "Só sei que nada sei.". Todo dia é >> uma novidade e quanto mais aprendo mais fico perplexo com minha ignorância. >> >> Esta certo mesmo. >> Só o que nao se pode fazer é ser responsavel por algo que nao conhece. >> Nessas horas é melhor assumir que tem que aprender. >> Se nao, nego que nao sabe e le um howto no google acaba montando um ambiente >> tao desnecessariamente complexo que quando da pau, nem um senior consegue >> endireitar tudo de forma agil... aí da-lhe novo projeto, custos etc. E eu to >> CANSADO de ver isso hehe... nego só chama quando a merda ja ta feita.... até >> dar um problema serio, o gerente acha que o newbie ta fazendo tudo certo. >> O pior cara, é que eu nao conheco um bom how-to de iptables, nem livro. Em >> tudo que ja li sobre iptables tinha besteira.... >> >> Max e Eliel vou experimentar seus conselhos. Com a vpn não dependeria da >> máquina atualizar o no-ip para depois as regras do firewall dar certo. >> Graças ao bom Deus meu cliente tem ip fixo na matriz oque facilita bastante >> as coisas. >> Obrigado a todos. >> >> >> >> >> >> Em 11-05-2010 02:14, Andre Ramoni escreveu: >> >> Alexandre, >> >> O endereco mac existe para a resolucao de arp, ou seja, "em que porta so >> switch esta este IP ?". Resumindo, mesmo meio físico. >> Apesar de existir mac sobre enlaces mpls e outros, nao creio que este seja >> seu caso. >> >> Mas quanto ao IPV6 voce se engana, apenas cairia no mesmo problema do ipv4 >> sim, precisaria ser fixo (o que muito provavelmente será quando for adotado >> mesmo em links nao corporativos). >> >> A VPN parece mesmo ser a melhor solucao, mas porque voce precisa de VPN em >> cada host ? >> Porque nao poderia ser site-to-site ? Voce controlaria quais hosts poderiam >> acessar com regras de firewall normais, mas a VPN poderia sim servir para >> unir as redes. E mesmo que a VPN fosse em cada host, eles só se >> "enxergariam" (enxergar na rede pra mim é ping) se voce liberasse o tráfego >> SMB do windos. >> >> Custos: nas filiais nao tem roteador, access point, ou roteadores simples ? >> Por mais que voce nao possa colocar um fw em cada filial, esses outros >> equipamentos costumam fazer VPNs ipsec ou pptp tambem... >> >> >> Sobre seu script: a parte que voce colou ja apresenta varias incoerencias. >> Pra comentar uma, porque voce libera no INPUT e no FORWARD o trafego com >> destino a 3389/tcp se na verdade voce redireciona para 192.168.1.3 ??? >> Em que how-to voce viu que precisava liberar na FORWARD e na INPUT ? Jogue >> fora esse how-to e diga para o autor que o kernel atual nao é mais o 2.2 nem >> o firewall é o ipchains. >> No script tambem nao mostra a parte em que voce define as politicas default, >> mas espero que haja em alguma parte a definicao das politicas para DROP. >> >> >> >> On May 11, 2010, at 1:42 AM, Alexandre Pereira Bühler wrote: >> >> >> >> André, >> Boa noite, >> Depois desta fui dormir. É isso que me falta além do conhecimento mais >> específico. >> Nem pensei que estava querendo colocar uma camada OSI 2 (ARP) e 3 OSI >> (IP) na camada 4 OSI (TCP, UDP e etc). >> Isto na minha mente é claro. E ainda assim posso ter falado besteira. Também >> esqueci que o mac address pode ser usado no mesmo enlace mas não em enlaces >> diferentes como intranet/internet >> As vezes nós cometemos muita bobeira. >> Se eu usa-se arping 200.xxx.xxx.xxx ficaria numa espera muito, mas muito >> demorada, pro resto da vida. O pacote de broadcast enviado pelo arping não é >> encaminhado pelo gateway da rede (internet) e mesmo que fosse seria >> descartado no primeiro roteador. Mesmo que quisesse o broadcast e multicast >> não é nativo no atm usado pelo adsl. Teria que usar de artifícios sobre o >> atm... Com o ipv6 acho que fica pior já não temos broadcast somente >> multicast e blablabla. Enfim, foi falta de sono e conhecimento específico >> Somente me resta ip fixo ou um no-ip da vida na filiais... >> Neste caso podem me dar uma idéia melhor? Pois o acesso ao TS (terminal >> service) deverá ficar liberado apenas ao adsl (ip) das filiais. Já pensei em >> VPN, mas se ligasse cada computador numa vpn não mataria a rede local na >> filial? Uma vez fiz isso e alguns Rwindows não enxergavam a rede local. >> Sei que poderia colocar um firewall+vpn para fazer a vpn nas filiais. O >> problema é que enfrento o fator comum na informática: reduzir custos, >> firewall com vpn em cada filial nem pensar. >> >> Tenho duas adsl: uma ip dinâmico para acesso a internet e outra adsl ip >> fixo somente para TS com entrada no mesmo firewall que distribui para >> intranet. O servidor TS está na intranet. A placa mãe por falta de slot não >> permite fazer DMZ. >> Parte do meu script está aqui em baixo (sei que falta o restante como fechar >> tudo, proteção deny dos e etc). >> Não é necessário me dar tudo debulhado. Somente me indiquem o que pesquisar. >> >> # Limpa as regras >> iptables -F >> iptables -X >> iptables -Z >> iptables -t nat -F >> >> #### "Libera LocalHost" >> iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT >> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT >> >> # libera terminal service >> iptables -A INPUT -i eth2 -p TCP --dport 3389 --syn -j ACCEPT >> iptables -A INPUT -i eth2 -p UDP --dport 3389 -j ACCEPT >> iptables -A FORWARD -i eth2 -o eth0 -d 192.168.1.3 -p TCP --dport 3389 -j >> ACCEPT >> >> ### (preciso mudar a regra abaixo pois libera o TS para qualquer rede / ip) >> >> iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth2 --dport 3389 -j >> DNAT --to-destination 192.168.1.3 >> iptables -A FORWARD -j LOG --log-prefix "Serviço: TS " >> >> ### cria rotas para saída da internet pelo adsl interno (ip dinâmico) tabela >> 200 internet no rt_tables >> ip route add default dev eth1 via 192.168.2.1 table internet >> ip rule add from 191.168.1.0/24 lookup internet >> >> ### Marca pacotes para saída pelo adsl interno (ip dinâmico) >> iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 80 -j MARK >> --set-mark 1 >> iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 443 -j MARK >> --set-mark 1 >> iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 110 -j MARK >> --set-mark 1 >> iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 25 -j MARK >> --set-mark 1 >> >> ## cria marca na tabela 200 internet e limpa cache rota >> ip rule add fwmark 1 lookup internet >> ip route flush cached >> >> # nat com internet adsl ip fixo (TS) e adsl dinâmico (internet) >> iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE >> iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE >> >> Obrigado >> >> -- >> Alexandre Pereira Bühler >> Técnico Eletroeletrônica - Senai - MG >> Linux User: 397.546 >> Colunista:www.delphisophp.com >> Owner:http://br.groups.yahoo.com/group/freepascal/ >> Liberdade é essencial. Use GNU/Linux. >> Legalize os softwares de sua empresa >> >> Simão& Bühler Ltda (Infobrindes) >> Instalação, manutenção e venda de servidores GNU/Linux. >> http://www.simaoebuhler.com.br >> Hardware acesse, veja e tenha produtos com qualidade, garantia e nota >> fiscal. >> http://www.simaoebuhler.com.br/loja >> [email protected] >> Telefone: (41) 3538-5428 >> >> Infobrindes (Simão& Bühler Ltda) >> Brindes e material promocional. >> http://www.infobrindes.com.br >> [email protected] >> Telefone: (41) 3532-5428 >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.istf.com.br/perguntas/ >> >> Para sair da lista envie um e-mail para: >> [email protected] >> >> >> >> >> -- >> Alexandre Pereira Bühler >> Técnico Eletroeletrônica - Senai - MG >> Linux User: 397.546 >> Colunista: www.delphisophp.com >> Owner: http://br.groups.yahoo.com/group/freepascal/ >> Liberdade é essencial. Use GNU/Linux. >> Legalize os softwares de sua empresa >> >> Simão& Bühler Ltda (Infobrindes) >> Instalação, manutenção e venda de servidores GNU/Linux. >> http://www.simaoebuhler.com.br >> Hardware acesse, veja e tenha produtos com qualidade, garantia e nota >> fiscal. >> http://www.simaoebuhler.com.br/loja >> [email protected] >> Telefone: (41) 3538-5428 >> >> Infobrindes (Simão& Bühler Ltda) >> Brindes e material promocional. >> http://www.infobrindes.com.br >> [email protected] >> Telefone: (41) 3532-5428 >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.istf.com.br/perguntas/ >> >> Para sair da lista envie um e-mail para: >> [email protected] >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> http://www.istf.com.br/perguntas/ >> >> Para sair da lista envie um e-mail para: >> [email protected] > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected] -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
