Liberar MySQL no iptables

Sat, 29 Dec 2007 07:21:14 -0800 

Olá pessoal...

Estou com um problema para liberar no iptables o acesso ao mysql no meu
servidor.
Tenho a seguinte situação: um servidor web com os ips
AAA.AAA.AAA.AAA(acesso externo) e
192.168.254.3 (rede interna) e um servidor mysql com os ips BBB.BBB.BBB.BBBe
192.168.254.5. Os dois têem regras diferentes de firewall, a idéia foi
bloquear tudo e liberar somente as portas dos serviços que utilizo em cada
servidor.
Quando ativo o firewall do servidor web, a conexão com o banco de dados no
servidor mysql funciona, mas quando, em seguida ativo o firewall do servidor
mysql... o servidor web não consegue mais conexão com o banco de dados.
O CCC.CCC.CCC.CCC é o servidor DNS e o DDD.DDD.DDD.DDD é o computador que
utilizo.
Segue abaixo as regras de firewall q estou usando... se alguém tiver passado
pelo mesmo problema e puder me dar uma ajuda... Agradeço desde já...



############## SERVIDOR WEB ###################################
#!/bin/bash
#
#
echo "iptables -F"
iptables -F
# carregar modulos
echo "iniciando regras"
# carregar modulos
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_queue
modprobe ip_tables
modprobe ipt_LOG
modprobe ipt_MARK
modprobe ipt_MASQUERADE
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ipt_TCPMSS
modprobe ipt_TOS
modprobe ipt_limit
modprobe ipt_mac
modprobe ipt_mark
modprobe ipt_multiport
modprobe ipt_owner
modprobe ipt_state
modprobe ipt_tcpmss
modprobe ipt_tos
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
# politica padrao = negar tudo
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# interface loopback
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -d 127.0.0.1 -j ACCEPT
# cliente DNS
iptables -A OUTPUT -p udp -s AAA.AAA.AAA.AAA --sport 1024:65535 -d
CCC.CCC.CCC.CCC --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s CCC.CCC.CCC.CCC --sport 53 -d
AAA.AAA.AAA.AAA--dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -p udp -s 192.168.254.3 --sport 1024:65535 -d
192.168.254.100 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.254.100 --sport 53 -d
192.168.254.3--dport 1024:65535 -j ACCEPT
# cliente SMTP
iptables -A OUTPUT -p tcp -s AAA.AAA.AAA.AAA --sport 1024:65535 -d
CCC.CCC.CCC.CCC --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s CCC.CCC.CCC.CCC --sport 25 -d
AAA.AAA.AAA.AAA--dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 1024:65535 -d
192.168.254.100 --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.100 --sport 25 -d
192.168.254.3--dport 1024:65535 -j ACCEPT
# cliente MySQL
iptables -A OUTPUT -p tcp -s AAA.AAA.AAA.AAA --sport 1024:65535 -d
BBB.BBB.BBB.BBB --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s BBB.BBB.BBB.BBB --sport 3306 -d
AAA.AAA.AAA.AAA--dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 1024:65535 -d
192.168.254.5 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.5 --sport 3306 -d
192.168.254.3--dport 1024:65535 -j ACCEPT
# servidor FTP
iptables -A OUTPUT -p tcp -s AAA.AAA.AAA.AAA --sport 20 -d 0/0 --dport
1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d
AAA.AAA.AAA.AAA--dport 20 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 20 -d 0/0 --dport
1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.3 --dport
20 -j ACCEPT
iptables -A OUTPUT -p tcp -s AAA.AAA.AAA.AAA --sport 21 -d 0/0 --dport
1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d
AAA.AAA.AAA.AAA--dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 21 -d 0/0 --dport
1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.3 --dport
21 -j ACCEPT
# servidor HTTP/HTTPS
iptables -A OUTPUT -p tcp -s AAA.AAA.AAA.AAA --sport 80 -d 0/0 --dport
1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d
AAA.AAA.AAA.AAA--dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 80 -d 0/0 --dport
1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.3 --dport
80 -j ACCEPT
iptables -A OUTPUT -p tcp -s AAA.AAA.AAA.AAA --sport 443 -d 0/0 --dport
1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d
AAA.AAA.AAA.AAA--dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 443 -d 0/0 --dport
1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.3 --dport
443 -j ACCEPT
# servidor MySQL
iptables -A OUTPUT -p tcp -s AAA.AAA.AAA.AAA --sport 3306 -d 0/0 --dport
1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d
AAA.AAA.AAA.AAA--dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 3306 -d 0/0 --dport
1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.3 --dport
3306 -m state --state NEW,ESTABLISHED -j ACCEPT
# servidor SSH
iptables -A OUTPUT -p tcp -s AAA.AAA.AAA.AAA --sport 22 -d
DDD.DDD.DDD.DDD--dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s DDD.DDD.DDD.DDD --sport 1024:65535 -d
AAA.AAA.AAA.AAA --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 22 -d
192.168.254.99--dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.99 --sport 1024:65535 -d
192.168.254.3 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.3 --sport 22 -d
192.168.254.87--dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.87 --sport 1024:65535 -d
192.168.254.3 --dport 22 -j ACCEPT
# atualização
iptables -A OUTPUT -d 212.211.132.250 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d 212.211.132.32 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d 128.31.0.36 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d 200.17.202.1 -p tcp --dport 80 -j ACCEPT
###############################################################




############## SERVIDOR MYSQL #################################
#!/bin/bash
#
#
echo "iptables -F"
iptables -F
# carregar modulos
echo "iniciando regras"
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_queue
modprobe ip_tables
modprobe ipt_LOG
modprobe ipt_MARK
modprobe ipt_MASQUERADE
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ipt_TCPMSS
modprobe ipt_TOS
modprobe ipt_limit
modprobe ipt_mac
modprobe ipt_mark
modprobe ipt_multiport
modprobe ipt_owner
modprobe ipt_state
modprobe ipt_tcpmss
modprobe ipt_tos
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
# politica padrao = negar tudo
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# liberando ping a partir do servidor
iptables -A OUTPUT -p icmp --icmp-type 8 -s BBB.BBB.BBB.BBB -d 0/0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.254.5 -d 0/0 -j ACCEPT
# interface loopback
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -d 127.0.0.1 -j ACCEPT
# cliente DNS
iptables -A OUTPUT -p udp -s BBB.BBB.BBB.BBB --sport 1024:65535 -d
CCC.CCC.CCC.CCC --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s CCC.CCC.CCC.CCC --sport 53 -d
BBB.BBB.BBB.BBB--dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -p udp -s 192.168.254.5 --sport 1024:65535 -d
192.168.254.100 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.254.100 --sport 53 -d
192.168.254.5--dport 1024:65535 -j ACCEPT
# cliente SMTP
iptables -A OUTPUT -p tcp -s BBB.BBB.BBB.BBB --sport 1024:65535 -d
CCC.CCC.CCC.CCC --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s CCC.CCC.CCC.CCC --sport 25 -d
BBB.BBB.BBB.BBB--dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 1024:65535 -d
192.168.254.100 --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.100 --sport 25 -d
192.168.254.5--dport 1024:65535 -j ACCEPT
# servidor HTTP/HTTPS
iptables -A OUTPUT -p tcp -s BBB.BBB.BBB.BBB --sport 80 -d 0/0 --dport
1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d
BBB.BBB.BBB.BBB--dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 80 -d 0/0 --dport
1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.5 --dport
80 -j ACCEPT
iptables -A OUTPUT -p tcp -s BBB.BBB.BBB.BBB --sport 443 -d 0/0 --dport
1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d
BBB.BBB.BBB.BBB--dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 443 -d 0/0 --dport
1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.5 --dport
443 -j ACCEPT
# servidor MySQL
iptables -A OUTPUT -p tcp -s BBB.BBB.BBB.BBB --sport 3306 -d 0/0 --dport
1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d
BBB.BBB.BBB.BBB--dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 3306 -d 0/0 --dport
1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.5 --dport
3306 -m state --state NEW,ESTABLISHED -j ACCEPT
# servidor SMTP
iptables -A OUTPUT -p tcp -s BBB.BBB.BBB.BBB --sport 25 -d 0/0 --dport
1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d
BBB.BBB.BBB.BBB--dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 25 -d 0/0 --dport
1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.254.5 --dport
25 -j ACCEPT
# servidor SSH
iptables -A OUTPUT -p tcp -s BBB.BBB.BBB.BBB --sport 22 -d
DDD.DDD.DDD.DDD--dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s DDD.DDD.DDD.DDD --sport 1024:65535 -d
BBB.BBB.BBB.BBB --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 22 -d
192.168.254.99--dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.99 --sport 1024:65535 -d
192.168.254.5 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 22 -d
192.168.254.87--dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.87 --sport 1024:65535 -d
192.168.254.5 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 22 -d
192.168.254.83--dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.83 --sport 1024:65535 -d
192.168.254.5 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.254.5 --sport 22 -d
192.168.254.82--dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.254.82 --sport 1024:65535 -d
192.168.254.5 --dport 22 -j ACCEPT
# atualização
iptables -A OUTPUT -d 212.211.132.250 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d 212.211.132.32 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d 128.31.0.36 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -d 200.17.202.1 -p tcp --dport 80 -j ACCEPT
###############################################################


-- 
Elder José Marcelino de Paula
LINUX USER #422378 [Debian GNU/Linux]
GoogleTalk - [EMAIL PROTECTED]
ICQ - 304799257
MSN - [EMAIL PROTECTED]

Responder a