iptables - firewall com comportamento estranho..

[Alexandre Lima]

Pessoal, configurei um firewall com o script abaixo. Aconteceu algo que
nunca tinha visto...Ele simplesmente se comporta de maneira
estranha...ignora as regras...por exemplo...

 

Um simples forward da porta 3389 para um micro local, se reinciar o
servidor, funciona alguns segundos, depois disso não funciona mais. 

 

Dá a impressão de que quando o rc.local roda o script de firewall ele perde
as conf. e para de funcionar. Ou deve ser bobeira minha no script...alguém
pode ajudar?? 

 

abração!

PS: Distro Debian, Kernel 2.6.26-17, iptables 1.4.2

Segue o script:

modprobe ip_nat_pptp
modprobe ip_conntrack_pptp
modprobe ip_nat_pptp
modprobe ip_gre

INTERNET_IP=200.179.98.74
INTERNET_CLASS=200.179.98.72/255.255.255.248

INTERNAL_IP=192.168.2.1
INTERNAL_CLASS=192.168.2.0/24
INTERNET_ETH=eth0
INTERNAL_ETH=eth1

case $1 in start)

iptables -F
iptables -Z
iptables -t nat -F
iptables -t filter -P FORWARD ACCEPT

iptables -t nat -A POSTROUTING -s $INTERNAL_CLASS -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

# Bloquear apache e squid para internet
iptables -A INPUT -p tcp --dport 80 -i $INTERNET_ETH -j DROP
iptables -A INPUT -p tcp --dport 3128 -i $INTERNET_ETH -j DROP

# Liberando acessos da rede interna
iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 3389 -j ACCEPT
iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 9875 -j ACCEPT
iptables -A INPUT -p tcp -s $INTERNAL_CLASS --dport 8017 -j ACCEPT
iptables -A FORWARD -d $INTERNAL_CLASS -p tcp --dport 8017 -j ACCEPT

# Emails
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT

# Forward
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT

# Libera Acesso da VPN do Siagri
echo " Liberando VPN SIAGRI [OK]"

VPNSERVER=200.163.51.83
iptables -t nat -A PREROUTING -p tcp --dport 1723 -j DNAT --to $VPNSERVER
iptables -t nat -A PREROUTING -p gre -j DNAT --to $VPNSERVER


# Redirects
iptables -t nat -A PREROUTING -i $INTERNET_ETH -p tcp --dport 9875 -j DNAT
--to 192.168.2.5:9875
iptables -t nat -A PREROUTING -i $INTERNET_ETH -p tcp --dport 3389 -j DNAT
--to 192.168.2.5:3389