Re: [squid-br] rede interna não navega

Sun, 14 Oct 2007 19:13:02 -0700 

> --- carlos andre <[EMAIL PROTECTED]> escreveu:
> 
> > o seguinte script ão ta funcionando peguei de um
> > livro que to estudando 
> > 
> > 
> > #!/bin/sh
> > #Carrega modulos de connection tracking
> > /sbin/modprobe ip_conntrack
> > /sbin/modprobe ip_conntrack_ftp
> > /sbin/modprobe ip_conntrack_irc
> > /sbin/modprobe ip_nat_ftp
> > /sbin/modprobe iptable_nat
> > #Define polo
> > /sbin/iptables -P INPUT DROP
> > /sbin/iptables -P FORWARD DROP
> > /sbin/iptables -P OUTPUT ACCEPT
> > 
> > #Limpa regras e cadeias de usurio prvias
> > /sbin/iptables -X
> > /sbin/iptables -F
> > /sbin/iptables -t nat -F
> > 
> > iptables -A INPUT -i lo -j ACCEPT
> > iptables -A INPUT -m state --state
> > ESTABLISHED,RELATED -j ACCEPT
> > 
> > #Habilita repasse de pacotes
> > echo 1 > /proc/sys/net/ipv4/ip_forward
> > ## Interface externa
> > EXT_IF=eth0
> > ## Interface interna
> > INT_IF=eth1
> > #abre portas externas pra usuarios acessarem o
> > servidor
> > iptables -A INPUT -p tcp --dport 22 -j ACCEPT
> > iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> > 
> > #rede interna
> > REDEMASQ=192.168.2.0/24
> > 
> > iptables -t nat -A POSTROUTING -s $REDEMASQ -o eth0
> > -j MASQUERADE
> > iptables -A FORWARD -o eth1 -m state --state
> > NEW,INVALID -j DROP
> > iptables -A FORWARD -o eth1 -m state --state
> > ESTABLISHED,RELATED -j
> > ACCEPT
> > iptables -A FORWARD -i eth1 -s $REDEMASQ -j ACCEPT
> > 
> > 
> > as maquinas internas não estão navegando qual o
> > erro????
> > 
>
> > 
> >  
> > Links do Yahoo! Grupos
> > 
> > 
> >  
> > 

--- Rodrigo Micheletto <[EMAIL PROTECTED]> escreveu:

> em: /sbin/iptables -P INPUT DROP
> 
> tá descartando tudo que vem da sua rede, mesmo vc
> liberando as portas lá embaixo...
> 
> essa regra tem de vir no fim pra fechar o proxy...
> 

Errado. -P indica a politica, que é acionada caso o pacote não case com
nenhuma regra da cadeia. Ou seja, pode vir em qualquer lugar do script.

Bem diferente de -j DROP, que este sim, é influenciado pela posição.

Mas ja que estamos comentando o firewall dele, eu achei duas coisas bem
estranhas: ele usar um bloqueio de state NEW na rede interna,
juntamente com  o INVALID. Pra falar a verdade, usar -j DROP quando a
política já  é DROP, é redundância. 

[ ]s, Henry






      Abra sua conta no Yahoo! Mail, o único sem limite de espaço para 
armazenamento!
http://br.mail.yahoo.com/

Responder a