De: segfault Para: linux-br@bazar2.conectiva.com.br Assunto: (linux-br)IPTables - Onde =?iso-8859-1?q?est=E1?=o erro??? Data: Thu, 31 Jul 2003 18:51:43 -0300 Olá pessoal, atualmente utilizo no meu firewall as regras abaixo. Mas um probleminha ocorre: quando configuro um cliente de email numa maquina da rede interna com o ip que liberei na regra de forward abaixo, o cliente trabalha numa boa, recebe e envia mensagens. Porem, isso so ocorre quando eu utilizo o ip. Quando libero por exemplo pop.minhaempresa.com.br e smtp.minhaempresa.com.br o cliente de email apenas recebe as mensagens, nao as envia. Qual seria o possivel problema? Em principio adicionei pop.*** e smtp.*** ao /etc/hosts, mas mesmo assim nao funfa. No cliente fica assim: "Finding host..." e dá uma mensagem de erro. Abaixo estão minhas regras, favor não rir! :))) # Ativacao dos modulos do IPtables... /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_tables /sbin/modprobe ipt_state /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp /sbin/modprobe ipt_LOG /sbin/modprobe ipt_REJECT /sbin/modprobe ipt_MASQUERADE # Ativacao do roteamento IP do kernel... /bin/echo "1" > /proc/sys/net/ipv4/ip_forward # Bloqueio de pings... /bin/echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all # # Setando politicas padroes... # /sbin/iptables -P INPUT ACCEPT /sbin/iptables -P FORWARD ACCEPT /sbin/iptables -P OUTPUT ACCEPT # # Limpando as regras... # /sbin/iptables -F /sbin/iptables -F -t nat /sbin/iptables -X /sbin/iptables -X -t nat # # Mascaramento e forwarding... # /sbin/iptables -A POSTROUTING -t nat -s 10.0.0.0/8 -o ppp0 -j MASQUERADE /sbin/iptables -A FORWARD -i ppp0 -j ACCEPT # Velox /sbin/iptables -A FORWARD -i eth0 -j ACCEPT # Velox # Liberando acesso a emails... /sbin/iptables -A FORWARD -i eth1 -d 200.XXX.XXX.XXX/24 -j ACCEPT # Rede local # # Bloqueio de softwares "Peer to Peer" # # Bloqueando Napster... /sbin/iptables -A FORWARD -d 64.124.41.0/24 -j LOG /sbin/iptables -A FORWARD -d 64.124.41.0/24 -j REJECT # Bloqueando IMesh... /sbin/iptables -A FORWARD -d 216.35.208.0/24 -j LOG /sbin/iptables -A FORWARD -d 216.35.208.0/24 -j REJECT # Bloqueando Bearshare... /sbin/iptables -A FORWARD -p TCP --dport 6346 -j LOG /sbin/iptables -A FORWARD -p TCP --dport 6346 -j REJECT #Bloqueando ToadNode... /sbin/iptables -A FORWARD -p TCP --dport 6346 -j LOG /sbin/iptables -A FORWARD -p TCP --dport 6346 -j REJECT # Bloqueando WinMX... /sbin/iptables -A FORWARD -d 64.49.201.0/24 -j LOG /sbin/iptables -A FORWARD -d 64.49.201.0/24 -j REJECT /sbin/iptables -A FORWARD -d 209.61.186.0/24 -j LOG /sbin/iptables -A FORWARD -d 209.61.186.0/24 -j REJECT # Bloqueando Napigator... /sbin/iptables -A FORWARD -d 209.25.178.0/24 -j LOG /sbin/iptables -A FORWARD -d 209.25.178.0/24 -j REJECT # Bloqueando Morpheus... /sbin/iptables -A FORWARD -d 206.142.53.0/24 -j LOG /sbin/iptables -A FORWARD -d 206.142.53.0/24 -j REJECT /sbin/iptables -A FORWARD -p TCP --dport 1214 -j REJECT # Liberando KaZaA... E eu sou doido de bloquear o KaZaA? :))) /sbin/iptables -A FORWARD -d 213.248.112.0/24 -j ACCEPT # Bloqueando Limewire... /sbin/iptables -A FORWARD -p TCP --dport 6346 -j LOG /sbin/iptables -A FORWARD -p TCP --dport 6346 -j REJECT # Bloqueando AudioGalaxy... /sbin/iptables -A FORWARD -d 64.245.58.0/23 -j LOG /sbin/iptables -A FORWARD -d 64.245.58.0/23 -j REJECT # # Messaging # # Bloqueando AIM... /sbin/iptables -A FORWARD -d login.oscar.aol.com -j LOG /sbin/iptables -A FORWARD -d login.oscar.aol.com -j REJECT /sbin/iptables -A FORWARD -p TCP --dport 5190 -j REJECT # Bloqueando ICQ... /sbin/iptables -A FORWARD -d login.icq.com -j LOG /sbin/iptables -A FORWARD -d login.icq.com -j REJECT # Bloqueando MSN Messenger... /sbin/iptables -A FORWARD -d 64.4.13.0/24 -j LOG /sbin/iptables -A FORWARD -d 64.4.13.0/24 -j REJECT /sbin/iptables -A FORWARD -p TCP --dport 1863 -j REJECT # Bloqueando Yahoo Messenger... /sbin/iptables -A FORWARD -d cs.yahoo.com -j LOG /sbin/iptables -A FORWARD -d cs.yahoo.com -j REJECT /sbin/iptables -A FORWARD -d scsa.yahoo.com -j LOG /sbin/iptables -A FORWARD -d scsa.yahoo.com -j REJECT # # Fechando situacoes nao-previstas... # /sbin/iptables -A FORWARD -j DROP --- Pernambuco State Technological Institute http://www.itep.br --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html