Iptables com politica INPUT Drop (yum não fuinciona mais)
Bom dia pessoal,
montei meu firewall com politica padrão DROP para INPUT e FORWARD. Aparentemente estava tudo normal até que notei que no proprio servidor ao tentar instalar algum programa pelo YUM, ele dava timeout em todos os repositórios.
mudei a politica de INPUT para ACCEPT aí funcionou corretamente.
Alguem sabe o que pode ser?
ERRO:
Plugins carregados: fastestmirror, langpacks
http://repo.ajenti.org/ng/centos/7/x...ta/repomd.xml: [Errno 12] Timeout on http://repo.ajenti.org/ng/centos/7/x...ta/repomd.xml: (28, 'Resolving timed out after 30382 milliseconds')
Segue parte do meu firewall abaixo:
#LIMPANDO AS CAMADAS
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -F -t mangle
iptables -X -t mangle
#POLITICA DO FIREWALL
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#HABILITANDO ENCAMINHAMENTO DE PACOTES IPV4
echo "1" > /proc/sys/net/ipv4/ip_forward
#LEVANTANDO OS MODULOS IPTABLES
modprobe iptable_nat
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
#COMPARTILHANDO A INTERNET
iptables -t nat -A POSTROUTING -o enp5s0 -j MASQUERADE
#LIBERACAO DE PORTAS INPUT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT #Porta FTP - (Aberta por causa da SEFAZ)
iptables -A INPUT -p tcp --dport 53 -j ACCEPT #Porta DNS
iptables -A INPUT -p udp --dport 53 -j ACCEPT #Porta DNS
iptables -A INPUT -p tcp --dport 67 -j ACCEPT #Porta DHCP
iptables -A INPUT -p udp --dport 67 -j ACCEPT #Porta DHCP
iptables -A INPUT -p tcp --dport 68 -j ACCEPT #Porta DHCP
iptables -A INPUT -p udp --dport 68 -j ACCEPT #Porta DHCP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #Porta HTTP
iptables -A INPUT -p udp --dport 80 -j ACCEPT #Porta HTTP
iptables -A INPUT -p tcp --dport 443 -j ACCEPT #Porta HTTPS
iptables -A INPUT -p udp --dport 443 -j ACCEPT #Porta HTTPS
Re: Iptables com politica INPUT Drop (yum não fuinciona mais)
Citação:
Postado originalmente por
Arthur Bernardes
Você abriu para a rede local? Também poderia abrir para a loopback.
Código :
iptables -A INPUT -i eth0 -j ACCEPT
Seus clientes estão navegando na internet?
Os clientes estão navegando normalmente.
Uma duvida, essa regra abaixo não vai em conflito com minha politica padrão de DROP para INPUT ?
Código :
iptables -A INPUT -i eth0 -j ACCEPT
acabei de adicionar essa regra abaixo mas mesmo assim continuo com o problema.
Código :
iptables -A INPUT -i lo -j ACCEPT
Re: Iptables com politica INPUT Drop (yum não fuinciona mais)
Positivo, é isso aí.
Abaixo segue o Firewall completo, após inserir as regras que voce citou:
Código :
# enp4s0 = REDE LOCAL
# enp5s0 = INTERNET
#LIMPANDO AS CAMADAS
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -F -t mangle
iptables -X -t mangle
#POLITICA DO FIREWALL
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#HABILITANDO ENCAMINHAMENTO DE PACOTES IPV4
echo "1" > /proc/sys/net/ipv4/ip_forward
#LEVANTANDO OS MODULOS IPTABLES
modprobe iptable_nat
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
#COMPARTILHANDO A INTERNET
iptables -t nat -A POSTROUTING -o enp5s0 -j MASQUERADE
#ILIMITANDO O TRAFEGO LOOPBACK
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#LIBERACAO DE PORTAS INPUT
iptables -A INPUT -i enp4s0 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT #Porta FTP - (Aberta por causa da SEFAZ)
iptables -A INPUT -p tcp --dport 53 -j ACCEPT #Porta DNS
iptables -A INPUT -p udp --dport 53 -j ACCEPT #Porta DNS
iptables -A INPUT -p tcp --dport 67 -j ACCEPT #Porta DHCP
iptables -A INPUT -p udp --dport 67 -j ACCEPT #Porta DHCP
iptables -A INPUT -p tcp --dport 68 -j ACCEPT #Porta DHCP
iptables -A INPUT -p udp --dport 68 -j ACCEPT #Porta DHCP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #Porta HTTP
iptables -A INPUT -p udp --dport 80 -j ACCEPT #Porta HTTP
iptables -A INPUT -p tcp --dport 110 -j ACCEPT #Porta YUM
iptables -A INPUT -p tcp --dport 443 -j ACCEPT #Porta HTTPS
iptables -A INPUT -p udp --dport 443 -j ACCEPT #Porta HTTPS
#LIBERACAO DE PORTAS FORWARD
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT #Porta FTP - (Aberta por causa da SEFAZ)
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT #Porta DNS
iptables -A FORWARD -p udp --dport 53 -j ACCEPT #Porta DNS
iptables -A FORWARD -p tcp --dport 67 -j ACCEPT #Porta DHCP
iptables -A FORWARD -p udp --dport 67 -j ACCEPT #Porta DHCP
iptables -A FORWARD -p tcp --dport 68 -j ACCEPT #Porta DHCP
iptables -A FORWARD -p udp --dport 68 -j ACCEPT #Porta DHCP
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT #Porta HTTP
iptables -A FORWARD -p udp --dport 80 -j ACCEPT #Porta HTTP
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT #Porta POP3
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT #Porta HTTPS
iptables -A FORWARD -p udp --dport 443 -j ACCEPT #Porta HTTPS
iptables -A FORWARD -p tcp --dport 587 -j ACCEPT #Porta SMTP
Re: Iptables com politica INPUT Drop (yum não fuinciona mais)
Obrigado pelas dicas, farei a alteração.
independente disso, o meu problema está no INPUT, pois quando coloco ele como -P ACCEPT, o YUM volta a funcionar.
Como vc pôde ver, liberei INPUT para a rede local, mas mesmo assim continuo com problemas.
Alguma outra sugestão?
Re: Iptables com politica INPUT Drop (yum não fuinciona mais)
Vou fazer o teste e volto a responder com o resultado.
Mas agora to achando que pode ser o estado do meu firewall, ele está como stateless ao invés de statefull