Policiamento FORWARD é drop, mas mesmo assim funciona tudo
É que o "state" no FORWARD garante o retorno dos pacotes a sua rede local (desde que a conexão já esteja estabelecida ou reincidente). Da forma que estava vc só permitia no sentido "rede local -> internet", mas não tinha nada tratando o retorno.
Citação:
Postado originalmente por Anonymous
realmente funcionou...
Mas CRASH2k, porque esse script não funcionou:
Código :
#!/bin/bash
IF_EXTERNA="eth0"
IF_INTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_INTERNA -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
então não tem como fazer isso, sem usar o -m state ?
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
O negócio é que vc precisa tratar o retorno do pacote, e se vc usar um controle baseado em estados de conexão melhor ainda.
Mas, poderia ter feito o retorno assim:
iptables -A FORWARD -o $IF_INTERNA -m multiport -p tcp --sport 80,443,8080,110,25,119 -j ACCEPT
iptables -A FORWARD -o $IF_INTERNA -p udp --sport 53 -j ACCEPT
O negócio é o retorno. Só q trabalhar com um firewall stateful é mais seguro.
Citação:
Postado originalmente por Anonymous
então não tem como fazer isso, sem usar o -m state ?
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
Entendi, quando eu troquei para sport, o meu primeiro script funcionou
Vou procurar algo bom para ler sobre o iptables, excplicando como funciona o sport, e esse -m.
Mas fica aqui, o meu Muito Obrigado a todos que me ajudaram
:clap: :clap:
Policiamento FORWARD é drop, mas mesmo assim funciona tudo
ah, para complementar a porta 53 nem liberei e funcionou...
Mas fechei a 80 para ver o que iria acontecer, e bloqueou perfeitamente.
valeu