Policiamento FORWARD é drop, mas mesmo assim funciona tudo

É que o "state" no FORWARD garante o retorno dos pacotes a sua rede local (desde que a conexão já esteja estabelecida ou reincidente). Da forma que estava vc só permitia no sentido "rede local -> internet", mas não tinha nada tratando o retorno.

Citação:

---

Postado originalmente por Anonymous

realmente funcionou...
Mas CRASH2k, porque esse script não funcionou:

Código :

---

#!/bin/bash
IF_EXTERNA="eth0"
IF_INTERNA="eth1"
REDE_INTERNA="172.0.0.0/24"
 
echo "1"> /proc/sys/net/ipv4/ip_forward
 
iptables -F
iptables -Z
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
 
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
 
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_INTERNA -j ACCEPT
 
iptables -A FORWARD -i $IF_INTERNA -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $IF_INTERNA -p tcp --dport 80 -j ACCEPT
 
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

---

---

então não tem como fazer isso, sem usar o -m state ?

O negócio é que vc precisa tratar o retorno do pacote, e se vc usar um controle baseado em estados de conexão melhor ainda.

Mas, poderia ter feito o retorno assim:

iptables -A FORWARD -o $IF_INTERNA -m multiport -p tcp --sport 80,443,8080,110,25,119 -j ACCEPT
iptables -A FORWARD -o $IF_INTERNA -p udp --sport 53 -j ACCEPT

O negócio é o retorno. Só q trabalhar com um firewall stateful é mais seguro.

Citação:

---

Postado originalmente por Anonymous

então não tem como fazer isso, sem usar o -m state ?

---

Entendi, quando eu troquei para sport, o meu primeiro script funcionou
Vou procurar algo bom para ler sobre o iptables, excplicando como funciona o sport, e esse -m.

Mas fica aqui, o meu Muito Obrigado a todos que me ajudaram

:clap: :clap:

ah, para complementar a porta 53 nem liberei e funcionou...
Mas fechei a 80 para ver o que iria acontecer, e bloqueou perfeitamente.
valeu