maneira correta para politica DROP.
Boa Noite segue abaixo uma simples dúvida.
iptables -P FORWARD DROP
iptables -A FORWARD -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
Dessa forma libero a entrada e saida, com a porta 80 em minha rede, no caso vai funcionar o navegador.
Perguntas
1) tem como fazer isso de outra forma ?
2) Qual a diferença de fazer isso dessa forma, e utilizando o -t filter ?
Obrigado
maneira correta para politica DROP.
Amigo isso funciona em partes, ou melhor, na pratica não funciona não, justamente por que para acessar uma página é necessário que se libere acesso ao serviço de DNS. Dessa forma você só conseguiria acessar por ip.
Quanto as formas de se fazer isso, existe várias, depende de como está sua rede e da forma que será feito o acesso, ou seja, isso depende do contexto de segurança a ser aplicado.
Nesse seu exemplo a politica aplicada é Dropar tudo e deixar passar somente acesso http.
Já com relação a utilizar -t filter, não muda nada. Na verdade a tabela filter é a padrão do iptables, por isso podemos omitir o seu uso e escrever somente iptables -A ........ Funciona normalmente e é idêntico a iptables -t filter -A ...
OK? :)
Abraços,
maneira correta para politica DROP.
1) Obvio, dessa maneira que voce faz soa ate complicado... dessa maneira voce: libera tudo que sai pela eth1, e aceita a porta 80/tcp vindo da eth1, entretanto como padrao bloqueia o resto. No meu caso eu so iria liberar a saida da porta 80 baseado nao somente na interface e sim no ip, claro que isso tudo depende do nivel de seguranca q vc quer implementar e da granularidade desta, e entao relacionaria as conexoes, assim voce enxuga as regras (vide deixar o firewall stateful).
2) ja foi respondida.
maneira correta para politica DROP.
Muito Obrigado.
Na verdade é uma simples dúvida, que se tornam confusas sem alguém responder.
Porque vi muitos scripts com -t filter,e pessoas que copiam isso sem saber o verdadeiro significado.
Então sobre a eth1. No caso o -o (Origem), é do meu micro para o firewall.
Posso especificar a porta para origem também ?
Obrigado
maneira correta para politica DROP.
Citação:
Postado originalmente por Anonymous
Posso especificar a porta para origem também?
Claro, para especificar a origem utilize o -s
Veja mais aqui: http://focalinux.cipsga.org.br/guia/...w-iptables.htm
:good:
maneira correta para politica DROP.
Meu amigo, -o eth1 "out" não é origem, isso significa que a interface eth1 irá transmitir o datagrama, ou pacote. -i eth1 "in", significa que a interface eth1 recebeu o datagrama ou pacote. Vale lembrar que se sua conexão é xDSL, Cable modem, dial-up, "Velox, Speed, AJATO ou outras", sua placa interna deve ser intitulada de "ppp0" e não de "ethx" ok.
maneira correta para politica DROP.
boiei ?
Porque uma adsl nao pode ser eth????????????
maneira correta para politica DROP.
Citação:
Postado originalmente por valerio
Meu amigo, -o eth1 "out" não é origem, isso significa que a interface eth1 irá transmitir o datagrama, ou pacote. -i eth1 "in", significa que a interface eth1 recebeu o datagrama ou pacote. Vale lembrar que se sua conexão é xDSL, Cable modem, dial-up, "Velox, Speed, AJATO ou outras", sua placa interna deve ser intitulada de "ppp0" e não de "ethx" ok.
Acho que o amigo falow algo errado.
No linux as interfaces que utilizam conexão discada são identificadas por pppx enquanto que modems adsl que utilizam conexão via placa ethernet são chamadas identificadas por ethx.
Entendes?
maneira correta para politica DROP.
hehe, ah ta...
Sim quando disca (Briedge) para o modem, dai utilizo pp...
Mas como o modem é roteador eu utilizo eth sim...
Provavelmente ele digitou errado
valeu :good: