- Sobreposição de regras
+ Responder ao Tópico
-
Sobreposição de regras
Estou com um problema com iptables , uso o centericq em casa , fiz os testes com netstat e ele usa a porta 5190 , porem ao tentar conectar-se ele nao abre a porta (login.icq.com:5190).
Comento a primeira regra (DROP) , e ele conecta normalmente!!!
Eu devo liberar (ACCEPT) e depois fechar (DROP)???
Ou nao faz diferença???/
###FILTRAGEM###
$IPT -A INPUT -j DROP
$IPT -A INPUT -p tcp -s 0/0 --dport www -j ACCEPT
$IPT -A INPUT -p tcp -s 0/0 --dport ssh -j ACCEPT
$IPT -A INPUT -p tcp -s 0/0 --dport 1433 -j ACCEPT
$IPT -A INPUT -p tcp -s 0/0 --dport 5190 -j ACCEPT
-
Danilo_Montagna
Visitante
Sobreposição de regras
$IPT -A INPUT -j DROP
$IPT -A INPUT -p tcp -s 0/0 --dport www -j ACCEPT
$IPT -A INPUT -p tcp -s 0/0 --dport ssh -j ACCEPT
$IPT -A INPUT -p tcp -s 0/0 --dport 1433 -j ACCEPT
$IPT -A INPUT -p tcp -s 0/0 --dport 5190 -j ACCEPT
seguinte, vc precisa entender o conceito do iptables..
sua primeira regra tranca todas as portas e protoclos para qualquer destino vindo de qualquer origem.. e depois vc tenta liberar os destinos por porta.. isso nunca vai funcionar, pois o pacote ja se encaixa na primeira regra -j DROP para qualquer porta e destino.. e o mesmo ja é descartado nessa 1 regra.. capitche?
apenas ponha essa regra por ultimo..
-
Sobreposição de regras
Daniel , muito obrigado mas nao surtiu efeito essa modificacao.
Segue abaixo os procedimentos usados para tal acao.
abri o centericq
usei netstat -nlp
apareceu a porta 5190
Porem nao consegui liberar acesso nela
Acredito estar "matando" minha conexao UDP , pois a regra com DROP nao especifica protocolo.
O q eu posso fazer???
-
Sobreposição de regras
Desculpe eh Danilo , e naum daniel.
=p
-
Sobreposição de regras
É como o Danilo disse: Primeiro você aceita, e depois DROPa, entende? E, é claro, você tem que repetir isso para o protocolo UDP, pois pode ser que ele estaja usando também esse protocolo (só opinião, não sei ao certo).
Mas o jeito é esse: Aceite, depois Drope.. Ok?
´Se alguém bate na sua porta, você abre ou manda embora e depois abre? A pessoa já terá ido embora, certo? Então, se você Dropar o pacote e depois aceitá-lo, ele já terá se desfeito....´
[´s]
-
Danilo_Montagna
Visitante
Sobreposição de regras
seguinte.. varios softwares trabalham com portas dinamicas para sport de retorno.. ou seja, vc nao pode abrir e nem fechar nada em especifico..
o que eu te recomendo é trabalhar com a tag --state e determinar que o fluxo de pacotes para conexoes estabelicidas e relacionadas sejam aceitadas pelo firewall, e trancando apenas pacotes que estejam tentando abrir conexao.. NEW..
faz assim..
tira aquele sua regra de DROP, deixa apenas as com ACCEPT, deixe sua politica padrao do INPUT em DROP.. e poe essa linha aqui no final das regras de INPUT..
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
isso faz com as conexoes que ja estiverem relacionadas ou estabelecidas por algum outro pacote de abertura --SYN ira ser aceito o retoro .. blz?
obs.: lembre-se que essas regras sao destinadas a saida do icq para a maquina FIREWALL e nao para a rede interna ok.. se vc esta tentando liberar o icq para a rede interna, vc tem que trabalhar com a chain FORWARD.. blz?
============================
Danilo Montagna
Analista de Suporte / Consultor Técnico
Netowork Security Engineer
Microsoft Certified Professional
[email protected]
http://www.mcpdomain.com
============================
[ Esta mensagem foi editada por: Danilo_Montagna em 13-03-2003 12:32 ]