iptables DROP

[peregrino]

Boa Noite,

pessoal eu tenho um firewall em iptables rodando em sima do debian 4.0 etch com as regras

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

faço o compartilhamento da internet via MASQUERAD sem problemas navego na internet normalmente, so que eu quero fazer a politica do FORWARD em DROP
iptables -P FORWARD DROP

so que quando eu faço isso minha internet para é obvio mas so que ja tentei fazer varias liberações e não funciona vc sabem como eu posso estar liberando a internet porque eu quero por xemplo liberar so a porta 80 digo 80 de dentro para fora quero so a navegação

obrigado

[Bruno]

vc tera que libera usa rede no forward posta seu firewall ai pra estudar

[peregrino]

então meu firewall esta assim

#! /bin/bash

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t filter -A INPUT -p TCP -s 0/0 --destination-port 22 -j ACCEPT
iptables -t filter -A OUTPUT -p TCP -d 0/0 --source-port 22 -j ACCEPT

e quero que fique assim

#! /bin/bash

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t filter -A INPUT -p TCP -s 0/0 --destination-port 22 -j ACCEPT
iptables -t filter -A OUTPUT -p TCP -d 0/0 --source-port 22 -j ACCEPT

gostaria de saber quais regras devo usar para liberar a navegação da internet pela porta 80 e depois ir liberando conforme vai sendo solicitado por exemplo https

obrigado

[macvitor]

se sua rede for 192.168.0.0/24 terá que ser assim:

#! /bin/bash

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t filter -A INPUT -p TCP -s 0/0 --destination-port 22 -j ACCEPT
iptables -t filter -A OUTPUT -p TCP -d 0/0 --source-port 22 -j ACCEPT
iptables -t filter -A FORWARD -p TCP -s 192.168.0.0/24 -d 0/0 --destination-port 80 -j ACCEPT
iptables -t filter -A FORWARD -p TCP -s 192.168.0.0/24 -d 0/0 --destination-port 443 -j ACCEPT

[peregrino]

opa,

então não funciono tentei tambem fazer o que um cara no forum do linuxbsd me falo aii deixei assim o script mas mesmo assim não funciona não navega se tiver uma ideia

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t filter -A INPUT -p TCP -s 0/0 --destination-port 22 -j ACCEPT
iptables -t filter -A OUTPUT -p TCP -d 0/0 --source-port 22 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0/0 -m multiport --dports 80,53 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.0.0/24 -d 0/0 -m multiport --dports 80,53 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0/0 -m multiport --sports 80,53 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.0.0/24 -d 0/0 -m multiport --sports 80,53 -j ACCEPT

obrigado

[peregrino]

opa pesoal

então estava fazendo uns testes e se eu deixar o meu firewall assim ele funciona mas não entra em alguns sites por exemplo:
UOL - O melhor conteúdo
MSN Brasil

mas consigo pingar esses sites normalmente o meu firewall é esse aii

#! /bin/bash

iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD -i ppp0 -j ACCEPT
iptables -t filter -A FORWARD -i eth1 -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t filter -A INPUT -p tcp -s 0/0 --destination-port ssh -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -d 0/0 --source-port ssh -j ACCEPT

gostaria de saber se tem como eu liberar a internet via OUTPUT ou tem que ser mesmo via FORWARD caramba mas que coisa complicada fazer o DROP da internet e so liberar as portas que vc quer ninguem tem uma ideia ou ja fez isso DROP nas 3 chains e liberar so a 80 para navegação gostaria de saber se da para fazer isso pela OUTPUT em vez de fazer da forma que vcs me falaram que é via FORWARD

ah so deem uma olhada nesse script e me falem por favor o que esta faltando ou o que eu errei
obrigado

[peregrino]

Bom Dia

opa pessoal me de uma força aee nesse bendito firewall

alguem sabe se o curso na 4linux inteligencia em arquitetua de firewall é bom ?

obrigado

[GodZilla_XF]

Olá, bem tente fazer assim

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

eu uso assim, caso nao ajude deconsidere o post

[peregrino]

opa faleu pela resposta mas o firewall tem que ficar com as politicas padrões em DROP

Obrigado

[Brenno]

noticia boa pra ti, vou te ajudar

bora por partes ok?

você tem dns nessa máquina?
tem squid nela?

deixe o OUTPUT ACCEPT, me passa as respostas acima que contruo o firewall pra ti.

abração

[peregrino]

Brenno valeu mesmo pela ajuda mas eu acabei de conseguir fazer o firewall do jeito que eu queri DROP na INPUT OUTPUT FORWARD eu vo fazer um tutorial e disponibilizar para o pessoal

valeu pessoal pela ajuda

[ealcay]

Meu firewall esta com politicas em DROP no default...
preciso liberar a porta 5001 mas sempre cai em (policy DROP)
como faço para da ACESS ?

[Brenno]

Meu firewall esta com politicas em DROP no default...
preciso liberar a porta 5001 mas sempre cai em (policy DROP)
como faço para da ACESS ?

você precisar passar mais detalhes amigo, você quer liberar a 5001 para saida( sai do seu firewall ou da sua rede interna) ou entrada( tudo que vem da net para sua rede interna ou seu firewall) ????

[ealcay]

você precisar passar mais detalhes amigo, você quer liberar a 5001 para saida( sai do seu firewall ou da sua rede interna) ou entrada( tudo que vem da net para sua rede interna ou seu firewall) ????

Blz...vou explicar melhor!
Tenho um firewall montado com algumas portas abertas ja.
Preciso liberar a porta 5001, pois é a porta que um programa utiliza pra se comunicar com minha rede.
Todas portas do meu modem ja estão abertas, o que bloqueia é o iptables.
Dou o comando mas ele para na regra policy DROP pois meu firewall usa essa politica por que acho mais facil, no meu caso.
Valeu cara!

[Brenno]

Blz...vou explicar melhor!
Tenho um firewall montado com algumas portas abertas ja.
Preciso liberar a porta 5001, pois é a porta que um programa utiliza pra se comunicar com minha rede.
Valeu cara!

ainda continuo sem enteder, esse problema ele acessa seu firewall? a 5001 ta em que máquina? no seu firewall ou em uma máquina da sua rede interna?

[ealcay]

O programa vai ser executado em uma maquina da rede (ex: 192.168.0.26) e este programa utiliza a porta 5001. Quero liberar esta porta para toda a rede nao somente para este ip interno. O problema é que meu firewall estra bloqueando esta porta por que como ja disse uso as politicas DROP como default...e vou liberando as portas que necessito...assim é mais seguro!

[Brenno]

O programa vai ser executado em uma maquina da rede (ex: 192.168.0.26) e este programa utiliza a porta 5001. Quero liberar esta porta para toda a rede nao somente para este ip interno. O problema é que meu firewall estra bloqueando esta porta por que como ja disse uso as politicas DROP como default...e vou liberando as portas que necessito...assim é mais seguro!

Se máquina 192.168.0.29 tem a porta 5001 aberta e a maquina 192.168.0.30 for acessa essa mámquina, essa requisição da máquina 30, não irá passar por seu firewall, pois estar no mesmo seguimento de rede, então você não precisar mecher no seu firewall para as máquinas da rede acesse o ip .29 na porta 5001.

att,

[ealcay]

Se máquina 192.168.0.29 tem a porta 5001 aberta e a maquina 192.168.0.30 for acessa essa mámquina, essa requisição da máquina 30, não irá passar por seu firewall, pois estar no mesmo seguimento de rede, então você não precisar mecher no seu firewall para as máquinas da rede acesse o ip .29 na porta 5001.

att,

Ok, entendi essa parte.
Mas continuo sem saber como criar uma regra para a porta que quero abrir fugir da minha politica DROP.