Quanto as regras de FORWARD, como eu poderia fazer para bloquear tudo exceto as portas 21, 80, 110 ...[/b]
Quanto as regras de FORWARD, como eu poderia fazer para bloquear tudo exceto as portas 21, 80, 110 ...[/b]
# Nega tudo
iptables -P FORWARD DROP
# Libera portas TCP
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
se pode fazer isto por interface ainda... adicionando a regra -i eth1, como exemplo...
t+
Infelizmente não funcionou.... Todos os serviços são negados mesmo eu incluindo as regras de FORWARD permitindo determinados serviços, por exemplo... porta 21(ftp) 80(http).
DROPAR a política de FORWARD não tranca de cara todos os serviços, mesmo que eu libere depois...?????
O que posso ter feito de errado?? (Vale lembrar que inclusive eu já havia tentado fazer isso que vc me aconselhou...)
Dropar tranca sim. Mas este é o "padrão" nega tudo e depois libera. Execute:Postado originalmente por moisesbrandalise
Iptables -L
e veja como estão suas chains;...
t+
Creio que sim:
iptables -t NAT -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
pense
se vc DROPA tdo no inicio da fw, quando o pacote chega, ele eh dropado ou seja, naum passa adiante
o correto, eh vc definir a policy como drop, ex:
iptables -P INPUT -j DROP
e dpois definir uma a uma as suas regras q vaum liberar recursos
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
e dpois vc nega tdo o q naum foi filtrado
iptables -A INPUT -j DROP
[]'s
Foi isso que eu fiz mesmo, mas a impressao que tenho é que no momento em que DROPO o FORWARD, nada mais passa.....
Ola...
Já liberou o forward?
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
t+
voce tem que liberar o dns tb. portas udp e tcp.
com meu firewall quis trancar o acesso direto a minha máquina
iptables -P INPUT -j DROP
iptables -A INPUT -p TCP --dport 80 -j ACCEPT
e ainda liberei a porta DNS
iptables -A INPUT -p TCP --dport 53 -j ACCEPT
iptables -A INPUT -p UDP --dport 53 -j ACCEPT
mesmo assim não tenho acesso á internet, somente se eu passo o PADRAO de DROP para ACCEPT