problemas com iptables

05-02-2003, 14:24

eu uso mdk 8.2 e to mexendo um poco com o iptables, mas as vezes,
nao sei pq, a minha maquina nao responde a mais nda de rede, nao dah
ping, nao resolve nomes, nem ping localhost ela responde, mesmo dps
de eu jah ter dado iptables -F.
Ai eu tenho que reiniciar a maquina.

Alguem sabe oq eh isso?

HunTer · 05-02-2003, 14:35

Falae velho ! ! !

Vc pode ter mudado a Politica de Entrata(INPUT) ou saida (OUTPUT) da makina

tenta
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

e ve se ela responde agora.

ah da uma olhada neste artigo

http://iptables.under-linux.org/, muito legal sobre IpTables.

Espero ter ajudado

Té +

<IMG SRC="images/forum/icons/icon_biggrin.gif">

wrochal · 05-02-2003, 14:58

verifique se no ntsysv não esta carregando algun scriopt firewall e tiver coloque aqui suas regras e qualquer duvida basta entrar em contato..

05-02-2003, 15:35

eh realmente eu tinha mudado a politica de entrada colocando no comeco
do meu script iptables -P INPUT DROP

Mas mesmo assim seria pra funcionar ou nao?
pq abaixo disso eu abro as portas dos meus servicos, e gostaria que
tdo mais fosse trancado.
Como se faz isso entao?

**mistymst** · 05-02-2003, 15:46

Bom se tiver uma INPUT policy de DROP voce tem que abrir cada porta ,que as pessoas irao se conectar em voce. inclusive domain requests e qualquer coisa.

eu nao sei muito bem porque qdo voce dava ping localhost nao funcionava... deve ser porque o loopback estava bloqueado tambem, lembre-se o bloqueio eh feito a nivel de kernel e nao a nivel de ip (pelo q eu lembre eu acho q eh isso mesmo, se eu estiver errado , avise <IMG SRC="images/forum/icons/icon_smile.gif">)

Leia os tutoriais e tome cuidado com as regras colocadas <IMG SRC="images/forum/icons/icon_smile.gif">
Entenda o que o comando ira fazer antes de simplesmente botar la a regra <IMG SRC="images/forum/icons/icon_smile.gif"> ai voce comecara a entender como funciona o negocio e a maioria dos problemas irao desaparecer.
eh isso <IMG SRC="images/forum/icons/icon_smile.gif">

05-02-2003, 15:57

entao, eu mudei a politica e dps liberei as portas que eu queria.
Esse "domain request" seria consulta de dns?
ainda nao entendi....por exemplo, se eu quiser apenas a porta 80
liberada,

iptables -P INPUT DROP
iptables -A INPUT -dport 80 -j ACCEPT

isso serviria?

sat4n · 05-02-2003, 16:20

seria assim,

iptables -P INPUT DROP
iptables -A INPUT -i iface -p tcp -s 0/0 -d teuIP --dport 80 -j ACCEPT

abraços

05-02-2003, 16:28

fiz isso que tu me falo, e dah o mesmo problema.
o servico de rede simplesmente para, nao pinga nada, nem abre minha
porta 80
:/

sat4n · 05-02-2003, 16:40

seguinte, ja adciona isso no eu firewall e ev se rola...

#definindo a variavel...
INTRANET="192.168.1.0/24"

#permitindo conexoes pra propria rede...
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s $INTRANET -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o eth0 -s $INTRANET -d $INTRANET -j ACCEPT

05-02-2003, 16:50

tdo bem, agora consigo pingar minha propria maquina e minha rede,
mas mesmo assim nao vou alem disso, nao consigo ver a internet, nem
quem esta fora consegue acessar minha porta 80

sat4n · 05-02-2003, 17:03

Pra isso ai tens pra compartilhar a internet precisa mascarar o ip e tals...
talvez pra acessar a sua 80 tenho que fazer uma DNAT
me descreve como eh a rede ai, as iface etc...

05-02-2003, 17:45

nao sei se precisa faze dnat
eu soh tenho uma maquina com ip valido, ela enxerga normalmente a
internet, mas qdo mudo a politica de INPUT, ela fica loca, nao abre
as portas que eu especifiquei e tal

sat4n · 05-02-2003, 18:19

Me diz teu objetivo, oque queis fazer, fala bem claramente pra min ser mais objetivo... <IMG SRC="images/forum/icons/icon_biggrin.gif">

05-02-2003, 18:30

tdo bem

como jah disse, eh 1 ip valido vendo a internet.
eu queria apenas fechar tds as portas e abrir a porta 80 por exemplo.
mas nao to conseguindo.
as regras que eu coloquei sao:

iptables -P INPUT DROP
iptables -A INPUT -i eth0 -p tcp -s 0/0 -dport 80 -j ACCEPT

mas com a mudanca de politica, a maquina parece que perde todo servico de rede,
nao dah mais ping, nem nela mesmo, e as outras nao a enxergam
eh isso.

**mistymst** · 05-02-2003, 18:55

Relax <IMG SRC="images/forum/icons/icon_smile.gif"> bom o param eh --dport e nao -dport

olha.. se o servidor que roda o iptables e o mesmo do apache que voce ta rodando

iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 80 -j ACCEPT

deveria dar pro caldo. entretanto se essa conexao a porta 80 nao for na maquina do que roda o iptables ... troque INPUT por FORWARD e adicione -d 0.0.0.0/0

iptables -A FORWARD -p tcp -s 0/0 -d 0/0 --dport 80 -j ACCEPT

ah.. eh domain requests eh sim um query de dns ... que envolve a porta 53 udp/tcp

05-02-2003, 19:00

o apache eh na mesma maquina sim, mas mesmo assim nao funciona ;/

e qto a query dns nao tem problema, pq eu nao rodo bind aqui
mesmo assim, obrigado.

problemas com iptables

Ferramentas de Tópicos