Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Bom dia pessoal,

    montei meu firewall com politica padrão DROP para INPUT e FORWARD. Aparentemente estava tudo normal até que notei que no proprio servidor ao tentar instalar algum programa pelo YUM, ele dava timeout em todos os repositórios.
    mudei a politica de INPUT para ACCEPT aí funcionou corretamente.
    Alguem sabe o que pode ser?

    ERRO:
    Plugins carregados: fastestmirror, langpacks
    http://repo.ajenti.org/ng/centos/7/x...ta/repomd.xml: [Errno 12] Timeout on http://repo.ajenti.org/ng/centos/7/x...ta/repomd.xml: (28, 'Resolving timed out after 30382 milliseconds')


    Segue parte do meu firewall abaixo:
    #LIMPANDO AS CAMADAS
    iptables -F INPUT
    iptables -F FORWARD
    iptables -F OUTPUT
    iptables -t nat -F
    iptables -F -t mangle
    iptables -X -t mangle


    #POLITICA DO FIREWALL
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT


    #HABILITANDO ENCAMINHAMENTO DE PACOTES IPV4
    echo "1" > /proc/sys/net/ipv4/ip_forward


    #LEVANTANDO OS MODULOS IPTABLES
    modprobe iptable_nat
    modprobe ip_tables
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    modprobe ipt_REJECT
    modprobe ipt_MASQUERADE


    #COMPARTILHANDO A INTERNET
    iptables -t nat -A POSTROUTING -o enp5s0 -j MASQUERADE


    #LIBERACAO DE PORTAS INPUT
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT #Porta FTP - (Aberta por causa da SEFAZ)
    iptables -A INPUT -p tcp --dport 53 -j ACCEPT #Porta DNS
    iptables -A INPUT -p udp --dport 53 -j ACCEPT #Porta DNS
    iptables -A INPUT -p tcp --dport 67 -j ACCEPT #Porta DHCP
    iptables -A INPUT -p udp --dport 67 -j ACCEPT #Porta DHCP
    iptables -A INPUT -p tcp --dport 68 -j ACCEPT #Porta DHCP
    iptables -A INPUT -p udp --dport 68 -j ACCEPT #Porta DHCP
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT #Porta HTTP
    iptables -A INPUT -p udp --dport 80 -j ACCEPT #Porta HTTP
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT #Porta HTTPS
    iptables -A INPUT -p udp --dport 443 -j ACCEPT #Porta HTTPS

  2. Citação Postado originalmente por Arthur Bernardes Ver Post
    Você abriu para a rede local? Também poderia abrir para a loopback.

    Código :
    iptables -A INPUT -i eth0 -j ACCEPT

    Seus clientes estão navegando na internet?
    Os clientes estão navegando normalmente.

    Uma duvida, essa regra abaixo não vai em conflito com minha politica padrão de DROP para INPUT ?
    Código :
    iptables -A INPUT -i eth0 -j ACCEPT

    acabei de adicionar essa regra abaixo mas mesmo assim continuo com o problema.
    Código :
     iptables -A INPUT -i lo -j ACCEPT



  3. Positivo, é isso aí.

    Abaixo segue o Firewall completo, após inserir as regras que voce citou:

    Código :
    # enp4s0 = REDE LOCAL
    # enp5s0 = INTERNET
     
     
    #LIMPANDO AS CAMADAS
     iptables -F INPUT
     iptables -F FORWARD
     iptables -F OUTPUT
     iptables -t nat -F
     iptables -F -t mangle
     iptables -X -t mangle
     
     
    #POLITICA DO FIREWALL
     iptables -P INPUT DROP
     iptables -P FORWARD DROP
     iptables -P OUTPUT ACCEPT
     
     
    #HABILITANDO ENCAMINHAMENTO DE PACOTES IPV4
     echo "1" > /proc/sys/net/ipv4/ip_forward
     
     
    #LEVANTANDO OS MODULOS IPTABLES
     modprobe iptable_nat
     modprobe ip_tables
     modprobe ip_conntrack
     modprobe ip_conntrack_ftp
     modprobe ip_nat_ftp
     modprobe ipt_REJECT
     modprobe ipt_MASQUERADE
     
     
    #COMPARTILHANDO A INTERNET
     iptables -t nat -A POSTROUTING -o enp5s0 -j MASQUERADE
     
     
    #ILIMITANDO O TRAFEGO LOOPBACK
     iptables -A INPUT -i lo -j ACCEPT
     iptables -A OUTPUT -o lo -j ACCEPT
     
     
     #LIBERACAO DE PORTAS INPUT
     iptables -A INPUT -i enp4s0 -j ACCEPT
     iptables -A INPUT -p tcp --dport 21 -j ACCEPT       #Porta FTP - (Aberta por causa da SEFAZ)
     iptables -A INPUT -p tcp --dport 53 -j ACCEPT       #Porta DNS
     iptables -A INPUT -p udp --dport 53 -j ACCEPT       #Porta DNS
     iptables -A INPUT -p tcp --dport 67 -j ACCEPT       #Porta DHCP
     iptables -A INPUT -p udp --dport 67 -j ACCEPT       #Porta DHCP
     iptables -A INPUT -p tcp --dport 68 -j ACCEPT       #Porta DHCP
     iptables -A INPUT -p udp --dport 68 -j ACCEPT       #Porta DHCP
     iptables -A INPUT -p tcp --dport 80 -j ACCEPT       #Porta HTTP
     iptables -A INPUT -p udp --dport 80 -j ACCEPT       #Porta HTTP
     iptables -A INPUT -p tcp --dport 110 -j ACCEPT      #Porta YUM
     iptables -A INPUT -p tcp --dport 443 -j ACCEPT      #Porta HTTPS
     iptables -A INPUT -p udp --dport 443 -j ACCEPT      #Porta HTTPS
     
     
    #LIBERACAO DE PORTAS FORWARD
     iptables -A FORWARD -p tcp --dport 21 -j ACCEPT       #Porta FTP - (Aberta por causa da SEFAZ)
     iptables -A FORWARD -p tcp --dport 53 -j ACCEPT       #Porta DNS
     iptables -A FORWARD -p udp --dport 53 -j ACCEPT       #Porta DNS
     iptables -A FORWARD -p tcp --dport 67 -j ACCEPT       #Porta DHCP
     iptables -A FORWARD -p udp --dport 67 -j ACCEPT       #Porta DHCP
     iptables -A FORWARD -p tcp --dport 68 -j ACCEPT       #Porta DHCP
     iptables -A FORWARD -p udp --dport 68 -j ACCEPT       #Porta DHCP
     iptables -A FORWARD -p tcp --dport 80 -j ACCEPT       #Porta HTTP
     iptables -A FORWARD -p udp --dport 80 -j ACCEPT       #Porta HTTP
     iptables -A FORWARD -p tcp --dport 110 -j ACCEPT      #Porta POP3
     iptables -A FORWARD -p tcp --dport 443 -j ACCEPT      #Porta HTTPS
     iptables -A FORWARD -p udp --dport 443 -j ACCEPT      #Porta HTTPS
     iptables -A FORWARD -p tcp --dport 587 -j ACCEPT      #Porta SMTP

  4. Obrigado pelas dicas, farei a alteração.
    independente disso, o meu problema está no INPUT, pois quando coloco ele como -P ACCEPT, o YUM volta a funcionar.
    Como vc pôde ver, liberei INPUT para a rede local, mas mesmo assim continuo com problemas.
    Alguma outra sugestão?



  5. Vou fazer o teste e volto a responder com o resultado.
    Mas agora to achando que pode ser o estado do meu firewall, ele está como stateless ao invés de statefull






Tópicos Similares

  1. Iptables com Politica DROP
    Por mastellaro no fórum Servidores de Rede
    Respostas: 5
    Último Post: 24-10-2014, 22:56
  2. Respostas: 2
    Último Post: 05-07-2010, 08:13
  3. IPTables - Problema com politica padrão DROP
    Por NightMareCBA no fórum Servidores de Rede
    Respostas: 2
    Último Post: 25-03-2009, 09:34
  4. Um script com politica INPUT DROP e squid
    Por alimasilva no fórum Servidores de Rede
    Respostas: 1
    Último Post: 18-08-2005, 10:16
  5. politica INPUT DROP, server nao navega
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 28-07-2005, 09:11

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L