Iptables com politica INPUT Drop (yum não fuinciona mais)

**mastellaro** · 25-10-2014, 11:05

Bom dia pessoal,

montei meu firewall com politica padrão DROP para INPUT e FORWARD. Aparentemente estava tudo normal até que notei que no proprio servidor ao tentar instalar algum programa pelo YUM, ele dava timeout em todos os repositórios.
mudei a politica de INPUT para ACCEPT aí funcionou corretamente.
Alguem sabe o que pode ser?

ERRO:
Plugins carregados: fastestmirror, langpacks
http://repo.ajenti.org/ng/centos/7/x...ta/repomd.xml: [Errno 12] Timeout on http://repo.ajenti.org/ng/centos/7/x...ta/repomd.xml: (28, 'Resolving timed out after 30382 milliseconds')

Segue parte do meu firewall abaixo:
#LIMPANDO AS CAMADAS
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -F -t mangle
iptables -X -t mangle

#POLITICA DO FIREWALL
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#HABILITANDO ENCAMINHAMENTO DE PACOTES IPV4
echo "1" > /proc/sys/net/ipv4/ip_forward

#LEVANTANDO OS MODULOS IPTABLES
modprobe iptable_nat
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_REJECT
modprobe ipt_MASQUERADE

#COMPARTILHANDO A INTERNET
iptables -t nat -A POSTROUTING -o enp5s0 -j MASQUERADE

#LIBERACAO DE PORTAS INPUT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT #Porta FTP - (Aberta por causa da SEFAZ)
iptables -A INPUT -p tcp --dport 53 -j ACCEPT #Porta DNS
iptables -A INPUT -p udp --dport 53 -j ACCEPT #Porta DNS
iptables -A INPUT -p tcp --dport 67 -j ACCEPT #Porta DHCP
iptables -A INPUT -p udp --dport 67 -j ACCEPT #Porta DHCP
iptables -A INPUT -p tcp --dport 68 -j ACCEPT #Porta DHCP
iptables -A INPUT -p udp --dport 68 -j ACCEPT #Porta DHCP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #Porta HTTP
iptables -A INPUT -p udp --dport 80 -j ACCEPT #Porta HTTP
iptables -A INPUT -p tcp --dport 443 -j ACCEPT #Porta HTTPS
iptables -A INPUT -p udp --dport 443 -j ACCEPT #Porta HTTPS

**mastellaro** · 25-10-2014, 11:32

Postado originalmente por Arthur Bernardes

Você abriu para a rede local? Também poderia abrir para a loopback.

Código :

iptables -A INPUT -i eth0 -j ACCEPT

Seus clientes estão navegando na internet?

Os clientes estão navegando normalmente.

Uma duvida, essa regra abaixo não vai em conflito com minha politica padrão de DROP para INPUT ?

Código :

iptables -A INPUT -i eth0 -j ACCEPT

acabei de adicionar essa regra abaixo mas mesmo assim continuo com o problema.

Código :

 iptables -A INPUT -i lo -j ACCEPT

**mastellaro** · 25-10-2014, 11:52

Positivo, é isso aí.

Abaixo segue o Firewall completo, após inserir as regras que voce citou:

Código :

# enp4s0 = REDE LOCAL
# enp5s0 = INTERNET
 
 
#LIMPANDO AS CAMADAS
 iptables -F INPUT
 iptables -F FORWARD
 iptables -F OUTPUT
 iptables -t nat -F
 iptables -F -t mangle
 iptables -X -t mangle
 
 
#POLITICA DO FIREWALL
 iptables -P INPUT DROP
 iptables -P FORWARD DROP
 iptables -P OUTPUT ACCEPT
 
 
#HABILITANDO ENCAMINHAMENTO DE PACOTES IPV4
 echo "1" > /proc/sys/net/ipv4/ip_forward
 
 
#LEVANTANDO OS MODULOS IPTABLES
 modprobe iptable_nat
 modprobe ip_tables
 modprobe ip_conntrack
 modprobe ip_conntrack_ftp
 modprobe ip_nat_ftp
 modprobe ipt_REJECT
 modprobe ipt_MASQUERADE
 
 
#COMPARTILHANDO A INTERNET
 iptables -t nat -A POSTROUTING -o enp5s0 -j MASQUERADE
 
 
#ILIMITANDO O TRAFEGO LOOPBACK
 iptables -A INPUT -i lo -j ACCEPT
 iptables -A OUTPUT -o lo -j ACCEPT
 
 
 #LIBERACAO DE PORTAS INPUT
 iptables -A INPUT -i enp4s0 -j ACCEPT
 iptables -A INPUT -p tcp --dport 21 -j ACCEPT       #Porta FTP - (Aberta por causa da SEFAZ)
 iptables -A INPUT -p tcp --dport 53 -j ACCEPT       #Porta DNS
 iptables -A INPUT -p udp --dport 53 -j ACCEPT       #Porta DNS
 iptables -A INPUT -p tcp --dport 67 -j ACCEPT       #Porta DHCP
 iptables -A INPUT -p udp --dport 67 -j ACCEPT       #Porta DHCP
 iptables -A INPUT -p tcp --dport 68 -j ACCEPT       #Porta DHCP
 iptables -A INPUT -p udp --dport 68 -j ACCEPT       #Porta DHCP
 iptables -A INPUT -p tcp --dport 80 -j ACCEPT       #Porta HTTP
 iptables -A INPUT -p udp --dport 80 -j ACCEPT       #Porta HTTP
 iptables -A INPUT -p tcp --dport 110 -j ACCEPT      #Porta YUM
 iptables -A INPUT -p tcp --dport 443 -j ACCEPT      #Porta HTTPS
 iptables -A INPUT -p udp --dport 443 -j ACCEPT      #Porta HTTPS
 
 
#LIBERACAO DE PORTAS FORWARD
 iptables -A FORWARD -p tcp --dport 21 -j ACCEPT       #Porta FTP - (Aberta por causa da SEFAZ)
 iptables -A FORWARD -p tcp --dport 53 -j ACCEPT       #Porta DNS
 iptables -A FORWARD -p udp --dport 53 -j ACCEPT       #Porta DNS
 iptables -A FORWARD -p tcp --dport 67 -j ACCEPT       #Porta DHCP
 iptables -A FORWARD -p udp --dport 67 -j ACCEPT       #Porta DHCP
 iptables -A FORWARD -p tcp --dport 68 -j ACCEPT       #Porta DHCP
 iptables -A FORWARD -p udp --dport 68 -j ACCEPT       #Porta DHCP
 iptables -A FORWARD -p tcp --dport 80 -j ACCEPT       #Porta HTTP
 iptables -A FORWARD -p udp --dport 80 -j ACCEPT       #Porta HTTP
 iptables -A FORWARD -p tcp --dport 110 -j ACCEPT      #Porta POP3
 iptables -A FORWARD -p tcp --dport 443 -j ACCEPT      #Porta HTTPS
 iptables -A FORWARD -p udp --dport 443 -j ACCEPT      #Porta HTTPS
 iptables -A FORWARD -p tcp --dport 587 -j ACCEPT      #Porta SMTP

**mastellaro** · 25-10-2014, 15:04

Obrigado pelas dicas, farei a alteração.
independente disso, o meu problema está no INPUT, pois quando coloco ele como -P ACCEPT, o YUM volta a funcionar.
Como vc pôde ver, liberei INPUT para a rede local, mas mesmo assim continuo com problemas.
Alguma outra sugestão?

**mastellaro** · 25-10-2014, 15:33

Vou fazer o teste e volto a responder com o resultado.
Mas agora to achando que pode ser o estado do meu firewall, ele está como stateless ao invés de statefull

**FMVC10** · 26-10-2014, 12:17

Tambem tenho essa duvida. Nao sei se esta e a forma mais adequada ou ate mesmo correta, mas comigo sempre funciona assim:

Código :

 
# (no inicio do arquivo)
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# isso aceita as conexoes de input com o status "established", ou seja, quando ja foram enviados pacotes nas duas direcoes
 
# [SUAS REGRAS DE LIBERACAO AQUI...]
 
# (no fim do script)
iptables -P INPUT DROP

**mastellaro** · 27-10-2014, 09:40

Postado originalmente por FMVC10

Tambem tenho essa duvida. Nao sei se esta e a forma mais adequada ou ate mesmo correta, mas comigo sempre funciona assim:

Código :

 
# (no inicio do arquivo)
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# isso aceita as conexoes de input com o status "established", ou seja, quando ja foram enviados pacotes nas duas direcoes
 
# [SUAS REGRAS DE LIBERACAO AQUI...]
 
# (no fim do script)
iptables -P INPUT DROP

Bom dia e obrigado pela resposta.

a solução era o estado do meu firewall mesmo. Após inserir a cadeia de INPUT como Stateful, mesmo com politica DROP na cadeia INPUT o Yum funcionou corretamente.

Código :

 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

A respeito do seu exemplo, como o iptables lê as regras de cima para baixo, seu Firewall não tem exceção de regra nenhuma. Primeiro(no inicio) declara-se a politica padrão do Firewall, para depois criar as exceções.

Iptables com politica INPUT Drop (yum não fuinciona mais)

Ferramentas de Tópicos

Iptables com politica INPUT Drop (yum não fuinciona mais)

Re: Iptables com politica INPUT Drop (yum não fuinciona mais)

Re: Iptables com politica INPUT Drop (yum não fuinciona mais)

Re: Iptables com politica INPUT Drop (yum não fuinciona mais)

Re: Iptables com politica INPUT Drop (yum não fuinciona mais)

Re: Iptables com politica INPUT Drop (yum não fuinciona mais)