duvida iptables

NET=`ifconfig ppp0 | grep inet | cut -c 21-34`
iptables -A PREROUTING -t nat -d 127.0.0.1/32 -j DNAT --to 192.168.1.1
iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -j SNAT --to $NET
iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -j MASQUERADE

com esse script a internet funciona blzinha aki, mais tdo aberto eu keria fexa tdo com um DROP .. depois abri soh as portas q irei usar, mais num funciona.. :// se eu dexa ACCEPT e for dropando ateh funciona.. mais eu keria do otro jeito, jah tentei vareas coisas e nda.. alguem pode ajuda ae?

[Futuremax]

É simples amigo....
Para fechar tudo vc coloca as seguintes linhas:

iptables -P INPUT -j DROP
iptables -P OUTPUT -j DROP
iptables -P FORWARD -j DROP

Depois libera com as linhas padrão:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

por exemplo pra liberar a porta 80 e protocolo tcp....

Ok???? <IMG SRC="images/forum/icons/icon_wink.gif">

naum funciona
jah tentei vareas vezes no input.. no forward naum funfa naum

:/

[A-Marcio]

Amigo Estou enfrentando um problema parecido com o seu.

Configurei meu servidor para acessar a internet e funciona normalmente.
depois apliquei as regras descritas abaixo so que teve um problema que ainda nao consegui consertar. com o iptables -P FORWARD DROP eu nao consigo utilizar o POP,SMTP,ICQ ja a internet funiona. e com o iptables -P FORWARD ACCEPT tudo funciona.


iptables -P INPUT DROP
#iptables -P FORWARD DROP ====> com esta regra nao funcionou smtp,pop,icq
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
#
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
#
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#
#aqui voce vai liberar as portas dos serviços que voce utiliza no seu servidor.
exemplo internet porta 80
#
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
#
# SMTP porta 25
#
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 25 -j ACCEPT



Com este script acima voce bloqueia todo a entrada no seu servidor e libera as portas que voce acha necessario. Na minha opiniao o FORWARD que e utilizado para troca de serviços entre internet e rede interna teria que estar em DROP so que realizei alguns teste e nao funcionau e agora estou sem tempo para continuar os testar.

O script do jeito que se encontra bloqueia todo o acesso a maquina tanto interno quanto externe ex ping,ftp,telnet.

Espero que com isto eu tenha ajudado.
Caso voce conseguir fazer o FORWARD DROP funcionar me informa por favor

PESSO POR FAVOR PARA O PESSOAL DO FORUM QUE PUDER COMENTAR O SCRIPT E INDICAR ONDE SE ENCONTRA O ERRO.

A Marcio

[Futuremax]

Vcs estão liberando apenas a entrada, de uma olhada nesse script e veja só:

#aki fecho as portas mexendo com a política
iptables -P INPUT -j DROP
iptables -P FORWARD -j DROP
iptables -P OUTPUT -j DROP

#Aki libero, uma a uma
#HTTP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
#SMTP
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
#POP3
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT
#Oracle
iptables -A INPUT -p tcp --dport 1521 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1521 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1521 -j ACCEPT


Entenderam?? Devem liberar tudo que foi colocado na política DROP, seja FORWARD ou INPUT ou até OUTPUT.....

Blz??? <IMG SRC="images/forum/icons/icon_smile.gif">

Cara depois de todo este tempo eu consegui testar.

Era isto mesmo Valeu Pela ajuda.

foi criar uma regra permitindo o FORWARD e foi numa boa.

A Marcio