regras de iptables?

[daniell]

Aes tem como voces olharem essas regras de iptables ae?

iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
iptables -A FORWARD -p tcp --dport 111 -j DROP
iptables -A FORWARD -p tcp --dport 9099 -j DROP
iptables -A FORWARD -p tcp --dport 9098 -j DROP
iptables -P INPUT DROP

libero apenas a 22 e a 80 o resto quero fechar

os comandos abaixo do cmd da 22 e da 80 é pra barrar o kazaa

valew

[Jim]

A 22 e a 80 não deves fechar... pesquise aqui mesmo no fórum já teve bastante Post assim... bem falamos no icq...

[1c3m4n]

se vc soh quer liberar a 22 e 80 eh mais facil vc fazer assim:

iptables -P FORWARD DROP /muda a politica padrao pra negar TUDO
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT

e mais uma coisa se vc fechar TODO input como vc fez vc num vai conseguir trafegar nda... muda a regra pra input assim:
iptables -P INPUT DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT //permite o trafego de conexoes jah existentes

[daniell]

isso tb trava pra nao responder ping?

ou tem q por o comando?

[Jim]

ops... dei mancada... me confundi com o "os comandos abaixo do cmd da 22 e da 80 é pra barrar o kazaa"

Bem.... Acredito que isso deva funcionar... uma vez que vc está barrando tudo...

[1c3m4n]

trava!
usando
iptables -P INPUT DROP
ele vai travar TUDO, entaum vc eh obrigado a declarar as regras de accept se quiser liberar alguma coisa

[daniell]

ice man, tu nem imaina ehehehehe]


coloquei la o comando e restartei o squid minha conex via putty foi embora na hora.....auheuaehaue

pq coloquei o drop antes de liberar as portas dai ele leu primeiro o drop e dai nem leu as outras.....


to arrumando aqui, =P

[]´z
falow

[1c3m4n]

heheheh qdo vc for modificar regras de iptables remotamente eh bom fazer isso atraves de scripts e naum comandos na mao pq pode acontecer esse tipo de coisa,

PS SEMPRE crie uma regra pra permitir teu acesso antes de criar as outras

[daniell]

iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -P INPUT DROP


nessa ordem funciona?

[1c3m4n]

Naum funfa naum olha soh, ele vai deixar os pacotes sairem, mas e as respostas pra esses pacotes??? ele vai bloquear (iptables -P INPUT DROP)
antes de criar o INPU DROP crie todas as regras de ACCEPT pra input...

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
iptables -P INPUT DROP

a segunda regra permite q vc se conecte no servidor na porta 22...

[daniell]

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
iptables -P INPUT DROP

dessa forma entao entram e saem pacotes ssh, http, e ftp, e todas as outras portas ficam bloqueadas?

[1c3m4n]

exatamente... mas se vc vai liberar ftp libera a porta 20 tb q eh por onde eles trafegam

[daniell]

20 eh pra upload neh?

[1c3m4n]

po faz uma pergunta + facil neh, ae jah numlembro oq eh heheheheheh :lol:

c num me engano eh pra ftp passivo/ativo.... num tenho certeza

[1c3m4n]

root@slax:~# cat /etc/services | grep ftp
ftp-data 20/tcp #File Transfer [Default Data]
ftp-data 20/udp #File Transfer [Default Data]
ftp 21/tcp #File Transfer [Control]
ftp 21/udp #File Transfer [Control]

mas falae as regras funfaram? :?: :?:

[daniell]

ice man, de qualquer forma valew ai, daqui a pouco vou testar aqui =_)

valew
[]´z

[daniell]

ice, eu to mexendo no firewall agora mais eu te falo qq deu

[daniell]

cara eu coloquei elas dentro de /etc/rc.d/init.d/iptables

e restartei o iptables.... deu ok, mas como eu testo ela e talz?

[1c3m4n]

incia o telnet no servidor e tenta acessar a porta dele (Que naum foi liberada neh),
roda um nmap de fora da rede,etc..

[daniell]

ice rodei e funfo dai fui instalar o SNORT, e faltou umas libs dai eu ja tava meio revoltado com RH9.0 cheio de erro, dai jah formatei e vo por o Debian, deixar esse firewall redondinho...