FIREWALL

[benematos]

Pessoal

Instalei o RH9 e o security level em médio, ativei as opções de www,e-mail e ftp, e o que acontece é o seguinte, enquanto o firewall ta ativado, o dns nao consegue conexão com o servidor, então tenho q desativar o firewall pro dns funcionar.


Sei que o DNS funciona na porta 53, mas nao tenho a minima idéia de como fazer pra liberar essa porta, alguem pode me dizer, e onde encontro o script do firewall que o linux cria?


Grato
Bene

[demiurgo]

kra naum sei onde fica esse arquivo, pq naum to usando o rh, mas vc pode fazer o seguinte:

iptables-save > rc.firewall
suas regras atuais serao gravadas nesse arquivo rc.firewall

edite este arquivo e coloque no final dele a regra q libera pra vc o dns

iptables -A FORWARD -p udp --dport 53 -j ACCEPT

d permissao d execucao a esse arquivo

chmod +x rc.firewall

coloque este arquivo no seu rc.firewall e desative o servico iptables no seu ntsysv

aff, soh isso

[]'s

[benematos]

Muito obrigado mais uma vez demiurgo,

Realmente as regras apareceram, mas...... nao consegui entender muito bem, pois dei permissão de execução ao arquivo e quando o executo, existem vários comandos inválido, acho que ele deve usar algum outro tipo de script pra rodar esse.

Mas o que realmente to interessado é no seguinte:

Na minha rede tenho um roteador cisco 1700 fazendo nat (ip masquerade) para todos os ip´s da minha rede, então minha rede ja esta protegida por esse firewall a nivel de roteador, agora meu problema maior é que, nessa minha faixa de ip válido, utilizo 2 no meu servidor, (quando chega solicitação para 200.XXX.XXX.XX1 ele transforma para 10.1.20.1 e quando chega para 200.xxx.xxx.xx2 ele transforma para 10.1.20.2) em todas as portas, não existe regra de barramento, e constantemente tenho tendo problemas pois nao tenho nenhuma regra no meu iptables, o que eu gostaria de fazer era que ele filtrasse todas as entradas, negando todas as portas e liberando apenas as portas 80, 21, 25, 53, 110 e 5000, as demais solicitações nao serem respondidas.

Imagino que com isso, minha segurançã aumente um pouco, mas nao sei como implementar isso, seria assim?

iptables -P INPUT DROP
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 80 -j ACCEPT
iptables -A INPUT -p udp --dport 110 -j ACCEPT
iptables -A INPUT -p udp --dport 25 -j ACCEPT
iptables -A INPUT -p udp --dport 21 -j ACCEPT

isso ta certo, irá funcionar?

e como iniacilar isso? basta criar um arquivo executavel e colocar pra inicializa no rc.local?


Grato
Bene

[demiurgo]

tah certo sim

pra iniciar automaticamente d pemissao d execucao e coloque no seu /etc/rc.local

tente colocar o caminho absoluto do comando tipow

/sbin/iptables ao inves d soh iptables

[]'s

[benematos]

Muito Grato Demiurgo

muito obrigado mesmo

[]´s

Bene

[benematos]

Caro demiurgo,


crie os arquivos da maneira dita a pouco, bloquear ele bloqueia, mas nao libera a porta 80 depois

realizei os testes apenas liberando a porta 80 e tentando acessa-la pelo browser, ja que o apache esta instalado

o arquivo esta da seguinte maneira

/usr/sbin/iptables -P INPUT DROP
/usr/sbin/iptables -A INPUT -p udp --dport 80 -j ACCEPT

o que será que pode estar acontecendo?

[demiurgo]

ao inves d colocar na chain INPUT, coloque no FORWARD

se for o caso coloque nas tres chains, pra teste eh claro

no INPUT, no OUTPUT e no FORWARD

[]'s

[DARK SHARK]

Vc ta tentando conectar-se a porta 80 desta máquina ou a porta 80 da internet?

Porque se for a da internet vc deve trocar a opção -d por -s.

[DARK SHARK]

Desculpe as opções que tem que trocar são: --dport por --sport.

[benematos]

ai Dark Shark, o négócio é a internet acessar a pagina desse servidor, alem de página, dns, smtp, pop3, ftp.

[]´s Bene