Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    grilo
    Visitante

    Padrão IPTABLES

    tou precisando de abrir as porta de 20000 ate 20019 para minha rede interna comunicar com a externa..
    alguem pode me ajudar?

    eu tentei abrir
    iptables -A INPUT -p tcp --destination-port 20000 -j ACCEPT
    com todas as portas mas nao ta funcionando..

    c puderem me ajudem .......




    obrigado

  2. #2

    Padrão IPTABLES

    iptables -t filter -A INPUT -p tcp -m -tcp --dport 20000:20019 -j ACCEPT

    falow



  3. #3
    Danilo_Montagna
    Visitante

    Padrão IPTABLES

    Nao adianta vc por regra no INPUT..

    o pacote nao é destinado ao firewall..

    a regra tem que ser no FORWARD.. e nao esqueca de fazer NAT dessas portas para a rede interna..

  4. #4
    grilo
    Visitante

    Padrão IPTABLES

    Citação Postado originalmente por Brenno
    iptables -t filter -A INPUT -p tcp -m -tcp --dport 20000:20019 -j ACCEPT

    falow
    tentei essa regra mas deu essa mensagem:

    iptables v1.2.6a: Couldn´t load match ´-tcp´:/lib/iptables/libipt_-tcp.so: cannot open shared object file: No such file or directory

    ty ´iptables -h´or ´iptables --help´ for more information.


    alguma dica?



  5. #5
    Danilo_Montagna
    Visitante

    Padrão IPTABLES

    tire o - do tcp

    e faça essa regra no FORWARD..

  6. #6
    grilo
    Visitante

    Padrão IPTABLES

    Citação Postado originalmente por Danilo_Montagna
    tire o - do tcp

    e faça essa regra no FORWARD..
    certinho... valeu



  7. #7
    Visitante

    Padrão IPTABLES

    eu nao sei daonde esse cara tira o -m tcp...

  8. #8

    Padrão IPTABLES

    ops, esqueci esse - maldito eheheh

    o danilo, isso vai depende do firewall dele, ou seja, pra saida nessa porta ta aceitando, mas quando esse pacote esta voltando o firewall ta barrando, entao essa regra eh valida, entendeu?



  9. #9
    Danilo_Montagna
    Visitante

    Padrão IPTABLES

    Nao Brenno..

    nao precisa de INPUT...

    o pacote foi originado pelo cliente dentro da rede.. (SYN) o retorno de pacote é somente fluxo de dados (ACK)

    nao existe a necessidade de vc liberar nada no INPUT.. nao é a conexao que vem de fora que ira abrir SYN no firewall.. o pacote de volta é apenas fluxo de conversacao ja iniciada pelo cliente dentro da rede..

  10. #10

    Padrão IPTABLES

    me explica uma coisa, os pacotes de saida da minha rede ta tudo liberado output

    mas no input so libero as porta nos pacotes que eu uso, certo? blz

    quando do um ping www.bol.com.br, ele não me retonar nada, mas no resolvi.conf uso dns de um servidor de fora

    quando crio uma regra no firewal so libenrado conecção udp que venha desse dns, e dou ping www.bol.com.br

    ai funciona

    pensando que tudo pra fora udp ta liberado, entao quando tento fazer uma consulta no dns, na volta o pacote eh barrado pelo firewall, e por isso quando crio a regra que falei a cima o dns volta a funcionar, por isso que te perguntei aquilo



  11. #11
    Visitante

    Padrão IPTABLES

    mas vc ta pingando aonde? do proprio firewall ou de uma maquina na rede?

  12. #12
    Danilo_Montagna
    Visitante

    Padrão IPTABLES

    me explica uma coisa, os pacotes de saida da minha rede ta tudo liberado output
    R.: Lembre-se , tudo o que sae da sua rede nao é OUTPUT.. OUTPUT é tudo aquilo que sae do Firewall (originado por ele) o que sae da rede internet ou entra para a rede interna é FORWARD.. e apenas ele..

    mas no input so libero as porta nos pacotes que eu uso, certo? blz
    R.: Se esses pacotes sao destinados ao FIREWALL e mais ninguem.. sim.. libera-se as portas que vc precisa no FIREWALL.. tipo.. liberar um SSH que roda no firewall.. liberar um apache .. que roda no firewall.. mais nada no INPUT é tratado para pacotes que nao sejam destinados ao proprio Firewall..

    quando do um ping www.bol.com.br, ele não me retonar nada, mas no resolv.conf uso dns de um servidor de fora

    quando crio uma regra no firewal so libenrado conecção udp que venha desse dns, e dou ping www.bol.com.br

    ai funciona
    R.: isso tem que ser feito se vc estiver pingando da maquina FIREWALL para o BOL.. no INPUT justamente pelo fato do protocolo ICMP ser tradao diferente pelo firewall.. lembre-se que ICMP usa echo-request e echo-reply e nao pacotes ACK e /ou SYN. icmp nao é orientado a conexao.. como o TCP.. e nao usa flags TCP. Lembre-se.. pacotes ICMP nao sao retransmitidos.. sacou?

    e nao existe a necessidade de vc liberar nada que volta quando um protocolo necessita de retorno pelo firewall. principalmente na chain INPUT.. é so vc tratar isso pelo modulo STATE do iptables.. que ele ja faz isso para vc..

    pensando que tudo pra fora udp ta liberado, entao quando tento fazer uma consulta no dns, na volta o pacote eh barrado pelo firewall, e por isso quando crio a regra que falei a cima o dns volta a funcionar, por isso que te perguntei aquilo
    R.: Querys DNS. sera feita pelo OUTPUT se vc estiver consultando isso pela maquina FIREWALL.. sendo assim.. nao precisa de nada no INPUT... poisquem originou a query foi o seu firewall e nao o servidor de destino que esta tentando lhe consultar na porta UDP 53..

    como eu falei antes.. essa situacao que vc falou ae do INPUT.. é somente necessario para o protocolo ICMP.. mais nada..

    é isso ae.. qualquer duvida é só postar ae Brenno.



  13. #13

    Padrão IPTABLES

    entao vamos supor que da minha maquina firewall tenho fazer ssh com um servidor de fora, sendo q no input ta barrado a porta 22 do ssh, vou conseguir estabelecer uma coneccao com o servidor de fora?

  14. #14
    Danilo_Montagna
    Visitante

    Padrão IPTABLES

    com certeza..



  15. #15
    Danilo_Montagna
    Visitante

    Padrão IPTABLES

    sorry.. duplicou..

  16. #16

    Padrão IPTABLES

    ok, vou testa isso e depois retorno se eh isso mesmo

    mesmo assim, obrigado pelas dicas, deu pra ter uma noção maior sobre os pacotes em relação ao firewall



  17. #17
    Danilo_Montagna
    Visitante

    Padrão IPTABLES

    manda ver...

  18. #18
    Visitante

    Padrão IPTABLES

    R.: Lembre-se , tudo o que sae da sua rede nao é OUTPUT.. OUTPUT é tudo aquilo que sae do Firewall (originado por ele) o que sae da rede internet ou entra para a rede interna é FORWARD.. e apenas ele..

    Depende se vc estiver trabalhando na tabela FILTER sim, mas na tabela NAT nao

    R.: Se esses pacotes sao destinados ao FIREWALL e mais ninguem.. sim.. libera-se as portas que vc precisa no FIREWALL.. tipo.. liberar um SSH que roda no firewall.. liberar um apache .. que roda no firewall.. mais nada no INPUT é tratado para pacotes que nao sejam destinados ao proprio Firewall..

    e nao existe a necessidade de vc liberar nada que volta quando um protocolo necessita de retorno pelo firewall. principalmente na chain INPUT.. é so vc tratar isso pelo modulo STATE do iptables.. que ele ja faz isso para vc..

    Se ele vai pingar do Firewall ele tem que colocar o -m state --state RELATED,ESTABLISHED no INPUT mas se for de uma maquina na rede tem que ser no FORWARD

    R.: Querys DNS. sera feita pelo OUTPUT se vc estiver consultando isso pela maquina FIREWALL.. sendo assim.. nao precisa de nada no INPUT... poisquem originou a query foi o seu firewall e nao o servidor de destino que esta tentando lhe consultar na porta UDP 53..

    Mas se voce nao tiver um -m state no INPUT o pacote nao entra ele dropa pela politica



  19. #19

    Padrão IPTABLES

    vc ta certo, me atrapalhei por causa do RH-Lokkit, mas eh isso ae, vivendo e aprendendo

    danilo, vc ja ouviu fala no RH-Lokkit?

  20. #20

    Padrão IPTABLES

    Mas se voce nao tiver um -m state no INPUT o pacote nao entra ele dropa pela politica

    vc tem certeza doque vc ta faladno ?

    eheheheh