+ Responder ao Tópico



  1. #1
    Visitante

    Padrão agora fiquei confuso...

    Olhei o tópico abaixo, todaa vez que fecha a politica da rede FORWARD -P. Devo colocar iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT ?

  2. #2
    CRASH2k
    Visitante

    Padrão Re: agora fiquei confuso...

    Sim e não... o importante é que vc entenda muito bem o fluxo da coisa, senão terá muitos problemas pela frente. Aconselho que você procure por docuementos mais detalhados na net, mas vou tentar dar um empurrão iniciar.

    1. Toda vez que um pacote é recebido pelo fw, a primeira chain verificada é a PREROUTING. É com esta chain que vc faz os redirecionamentos, seja de porta ou host. Dá pra fazer filtros tb, mas só faça se entender muito bem esse fluxo.

    2. Depois de receber o pacote, o fw analisa o destino de conexão. Se o destino for ele mesmo, a próxima chain verificada será a INPUT. Agora, se o pacote não é destinado ao firewall é porque precisa ser roteado a alguém. E toda vez que vc precisar rotear alguma coisa, vc usa a chain FORWARD.

    3. Se o seu firewall recebeu um pacote destinado a ele ou uma nova conexão está sendo iniciada por ele (como origem), a próxima chain verificada será a OUTPUT. Em caso de roteamento, a OUTPUT não é processada nunca. Agora se vc tem o squid nessa máquina, o squid será causará um OUTPUT... sacou!?

    4. Antes do pacote ser encaminhado ao destinatário a última chain analisada será a POSTROUTING. Nela você pode criar regras para NAT de saída (SNAT ou MASQUERADE) ou aplicar filtros. Cai na mesma coisa que te disse no PREROUTING... tem que entender bem esse fluxo para querer fazer filtros nelas.

    Agora pensa o seguinte...
    - Tem roteamento? Então vc usa FORWARD!

    - Se tem roteamento, existem dois momentos...
    cliente -> servidor_net
    servidor_net -> cliente

    A primeira permissão é no sentido cliente -> internet. Você diz quais portas de destino serão abertas (dport). O negócio é que o servidor responderá a essa sua requisição. Se o FORWARD tem politica padrão DROP, vc precisa tratar o retorno.

    Exemplo:

    cliente (source) -> servidor_net (destination)
    <ip_source>:<sport> -> <ip_dest>:<dport>

    servidor_net (source) -> cliente (destination)
    <ip_source>:<sport> -> <ip_dest>:<dport>

    Repare que na resposta, o servidor passa a ser encarado como origem, por isto vc pode usar regras com sport.

    Bom, preciso ir... é por ai... recomendo que vc procure por fontas mais específicas.

    Citação Postado originalmente por Anonymous
    Olhei o tópico abaixo, todaa vez que fecha a politica da rede FORWARD -P. Devo colocar iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT ?

  3. #3
    Visitante

    Padrão agora fiquei confuso...

    é que tem vezes que funciona, outras nao.


    iptables -F
    iptables -X
    iptables -F -t nat
    iptables -X -t nat


    nao ta limpando a politica FORWARD essas regras acima...
    eu testo reinicio a maquina e n vai mais

  4. #4
    Visitante

    Padrão agora fiquei confuso...

    entendi o que vc quiz dizer.
    iptables -A FORWARD -o eth1 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
    #iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT
    iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE

    desse modo tambem funciona porque a origem da rede interna está liberada.


    Mas só uma curiosidade, depois que abre um site com a porta 53 liberada.
    Se eu zero as regras e n coloco drop nessa porta, as páginas que abriram continuam abrindo normal, mas novas páginas n abrem dai..

    Isso é com o sistema operacional que deve guardar certo ?

    Obrigado