Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Boa Noite segue abaixo uma simples dúvida.

    iptables -P FORWARD DROP
    iptables -A FORWARD -o eth1 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT


    Dessa forma libero a entrada e saida, com a porta 80 em minha rede, no caso vai funcionar o navegador.

    Perguntas
    1) tem como fazer isso de outra forma ?
    2) Qual a diferença de fazer isso dessa forma, e utilizando o -t filter ?

    Obrigado

  2. #2
    maverick_cba
    Amigo isso funciona em partes, ou melhor, na pratica não funciona não, justamente por que para acessar uma página é necessário que se libere acesso ao serviço de DNS. Dessa forma você só conseguiria acessar por ip.

    Quanto as formas de se fazer isso, existe várias, depende de como está sua rede e da forma que será feito o acesso, ou seja, isso depende do contexto de segurança a ser aplicado.

    Nesse seu exemplo a politica aplicada é Dropar tudo e deixar passar somente acesso http.

    Já com relação a utilizar -t filter, não muda nada. Na verdade a tabela filter é a padrão do iptables, por isso podemos omitir o seu uso e escrever somente iptables -A ........ Funciona normalmente e é idêntico a iptables -t filter -A ...

    OK?

    Abraços,



  3. 1) Obvio, dessa maneira que voce faz soa ate complicado... dessa maneira voce: libera tudo que sai pela eth1, e aceita a porta 80/tcp vindo da eth1, entretanto como padrao bloqueia o resto. No meu caso eu so iria liberar a saida da porta 80 baseado nao somente na interface e sim no ip, claro que isso tudo depende do nivel de seguranca q vc quer implementar e da granularidade desta, e entao relacionaria as conexoes, assim voce enxuga as regras (vide deixar o firewall stateful).
    2) ja foi respondida.

  4. #4
    Muito Obrigado.
    Na verdade é uma simples dúvida, que se tornam confusas sem alguém responder.

    Porque vi muitos scripts com -t filter,e pessoas que copiam isso sem saber o verdadeiro significado.

    Então sobre a eth1. No caso o -o (Origem), é do meu micro para o firewall.

    Posso especificar a porta para origem também ?

    Obrigado



  5. Citação Postado originalmente por Anonymous
    Posso especificar a porta para origem também?
    Claro, para especificar a origem utilize o -s

    Veja mais aqui: http://focalinux.cipsga.org.br/guia/...w-iptables.htm

    :good:






Tópicos Similares

  1. Respostas: 1
    Último Post: 11-07-2016, 08:16
  2. Qual a maneira correta para atualizar o MK?
    Por rogeriodj no fórum Redes
    Respostas: 2
    Último Post: 21-10-2008, 08:00
  3. POLÍTICA DROP
    Por vflaminio no fórum Servidores de Rede
    Respostas: 1
    Último Post: 18-08-2005, 10:22
  4. politica drop mas o msn não conecta.
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 27-07-2005, 08:39
  5. liberar vnc não funciona com a politica drop na FORWARD..
    Por quecosuix no fórum Servidores de Rede
    Respostas: 1
    Último Post: 21-04-2005, 09:43

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L