+ Responder ao Tópico



  1. #1
    Visitante

    Padrão maneira correta para politica DROP.

    Boa Noite segue abaixo uma simples dúvida.

    iptables -P FORWARD DROP
    iptables -A FORWARD -o eth1 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT


    Dessa forma libero a entrada e saida, com a porta 80 em minha rede, no caso vai funcionar o navegador.

    Perguntas
    1) tem como fazer isso de outra forma ?
    2) Qual a diferença de fazer isso dessa forma, e utilizando o -t filter ?

    Obrigado

  2. #2
    maverick_cba
    Visitante

    Padrão maneira correta para politica DROP.

    Amigo isso funciona em partes, ou melhor, na pratica não funciona não, justamente por que para acessar uma página é necessário que se libere acesso ao serviço de DNS. Dessa forma você só conseguiria acessar por ip.

    Quanto as formas de se fazer isso, existe várias, depende de como está sua rede e da forma que será feito o acesso, ou seja, isso depende do contexto de segurança a ser aplicado.

    Nesse seu exemplo a politica aplicada é Dropar tudo e deixar passar somente acesso http.

    Já com relação a utilizar -t filter, não muda nada. Na verdade a tabela filter é a padrão do iptables, por isso podemos omitir o seu uso e escrever somente iptables -A ........ Funciona normalmente e é idêntico a iptables -t filter -A ...

    OK?

    Abraços,



  3. #3

    Padrão maneira correta para politica DROP.

    1) Obvio, dessa maneira que voce faz soa ate complicado... dessa maneira voce: libera tudo que sai pela eth1, e aceita a porta 80/tcp vindo da eth1, entretanto como padrao bloqueia o resto. No meu caso eu so iria liberar a saida da porta 80 baseado nao somente na interface e sim no ip, claro que isso tudo depende do nivel de seguranca q vc quer implementar e da granularidade desta, e entao relacionaria as conexoes, assim voce enxuga as regras (vide deixar o firewall stateful).
    2) ja foi respondida.

  4. #4
    Visitante

    Padrão maneira correta para politica DROP.

    Muito Obrigado.
    Na verdade é uma simples dúvida, que se tornam confusas sem alguém responder.

    Porque vi muitos scripts com -t filter,e pessoas que copiam isso sem saber o verdadeiro significado.

    Então sobre a eth1. No caso o -o (Origem), é do meu micro para o firewall.

    Posso especificar a porta para origem também ?

    Obrigado



  5. #5

    Padrão maneira correta para politica DROP.

    Citação Postado originalmente por Anonymous
    Posso especificar a porta para origem também?
    Claro, para especificar a origem utilize o -s

    Veja mais aqui: http://focalinux.cipsga.org.br/guia/...w-iptables.htm

    :good:

  6. #6
    valerio
    Visitante

    Padrão maneira correta para politica DROP.

    Meu amigo, -o eth1 "out" não é origem, isso significa que a interface eth1 irá transmitir o datagrama, ou pacote. -i eth1 "in", significa que a interface eth1 recebeu o datagrama ou pacote. Vale lembrar que se sua conexão é xDSL, Cable modem, dial-up, "Velox, Speed, AJATO ou outras", sua placa interna deve ser intitulada de "ppp0" e não de "ethx" ok.



  7. #7
    Visitante

    Padrão maneira correta para politica DROP.

    boiei ?
    Porque uma adsl nao pode ser eth????????????

  8. #8
    maverick_cba
    Visitante

    Padrão maneira correta para politica DROP.

    Citação Postado originalmente por valerio
    Meu amigo, -o eth1 "out" não é origem, isso significa que a interface eth1 irá transmitir o datagrama, ou pacote. -i eth1 "in", significa que a interface eth1 recebeu o datagrama ou pacote. Vale lembrar que se sua conexão é xDSL, Cable modem, dial-up, "Velox, Speed, AJATO ou outras", sua placa interna deve ser intitulada de "ppp0" e não de "ethx" ok.
    Acho que o amigo falow algo errado.

    No linux as interfaces que utilizam conexão discada são identificadas por pppx enquanto que modems adsl que utilizam conexão via placa ethernet são chamadas identificadas por ethx.

    Entendes?



  9. #9
    Visitante

    Padrão maneira correta para politica DROP.

    hehe, ah ta...
    Sim quando disca (Briedge) para o modem, dai utilizo pp...
    Mas como o modem é roteador eu utilizo eth sim...


    Provavelmente ele digitou errado
    valeu :good: