+ Responder ao Tópico



  1. #1
    meraki
    Visitante

    Padrão Uma dúvida no INPUT, ele não esta deixando eu conectar SSH.

    Estou motando um firewall novo, e eu sempre começo com essas regras:

    iptables -P INPUT DROP
    iptables- P FORWARD DROP
    iptables -P OUTPUT DROP

    ou seja, fechar tudo e depois começa a liberar.

    Porém, um coisa esta acontecendo, a regra iptables -P INPUT DROP esta bloqueando o acesso ao SSH na própria rede interna. Eu já fiz o teste e se eu liberar essa regra, o SSH funciona.
    Estou achando estranho, pois o INPUT não seria apenas para o que entra no firewall? Que no meu caso não estou conectando de fora, mas sim pela própria rede interna.
    Eu será que estou enganado?
    Alguem tem uma dica?

  2. #2

    Padrão INPUT

    Olá, deixa o iptables -P OUTPUT ACCEPT ao invés do iptables -P OUTPUT DROP

    e tbm abra a porta 22

    iptables -A INPUT --dport 22 -j ACCEPT

    e posta ai...

    té +++

  3. #3

    Padrão Uma dúvida no INPUT, ele não esta deixando eu conectar SSH.

    Não entendo 100% de iptables mas o INPUT é o que entra de fora para dentro, não interessa se é da sua rede interna ou da internet. É o que pela placa ethx para dentro do servidor.

    Já o OUTPUT é o que sai do seu servidor (quando falo servidor quero dizer seu sistema Linux) para fora (rede interna, internet) pela placa ethX (qualquer uma das placas).

    Então quando você coloca a regra iptables -P INPUT DROP você está bloqueando todo trafego de entrada independente da rede ou da placa.

    Sendo assim você vai ter que liberar o INPUT na porta 22 da sua rede interna.

    Bom é isso que eu entendi até agora. Se estiver errado peço que me corrijam.

  4. #4
    meraki
    Visitante

    Padrão Uma dúvida no INPUT, ele não esta deixando eu conectar SSH.

    Acabo de verificar e na verdade a regra que estava inpedindo era a OUTPUT DROP mesmo e nao a INPUT.
    deixei ACCEPT. Ta funfando.

  5. #5
    meraki
    Visitante

    Padrão Uma dúvida no INPUT, ele não esta deixando eu conectar SSH.

    Citação Postado originalmente por nod3vic3
    Então quando você coloca a regra iptables -P INPUT DROP você está bloqueando todo trafego de entrada independente da rede ou da placa
    Entao na verdade eu preciso deixa a INPUT DROP para evitar qualquer tentativa de fora. Mas isso vai bloquear tudo que vem da rede interna tb? Eu vou precisar liberar as portas da rede interna? Se for isso, tem jeito de dizer para INPUT que ta tudo liberado na rede interna?

  6. #6

    Padrão Uma dúvida no INPUT, ele não esta deixando eu conectar SSH.

    Cara como falei não entendo 100% de iptables, entendo mais de teoria na realidade. Então claro que tem uma forma de liberar tudo que vem da sua rede interna pro servidor.

    Você tem que criar regras de ACCEPT para as requisições que vem da sua interface de rede interna. Só que infelizmente não sei como faz.

  7. #7

    Padrão exemplo

    Faixa de ips da rede interna: 192.168.1.x

    liberar acesso da rede interna ao computador:

    Código :
    iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

    Estou aceitando tudo que vem da rede interna para o servidor, seja tcp ou udp, seja em qualquer porta.

    Mais informações:
    http://focalinux.cipsga.org.br/

    SFTW