Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Ola, estou fazendo uns estudos de firewall e estou empancado na seguinte situacao.

    Setei DROP para todas as chains como padrao.

    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp --sport 80 -j ACCEPT

    #FIM
    meu firewall é essa coisa simples, minha ideia é fazer pelomenos a maquina firewall acessar a web livremente entretanto ela não esta acessando nada até que eu sete as chains como ACCEPT. O que tem de errado nele?

  2. cara eu estou fazendo a mesma coisa e eu consegui fazer segue abaixo

    #! /bin/bash

    echo 1 > /proc/sys/net/ipv4/ip_forward

    iptables -t filter -P INPUT DROP
    iptables -t filter -P OUTPUT DROP
    iptables -t filter -P FORWARD DROP

    iptables -t filter -A INPUT -p ALL -i lo -j ACCEPT
    iptables -t filter -A OUTPUT -p ALL -o lo -j ACCEPT
    iptables -t filter -A INPUT -p ALL -s 0/0 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t filter -A OUTPUT -p ALL -s 192.168.0.0/24 -d 0/0 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
    iptables -t filter -A FORWARD -p ALL -s 192.168.0.0/24 -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t filter -A FORWARD -p ALL -s 0/0 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t filter -A FORWARD -p tcp -s 192.168.0.0/24 -d 0/0 -m multiport --dports 80,53 -j ACCEPT
    iptables -t filter -A FORWARD -p udp -s 192.168.0.0/24 -d 0/0 -m multiport --dports 80,53 -j ACCEPT
    iptables -t nat -A POSTROUTING -p ALL -o ppp0 -s 192.168.0.0/24 -d 0/0 -j MASQUERADE
    iptables -t filter -A INPUT -p TCP -s 0/0 -d 192.168.0.1 --destination-port 22 -j ACCEPT
    iptables -t filter -A OUTPUT -p TCP -d 0/0 -s 192.168.0.1 --source-port 22 -j ACCEPT

    agora gostaria de saber do pessoal se em vez de eu usar a chain FORWARD eu posso usar a OUTPUT e como ficaria a regra sendo que as regras que liberam a 80 e 53 eu troquei de FORWARD por OUTPUT e não funciono
    ou tem que ser FORWARD mesmo
    obrigado



  3. Ola Peregrino, na verdade essas duas regras:

    iptables -t filter -A INPUT -p ALL -s 0/0 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t filter -A OUTPUT -p ALL -s 192.168.0.0/24 -d 0/0 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

    Esta contradizendo quando vc impoe a politica padrao DROP para INPUT/OUTPUT, pq com essas linhas vc esta liberando tudo para qualquer ip da rede 192.168.0.0/24 e em qualquer porta.

    Quando voce quiser que todos as regras entrem em vigor em todos os protocolos nao precisa dar -p ALL, pelo simples fato de vc omitir o "-p" ele entendera que vc deseja aplicar aquilo a todos os protocolos.

    Citação Postado originalmente por peregrino Ver Post
    cara eu estou fazendo a mesma coisa e eu consegui fazer segue abaixo

    #! /bin/bash

    echo 1 > /proc/sys/net/ipv4/ip_forward

    iptables -t filter -P INPUT DROP
    iptables -t filter -P OUTPUT DROP
    iptables -t filter -P FORWARD DROP

    iptables -t filter -A INPUT -p ALL -i lo -j ACCEPT
    iptables -t filter -A OUTPUT -p ALL -o lo -j ACCEPT
    iptables -t filter -A INPUT -p ALL -s 0/0 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t filter -A OUTPUT -p ALL -s 192.168.0.0/24 -d 0/0 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
    iptables -t filter -A FORWARD -p ALL -s 192.168.0.0/24 -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t filter -A FORWARD -p ALL -s 0/0 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t filter -A FORWARD -p tcp -s 192.168.0.0/24 -d 0/0 -m multiport --dports 80,53 -j ACCEPT
    iptables -t filter -A FORWARD -p udp -s 192.168.0.0/24 -d 0/0 -m multiport --dports 80,53 -j ACCEPT
    iptables -t nat -A POSTROUTING -p ALL -o ppp0 -s 192.168.0.0/24 -d 0/0 -j MASQUERADE
    iptables -t filter -A INPUT -p TCP -s 0/0 -d 192.168.0.1 --destination-port 22 -j ACCEPT
    iptables -t filter -A OUTPUT -p TCP -d 0/0 -s 192.168.0.1 --source-port 22 -j ACCEPT

    agora gostaria de saber do pessoal se em vez de eu usar a chain FORWARD eu posso usar a OUTPUT e como ficaria a regra sendo que as regras que liberam a 80 e 53 eu troquei de FORWARD por OUTPUT e não funciono
    ou tem que ser FORWARD mesmo
    obrigado

  4. Kra veja bem q vc dropou tudo até a forward que é responsável por repassar o pacote entre as placas, se a sua ideia for colocar o modem em uma placa e na outra placa a LAN e quiser que todos da LAN acessem a net ai vc tem q libera o forward..

    Outra coisa que eu acho que vc deve estar tendo dificuldades é em entender a funcionalidade das tabelas, são o seguinte:
    INPUT: Manipula pacotes que entram no servidor, ou seja, se vc quer manipular um pacote que vaí entrar no servidor (que são quase todos).
    OUTPUT: Manipula pacotes que saem do servidor, ou seja, pacotes gerados pelo servidor e que ele envia na rede.
    FORWARD: Manipula pacotes que irão ser repassados de uma placa a outra no servidor, ou seja, o pacote entra na eth1 e sai pela eth0, por exemplo. Para usar esta tabela é necessário mais de uma placa de rede no server.

    Tente qd for liberar a porta 80 o seguinte:
    iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
    iptables -A OUTPUT -i eth0 -p tcp --dport 80 -j ACCEPT

    Depois da uma olhadinha no guia foca pra vc entender melhor o funcionamento das tabelas e chains do iptables:
    Guia Foca GNU/Linux - Firewall iptables



  5. Citação Postado originalmente por jvictorfc Ver Post
    Ola Peregrino, na verdade essas duas regras:

    iptables -t filter -A INPUT -p ALL -s 0/0 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t filter -A OUTPUT -p ALL -s 192.168.0.0/24 -d 0/0 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

    Esta contradizendo quando vc impoe a politica padrao DROP para INPUT/OUTPUT, pq com essas linhas vc esta liberando tudo para qualquer ip da rede 192.168.0.0/24 e em qualquer porta.

    Quando voce quiser que todos as regras entrem em vigor em todos os protocolos nao precisa dar -p ALL, pelo simples fato de vc omitir o "-p" ele entendera que vc deseja aplicar aquilo a todos os protocolos.
    mas aqui eu so estou liberando pacotes ESTABLISHED,RELATED,NEW e as portas continuam fechadas ou estou errado agora o -p ALL eu coloco mais para saber o que eu estou fazendo por motivos de estudo






Tópicos Similares

  1. Respostas: 19
    Último Post: 17-07-2016, 12:51
  2. Proxy Transparente nao libera nada
    Por mastellaro no fórum Servidores de Rede
    Respostas: 2
    Último Post: 10-02-2006, 18:20
  3. msn não conecta.. nem com reza
    Por no fórum Servidores de Rede
    Respostas: 7
    Último Post: 02-06-2005, 12:07
  4. Respostas: 0
    Último Post: 16-07-2003, 16:01
  5. IPTABLES FOWARD PADRAO DROP, NAO LER OS ACCEPTS
    Por no fórum Servidores de Rede
    Respostas: 16
    Último Post: 28-05-2003, 13:35

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L