+ Responder ao Tópico



  1. #1

    Thumbs up Duvida com o IPTABLES

    Pessoal, me ajudem a tirar uma duvida, criei um firewall simples permintindo a rede a navegar na net....as regras abaixo estao funcionando normalmente. A duvida é, so funciona se essas duas regras estao ativas.
    iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    se eu comentar essas duas linha acima nada funciona...nem pinga pra fora da rede.
    o que sera que estou fazendo de errado???

    Se alguem puder tambem ajudar a melhorar as regras.

    as regras completas sao essas abaixo:
    #
    #!/bin/sh
    #
    # /etc/rc.d/rc.firewall: Local system initialization script.
    #
    # Put any local setup commands in here:i

    # Linpando Regras
    iptables --flush
    iptables -t nat --flush

    # Liberando Loopback
    iptables -A INPUT -i lo -j ACCEPT

    # Mascaramento
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    # DOI
    iptables -A FORWARD -s 10.0.0.43/32 -j ACCEPT # simone
    iptables -A FORWARD -s 10.0.0.50/32 -j ACCEPT # roberto
    iptables -A FORWARD -s 10.0.0.51/32 -j ACCEPT # eduardo

    # Liberando portas necessarias
    iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 8080 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 21 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 5631 -j ACCEPT
    iptables -A FORWARD -i eth1 -p tcp --dport 5632 -j ACCEPT

    # Librando acesso ao Squid
    iptables -A INPUT -i eth1 -p tcp --dport 3128 -s 10.0.0.0/8 -j ACCEPT
    iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p tcp --dport 80 -j REDIRECT --to-port 3128

    # Portas e NAT para o computador de monitoramento
    iptables -A FORWARD -i eth0 -p tcp --dport 3389 -d 192.168.0.10/32 -j ACCEPT
    iptables -t nat -A PREROUTING -t nat -p tcp -d 10.0.0.100 --dport 3389 -j DNAT --to 192.168.0.10:3389

    #Auteracao para teste (11-jun-2006)
    iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    # Libera porta pra acesso local
    iptables -A INPUT -i eth1 -p tcp --dport 22 -s 10.0.0.0/8 -j ACCEPT
    iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

    # Bloqueia tudo que passa pelo firewall
    iptables -A FORWARD -j DROP
    iptables -A INPUT -j DROP

  2. #2

    Padrão

    não te preucupa, está tudo certo é assim mesmo. meu firewall está do mesmo jeito... abrass



  3. #3

    Padrão

    Jader obrigado pela ajuda,
    é eu mesmo criei tudo...so que nao lembro pq coloquei essas duas linhas, deu branco mesmo..rsrs.. sera que nao esta liberando geral pra FORWARD e INPUT essas duas regras??

  4. #4

    Padrão

    acho que não... mais para garantir é bom vc referenciar a interface desejada...
    ex: -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
    se o seu estiver errado o meu esta tbm hehehehe



  5. #5

    Padrão

    sugiro que vocês estudem um pouco de tcp/ip e linux.. se quiserem um dia trabalhar como adm em linux

    abraços..

  6. #6

    Padrão

    ta errado o que eu disse ?

    se está me fale por favor, pois trabalho em um provedor de internet e nunca tive nenhum servidor invadido...

    Grato..



  7. #7

    Padrão

    Amigo....estudar acho que todos estudam aqui certo??..mas ninguem sabe tudo..todos temos duvidas, ate vc tem duvidas, senao nao estaria participando desse forum, nao julgue as pessoas daqui, responde o que foi perguntado aqui e pronto. Apesar que tenho 10 anos na area de redes tenho duvidas e nao tenho vergonha. Mas se nao sabe a resposta da minha pergunta, tudo bem...eu aguardo que logo logo alguem me ajuda. Abraços as vc .

  8. #8

    Padrão

    eu fiz esse comentário pq pelo o que eu li, parece que você pegou algumas dicas de como montar um firewall na net, e "colou" os comandos no iptables..
    parece também que você não soube identificar o que são os estados RELATED e ESTABLISHED

    "colocar a resposta e ponto" não responde a duvida de ninguém.. senão ela volta em outro momento.. e talvez no próximo você nem tenha acesso à net e o teu chefe esteja ao seu lado de olho no que você faz..

    mas enfim! eu não critiquei ninguém.. só deixei uma dica!

    outra: todo servidor que está diretamente conectado à net, também seria bom que fosse limitado o ping, pelo menos sempre deixo limitado em 1s..

    mas o firewall está correto

    abraços



  9. #9

    Padrão

    - ESTABLISHED : um pacote que pertence a uma conexão existente (isto é, um pacote de resposta).

    - RELATED : um pacote que está relacionado com (mas não faz parte de) uma conexão existente, como um ICMP error, ou (com o módulo FTP inserido),um pacote que estabelecido por uma conexão de dados ftp.

    eu sei o significado dos estados, a minha pergunta nao é sobre o que significa os estado e nem se esta certo as minhas regras....mas deixa pra la amigo....espero a resposta de outros usuarios do forum.

  10. #10

    Padrão

    jader..

    só fiz o comentario pq me pareceu que você também não identificou os estados RELATED e ESTABLISHED..

    assim como esses devem ser liberados, e existe um porque, existem outros que devem ser bloqueados..

    exemplo:
    ACCEPT icmp -- any ppp+ anywhere anywhere limit: avg 2/sec burst 5
    DROP all -- any ppp+ anywhere anywhere state INVALID,NEW,UNTRACKED
    mas enfim! como eu disse não critiquei, só deixei uma dica.. desculpa se eu acabei sendo grosseiro com qualquer um dos dois

    abraços



  11. #11

    Padrão

    perguntei se essas duas regras citadas abixo vao deixar FORWARD e INPUT passar tudo, essa foi a pergunta...se prestar atencao no comentario esta "alteracao para teste", mas nao lembro pra que finalidade tem 1 ano que fiz....mas valeu amigo pela resposta. obrigado

    #Alteracao para teste (11-jun-2006)
    iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

  12. #12

    Padrão

    quando você está com o squid habilitado, ele recebe as páginas dos servidores pela porta 80..

    possivelmente essas requisições estão caindo na regra drop do INPUT quando você tira a regra que permite o RELATED,ESTABLISHED..

    tente liberar o recebimento dessas páginas com -p tcp --sport 80 na interface ligada à net para fazer um teste

    na verdade você não precisa dessas duas regras para o firewall funcionar.. pelo menos eu não uso

    abraços



  13. #13
    Luciana-Martins
    Visitante

    Padrão

    Citação Postado originalmente por _N3o_ Ver Post
    quando você está com o squid habilitado, ele recebe as páginas dos servidores pela porta 80..

    possivelmente essas requisições estão caindo na regra drop do INPUT quando você tira a regra que permite o RELATED,ESTABLISHED..

    tente liberar o recebimento dessas páginas com -p tcp --sport 80 na interface ligada à net para fazer um teste

    na verdade você não precisa dessas duas regras para o firewall funcionar.. pelo menos eu não uso

    abraços

    N30!

    Ainda interessado nos equipamentos?

    Me passa seu MSN!

    Obrigada

  14. #14

    Padrão

    cara... desculpa se tbm pareci grosseiro, mais comcordo que ninguém sabe de tudo senão não estaria participando de foruns... minha experiência não é tão grande pois tenho apenas 19 anos e trabalho a 2 anos com redes... mais essa dica que vc deu de estudar tcp/ip e linux estou seguindo tbm
    ;P abrass



  15. #15

    Padrão

    Bravo,

    Em poucas palavras tentarei lhe explicar. Você tem que ter em mente como que a conexão se estabelece, ou seja, quando um computador vai se conectar a outro, por exemplo, acessar uma pagina, a maquina cliente manda um pacote com estado de "NEW" se a maquina remota acessar ele reponde ao pacote com estado de "ESTABLISHED" (abreviei a coisa para facilitar o entendimento) e a conexão está estabelecida.

    A regra em questão está dizendo que só passarão pacotes com estado "ESTABLISHED" e "RELATED" (que e parecido com o ESTABLISHED, mas não entrarei em detalhes), veja que essa regra exclui o estado "NEW".

    Em geral isso é utilizado de forma que as maquinas da rede internet consiga enviar pacotes com estado de "NEW" para poder acessar as coisas, mas o servidor só deixa retornar os pacotes "ESTABLISHED" porque assume que foi uma conexão iniciado por um cliente da rede interna.

    É isso, acabei me extendendo mais do que pretendia, também não entrei em detalhes pois existe muita coisa nas entrelinhas do processo e está parte vai ficar para você pesquisar e descobrir.

    Espero ter ajudado.

  16. #16

    Padrão

    Essas regras que vc esta com dúvidas dizem respeito ao que chamamos de firewall stateful, e significa liberar conexões bem formadas, ou seja que cumpriram todos os requisitos de aberturade conexão e autenticação, é akele esquema de SYM e ACK do estabelecimento de conexões...

    Estas regras tornam seu firewal mais seguro, estabelecendo conexões apenas com quem realmente quer fazer conexões e não invasores...

    Espero ter ajudado...

    Att

    Tiago



  17. #17

    Padrão

    nao li ao topico todo, mas acho que niguem se atentou para isso.
    voce tb tem que deixar passar a porta 53/udp no FORWARD.

    nao to dizendo que o problema é esse, mas é bom colocar.

    sobre o problema é o seguinte:
    voce deu um DROP la no final, só que nao ta deixando nada entrar, ae nao vai funcionar mesmo.
    para navegar sem a regra de ESTABLISHED,RELATED voce tem que no minimo liberar a entrada da 80 e 53 no INPUT.
    iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
    iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
    Última edição por Patrick; 19-09-2007 às 11:40.

  18. #18

    Padrão

    Citação Postado originalmente por Patrick Ver Post
    nao li ao topico todo, mas acho que niguem se atentou para isso.
    voce tb tem que deixar passar a porta 53/udp no FORWARD.

    nao to dizendo que o problema é esse, mas é bom colocar.

    sobre o problema é o seguinte:
    voce deu um DROP la no final, só que nao ta deixando nada entrar, ae nao vai funcionar mesmo.
    para navegar sem a regra de ESTABLISHED,RELATED voce tem que no minimo liberar a entrada da 80 e 53 no INPUT.
    iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
    iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
    Descordo do que você falou, se ele liberou o ESTABLISHED,RELATED e ele tentar acessar uma pagina da rede interna, quando o servidor http do outro lado responder ele já vai responder como uma conexão do tipo ESTABLISHED e sendo assim vai funcionar normalmente, deixando essas suas regras sem sentido.



  19. #19

    Padrão

    Citação Postado originalmente por rmaximo Ver Post
    Descordo do que você falou, se ele liberou o ESTABLISHED,RELATED e ele tentar acessar uma pagina da rede interna, quando o servidor http do outro lado responder ele já vai responder como uma conexão do tipo ESTABLISHED e sendo assim vai funcionar normalmente, deixando essas suas regras sem sentido.
    com certeza. por isso eu disse que ele tem que usar essas regras se ele NAO usar a regra com ESTABLISHED,RELATED.