Duvida com o IPTABLES

[Bravo]

Pessoal, me ajudem a tirar uma duvida, criei um firewall simples permintindo a rede a navegar na net....as regras abaixo estao funcionando normalmente. A duvida é, so funciona se essas duas regras estao ativas.
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

se eu comentar essas duas linha acima nada funciona...nem pinga pra fora da rede.
o que sera que estou fazendo de errado???

Se alguem puder tambem ajudar a melhorar as regras.

as regras completas sao essas abaixo:
#
#!/bin/sh
#
# /etc/rc.d/rc.firewall: Local system initialization script.
#
# Put any local setup commands in here:i

# Linpando Regras
iptables --flush
iptables -t nat --flush

# Liberando Loopback
iptables -A INPUT -i lo -j ACCEPT

# Mascaramento
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# DOI
iptables -A FORWARD -s 10.0.0.43/32 -j ACCEPT # simone
iptables -A FORWARD -s 10.0.0.50/32 -j ACCEPT # roberto
iptables -A FORWARD -s 10.0.0.51/32 -j ACCEPT # eduardo

# Liberando portas necessarias
iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 5631 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 5632 -j ACCEPT

# Librando acesso ao Squid
iptables -A INPUT -i eth1 -p tcp --dport 3128 -s 10.0.0.0/8 -j ACCEPT
iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Portas e NAT para o computador de monitoramento
iptables -A FORWARD -i eth0 -p tcp --dport 3389 -d 192.168.0.10/32 -j ACCEPT
iptables -t nat -A PREROUTING -t nat -p tcp -d 10.0.0.100 --dport 3389 -j DNAT --to 192.168.0.10:3389

#Auteracao para teste (11-jun-2006)
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Libera porta pra acesso local
iptables -A INPUT -i eth1 -p tcp --dport 22 -s 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

# Bloqueia tudo que passa pelo firewall
iptables -A FORWARD -j DROP
iptables -A INPUT -j DROP

[jader]

não te preucupa, está tudo certo é assim mesmo. meu firewall está do mesmo jeito... abrass

[Bravo]

Jader obrigado pela ajuda,
é eu mesmo criei tudo...so que nao lembro pq coloquei essas duas linhas, deu branco mesmo..rsrs.. sera que nao esta liberando geral pra FORWARD e INPUT essas duas regras??

[jader]

acho que não... mais para garantir é bom vc referenciar a interface desejada...
ex: -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
se o seu estiver errado o meu esta tbm hehehehe

[_N3o_]

sugiro que vocês estudem um pouco de tcp/ip e linux.. se quiserem um dia trabalhar como adm em linux

abraços..

[jader]

ta errado o que eu disse ?

se está me fale por favor, pois trabalho em um provedor de internet e nunca tive nenhum servidor invadido...

Grato..

[Bravo]

Amigo....estudar acho que todos estudam aqui certo??..mas ninguem sabe tudo..todos temos duvidas, ate vc tem duvidas, senao nao estaria participando desse forum, nao julgue as pessoas daqui, responde o que foi perguntado aqui e pronto. Apesar que tenho 10 anos na area de redes tenho duvidas e nao tenho vergonha. Mas se nao sabe a resposta da minha pergunta, tudo bem...eu aguardo que logo logo alguem me ajuda. Abraços as vc .

[_N3o_]

eu fiz esse comentário pq pelo o que eu li, parece que você pegou algumas dicas de como montar um firewall na net, e "colou" os comandos no iptables..
parece também que você não soube identificar o que são os estados RELATED e ESTABLISHED

"colocar a resposta e ponto" não responde a duvida de ninguém.. senão ela volta em outro momento.. e talvez no próximo você nem tenha acesso à net e o teu chefe esteja ao seu lado de olho no que você faz..

mas enfim! eu não critiquei ninguém.. só deixei uma dica!

outra: todo servidor que está diretamente conectado à net, também seria bom que fosse limitado o ping, pelo menos sempre deixo limitado em 1s..

mas o firewall está correto

abraços

[Bravo]

- ESTABLISHED : um pacote que pertence a uma conexão existente (isto é, um pacote de resposta).

- RELATED : um pacote que está relacionado com (mas não faz parte de) uma conexão existente, como um ICMP error, ou (com o módulo FTP inserido),um pacote que estabelecido por uma conexão de dados ftp.

eu sei o significado dos estados, a minha pergunta nao é sobre o que significa os estado e nem se esta certo as minhas regras....mas deixa pra la amigo....espero a resposta de outros usuarios do forum.

[_N3o_]

jader..

só fiz o comentario pq me pareceu que você também não identificou os estados RELATED e ESTABLISHED..

assim como esses devem ser liberados, e existe um porque, existem outros que devem ser bloqueados..

exemplo:

ACCEPT icmp -- any ppp+ anywhere anywhere limit: avg 2/sec burst 5
DROP all -- any ppp+ anywhere anywhere state INVALID,NEW,UNTRACKED

mas enfim! como eu disse não critiquei, só deixei uma dica.. desculpa se eu acabei sendo grosseiro com qualquer um dos dois

abraços

[Bravo]

perguntei se essas duas regras citadas abixo vao deixar FORWARD e INPUT passar tudo, essa foi a pergunta...se prestar atencao no comentario esta "alteracao para teste", mas nao lembro pra que finalidade tem 1 ano que fiz....mas valeu amigo pela resposta. obrigado

#Alteracao para teste (11-jun-2006)
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

[_N3o_]

quando você está com o squid habilitado, ele recebe as páginas dos servidores pela porta 80..

possivelmente essas requisições estão caindo na regra drop do INPUT quando você tira a regra que permite o RELATED,ESTABLISHED..

tente liberar o recebimento dessas páginas com -p tcp --sport 80 na interface ligada à net para fazer um teste

na verdade você não precisa dessas duas regras para o firewall funcionar.. pelo menos eu não uso

abraços

[Luciana-Martins]

quando você está com o squid habilitado, ele recebe as páginas dos servidores pela porta 80..

possivelmente essas requisições estão caindo na regra drop do INPUT quando você tira a regra que permite o RELATED,ESTABLISHED..

tente liberar o recebimento dessas páginas com -p tcp --sport 80 na interface ligada à net para fazer um teste

na verdade você não precisa dessas duas regras para o firewall funcionar.. pelo menos eu não uso

abraços

N30!

Ainda interessado nos equipamentos?

Me passa seu MSN!

Obrigada

[jader]

cara... desculpa se tbm pareci grosseiro, mais comcordo que ninguém sabe de tudo senão não estaria participando de foruns... minha experiência não é tão grande pois tenho apenas 19 anos e trabalho a 2 anos com redes... mais essa dica que vc deu de estudar tcp/ip e linux estou seguindo tbm
;P abrass

[rmaximo]

Bravo,

Em poucas palavras tentarei lhe explicar. Você tem que ter em mente como que a conexão se estabelece, ou seja, quando um computador vai se conectar a outro, por exemplo, acessar uma pagina, a maquina cliente manda um pacote com estado de "NEW" se a maquina remota acessar ele reponde ao pacote com estado de "ESTABLISHED" (abreviei a coisa para facilitar o entendimento) e a conexão está estabelecida.

A regra em questão está dizendo que só passarão pacotes com estado "ESTABLISHED" e "RELATED" (que e parecido com o ESTABLISHED, mas não entrarei em detalhes), veja que essa regra exclui o estado "NEW".

Em geral isso é utilizado de forma que as maquinas da rede internet consiga enviar pacotes com estado de "NEW" para poder acessar as coisas, mas o servidor só deixa retornar os pacotes "ESTABLISHED" porque assume que foi uma conexão iniciado por um cliente da rede interna.

É isso, acabei me extendendo mais do que pretendia, também não entrei em detalhes pois existe muita coisa nas entrelinhas do processo e está parte vai ficar para você pesquisar e descobrir.

Espero ter ajudado.

[Lynx]

Essas regras que vc esta com dúvidas dizem respeito ao que chamamos de firewall stateful, e significa liberar conexões bem formadas, ou seja que cumpriram todos os requisitos de aberturade conexão e autenticação, é akele esquema de SYM e ACK do estabelecimento de conexões...

Estas regras tornam seu firewal mais seguro, estabelecendo conexões apenas com quem realmente quer fazer conexões e não invasores...

Espero ter ajudado...

Att

Tiago

[Patrick]

nao li ao topico todo, mas acho que niguem se atentou para isso.
voce tb tem que deixar passar a porta 53/udp no FORWARD.

nao to dizendo que o problema é esse, mas é bom colocar.

sobre o problema é o seguinte:
voce deu um DROP la no final, só que nao ta deixando nada entrar, ae nao vai funcionar mesmo.
para navegar sem a regra de ESTABLISHED,RELATED voce tem que no minimo liberar a entrada da 80 e 53 no INPUT.
iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT

[rmaximo]

nao li ao topico todo, mas acho que niguem se atentou para isso.
voce tb tem que deixar passar a porta 53/udp no FORWARD.

nao to dizendo que o problema é esse, mas é bom colocar.

sobre o problema é o seguinte:
voce deu um DROP la no final, só que nao ta deixando nada entrar, ae nao vai funcionar mesmo.
para navegar sem a regra de ESTABLISHED,RELATED voce tem que no minimo liberar a entrada da 80 e 53 no INPUT.
iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT

Descordo do que você falou, se ele liberou o ESTABLISHED,RELATED e ele tentar acessar uma pagina da rede interna, quando o servidor http do outro lado responder ele já vai responder como uma conexão do tipo ESTABLISHED e sendo assim vai funcionar normalmente, deixando essas suas regras sem sentido.

[Patrick]

Descordo do que você falou, se ele liberou o ESTABLISHED,RELATED e ele tentar acessar uma pagina da rede interna, quando o servidor http do outro lado responder ele já vai responder como uma conexão do tipo ESTABLISHED e sendo assim vai funcionar normalmente, deixando essas suas regras sem sentido.

com certeza. por isso eu disse que ele tem que usar essas regras se ele NAO usar a regra com ESTABLISHED,RELATED.