IPTABLES - DROP para todas as chains
Srs.,
Uma dúvida está me atormentando com relação ao firewall IPTABLES, em muitos artigos li que o melhor para um firewall é barrar tudo e depois ir abrindo as portas que eu quero dar acesso.
Mas no meu caso não está funcionando.
As chains OUTPUT e FORWARD estão ACCEPT, mas a minha chains INPUT está como padrão DROP.
Tive que alterar a minha chain INPUT para ACCEPT, pois não estava conseguindo acessar o meu firewall remotamente e também não estava conseguindo navegar para a internet através da minha regra de MASQUERADE.
Alguém poderia me dizer se realmente eu fecho tudo e depois vou abrindo o que eu quero abrir ?
Obrigado.
IPTABLES - DROP para todas as chains
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i interface_rede_local -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s rede_local -j ACCEPT
iptables -A FORWARD -d rede_local -j ACCEPT
iptables -t nat -A POSTROUTING -o interface_externa -s rede_local -j MASQUERADE
IPTABLES - DROP para todas as chains
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-12-03 17:37, felco wrote:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i interface_rede_local -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s rede_local -j ACCEPT
iptables -A FORWARD -d rede_local -j ACCEPT
iptables -t nat -A POSTROUTING -o interface_externa -s rede_local -j MASQUERADE
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
IPTABLES - DROP para todas as chains
iptables -A FORWARD -s rede_local -j ACCEPT
sai tudo.
iptables -A FORWARD -d rede_local -j ACCEPT
(tem certeza? eu acho loucura)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
todo mundo entretanto no ssh??? eh meio perigoso mas ai vai de voce...
bom poste as regras que voce usa meu caro, leia iptables.under-linux.org
IPTABLES - DROP para todas as chains
incrivel como se esquece de logar...
IPTABLES - DROP para todas as chains
As minhas regras são essas:
$IPTABLES -F
$IPTABLES -t nat -F
echo 1 > /proc/sys/net/ipv4/ip_forward
$IPTABLES -t nat -A POSTROUTING -s $NET_INT -o $IF_NET -j MASQUERADE
$IPTABLES -A FORWARD -m unclean -j DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A INPUT -i $IF_NET -p tcp -s 200.158.140.1 --dport 67:68 -j ACCEPT
$IPTABLES -A INPUT -I $IF_NET -p udp -s 200.158.140.1 --dport 67:68 -j ACCEPT
$IPTABLES -A INPUT -i $IF_INT -s $NET_INT -j ACCEPT
$IPTABLES -A INPUT -i $IF_INT2 -s $PERMIT1 -j ACCEPT
$IPTABLES -A INPUT -i $IF_INT2 -s $PERMIT3 -j ACCEPT
$IPTABLES -A INPUT -i $IF_NET -s $PERMIT2 -j ACCEPT
$IPTABLES -A FORWARD -s $NET_INT -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT2 -s $PERMIT1 -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT2 -s $PERMIT3 -j ACCEPT
$IPTABLES -A FORWARD -i $IF_NET -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $IF_NET -p tcp --dport $HIPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTALBES -A FORWARD -i $IF_NET -p udp --dport $HIPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --syn -s $NET_INT -j ACCEPT
$IPTABLES -A INPUT -i $IF_NET -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i $IF_NET -p tcp --dport $HIPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTALBES -A INPUT -i $IF_NET -p udp --dport $HIPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --syn -j DROP
$IPTABLES -A INPUT -i $IF_NET -p udp --dport 0:30000 -j DROP
$IPTABLES -A INPUT -d $LOOPBACK -j ACCEPT
$IPTABLES -A OUTPUT -d $LOOPBACK -j ACCEPT
******************************************************
Não coloquei as variáveis, mas elas estão setadas.
Outra pergunta que eu gostaria de fazer é sobre a rede de MASQUERADE.
Li em uma documentação aqui na Underlinux, que eu deveria coloca-la antes de todas as regras. Isso é verdadeiro ? Porque ?
Obrigado.
IPTABLES - DROP para todas as chains
Quando eu coloco as regras com as chains INPUT e FORWARD DROP, e abro nas regras abaixo o que eu preciso, não funciona um monte de coisas.
Não consigo baixar arquivo via SCP, não consigo acessar FTP.