mas vc ta pingando aonde? do proprio firewall ou de uma maquina na rede?
Versão Imprimível
mas vc ta pingando aonde? do proprio firewall ou de uma maquina na rede?
R.: Lembre-se , tudo o que sae da sua rede nao é OUTPUT.. OUTPUT é tudo aquilo que sae do Firewall (originado por ele) o que sae da rede internet ou entra para a rede interna é FORWARD.. e apenas ele..Citação:
me explica uma coisa, os pacotes de saida da minha rede ta tudo liberado output
R.: Se esses pacotes sao destinados ao FIREWALL e mais ninguem.. sim.. libera-se as portas que vc precisa no FIREWALL.. tipo.. liberar um SSH que roda no firewall.. liberar um apache .. que roda no firewall.. mais nada no INPUT é tratado para pacotes que nao sejam destinados ao proprio Firewall..Citação:
mas no input so libero as porta nos pacotes que eu uso, certo? blz
R.: isso tem que ser feito se vc estiver pingando da maquina FIREWALL para o BOL.. no INPUT justamente pelo fato do protocolo ICMP ser tradao diferente pelo firewall.. lembre-se que ICMP usa echo-request e echo-reply e nao pacotes ACK e /ou SYN. icmp nao é orientado a conexao.. como o TCP.. e nao usa flags TCP. Lembre-se.. pacotes ICMP nao sao retransmitidos.. sacou?Citação:
quando do um ping www.bol.com.br, ele não me retonar nada, mas no resolv.conf uso dns de um servidor de fora
quando crio uma regra no firewal so libenrado conecção udp que venha desse dns, e dou ping www.bol.com.br
ai funciona
e nao existe a necessidade de vc liberar nada que volta quando um protocolo necessita de retorno pelo firewall. principalmente na chain INPUT.. é so vc tratar isso pelo modulo STATE do iptables.. que ele ja faz isso para vc..
R.: Querys DNS. sera feita pelo OUTPUT se vc estiver consultando isso pela maquina FIREWALL.. sendo assim.. nao precisa de nada no INPUT... poisquem originou a query foi o seu firewall e nao o servidor de destino que esta tentando lhe consultar na porta UDP 53..Citação:
pensando que tudo pra fora udp ta liberado, entao quando tento fazer uma consulta no dns, na volta o pacote eh barrado pelo firewall, e por isso quando crio a regra que falei a cima o dns volta a funcionar, por isso que te perguntei aquilo
como eu falei antes.. essa situacao que vc falou ae do INPUT.. é somente necessario para o protocolo ICMP.. mais nada..
é isso ae.. qualquer duvida é só postar ae Brenno.
entao vamos supor que da minha maquina firewall tenho fazer ssh com um servidor de fora, sendo q no input ta barrado a porta 22 do ssh, vou conseguir estabelecer uma coneccao com o servidor de fora?
com certeza..
sorry.. duplicou..