Versão Imprimível
Tenho um firewall todo dropado. Fiz uma regra para aceitar porta 20 e 21, mas mesmo assim não funciona o ftp.
iptables -A FORWARD -p tcp -s $REDEINTERNA --sport 1024: -d 0/0 --dport 20:21 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 --sport 20:21 -d $REDEINTERNA --dport 1024: -j ACCEPT
estas são as regras do meu firewall.
iptables -A FORWARD -p tcp -s $REDEINTERNA --dport 21 -j ACCEPTCitação:
Postado originalmente por Apolux
lembre-se de abilitar os modolos do ftp no seu fw, abraço
Ola
Para acesso externo, libere tbem o INPUT (se for o caso)
iptables -I INPUT -p tcp --dport 21 -j ACCEPT
t+
input seria se o ele tivesse um servidor ftp instalado no fw, acho q isso n ehCitação:
Postado originalmente por bauer
o caso,
abraço
Como falei (se for o caso).. a pergunta dele não é clara...Citação:
Postado originalmente por Brenno
t+
kr issu aqui pode te ajudar:
https://under-linux.org/noticia4481.html
valeu!! :good:
tudo bem, mas pq -I e não -A? pq deixar essa regra pra ser lida primeira?Citação:
Postado originalmente por bauer
foca linux
abraçoCitação:
10.2.4 Inserindo uma regra - I
Precisamos que o tráfego vindo de 192.168.1.15 não seja rejeitado pelo nosso firewall. Não podemos adicionar uma nova regra (-A) pois esta seria incluída no final do chain e o tráfego seria rejeitado pela primeira regra (nunca atingindo a segunda). A solução é inserir a nova regra antes da regra que bloqueia todo o tráfego ao endereço 127.0.0.1 na posição 1:
iptables -t filter -I INPUT 1 -s 192.168.1.15 -d 127.0.0.1 -j ACCEPT
Após este comando, temos a regra inserida na primeira posição do chain (repare no número 1 após INPUT) e a antiga regra número 1 passa a ser a número 2. Desta forma a regra acima será consultada, se a máquina de origem for 192.168.1.15 então o tráfego estará garantido, caso contrário o tráfego com o destino 127.0.0.1 será bloqueado na regra seguinte
Garantir que a porta seja aberta mesmo que seja dropada posteriormente, como cita o texto resumido que vc inseriu ai...
Isto é muito relativo a cada firewall, política de regras.. enfim...
t+
garantia?Citação:
Postado originalmente por bauer
fw envolve muita resposavilidade, especialmente quando envolver empresa, é bom deixa claro isso, pois a maioria aqui trabalha como adm de redes,
se vc usar uma regra que so funcione com menos -I , e vc não sabe o pq disso, pode ter certeza que teu fw ta furado.
abraço
já tá bastante inflamado, mas deixa eu meter a colher...
Se o fwd for DMZ, o INPUT é necessário para depois desviar os pacotes para o server...
(se estiver errado não me batam! :P )
Citação:
Postado originalmente por 354mp
a tabala responsavel por redirecionamento eh nat, depois da nat, ele consulta a forward.
ou seja, ao cria uma regra dnat de redirecionamento de pacote para outra maquina na sua rede interna, ao passa pela regra de redirecionamento, ele vai
consultar na tabela filter a chain forward.
ou sejá ela n vai usar a input,
na focalinux, la explica detalhado isso..
abraço
Sem stress amigo, acho que não coloquei em risco o firewall de ninguém... só citei o -I para ele ler esta regra primeiro caso ele tenha uma regra dropando antes...Citação:
Postado originalmente por Brenno
calma....
talvez o melhor era ele responder se conseguiu o que queria para podermos ajudar...
[];
Sim, concordo. Mas o DMZ recebe todas as requisições e define para onde elas seguem. o nat e forward são para quando as máquinas respondem diretamente.Citação:
Postado originalmente por Brenno
e como eu filtro todas as portas do fw eu preciso usar INPUT, pq senão, antes de chegar no DNAT eu já recusei o pacote...
todo pacote externo ao chega no fw, ele passa pela tabela nat, e em seguida passa pela tabela filter.Citação:
Postado originalmente por esamp
era bom vc da uma lida no focalinux em relação ao trafego de pacotes no iptables.
abraço :good:
ou sejá, quando pacote chega, ele sera redirecionado pela tabela nat na chain prerouting, logo em seguida ele vai para tabela filter e consulta a chain forward.
ou sejá a chain input não foi utilizada.
obs: lembrado que nesse caso ele n ta utilizando a tabela mangle.
abraço
:good: