maneira correta para politica DROP.
Boa Noite segue abaixo uma simples dúvida.
iptables -P FORWARD DROP
iptables -A FORWARD -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
Dessa forma libero a entrada e saida, com a porta 80 em minha rede, no caso vai funcionar o navegador.
Perguntas
1) tem como fazer isso de outra forma ?
2) Qual a diferença de fazer isso dessa forma, e utilizando o -t filter ?
Obrigado
maneira correta para politica DROP.
Amigo isso funciona em partes, ou melhor, na pratica não funciona não, justamente por que para acessar uma página é necessário que se libere acesso ao serviço de DNS. Dessa forma você só conseguiria acessar por ip.
Quanto as formas de se fazer isso, existe várias, depende de como está sua rede e da forma que será feito o acesso, ou seja, isso depende do contexto de segurança a ser aplicado.
Nesse seu exemplo a politica aplicada é Dropar tudo e deixar passar somente acesso http.
Já com relação a utilizar -t filter, não muda nada. Na verdade a tabela filter é a padrão do iptables, por isso podemos omitir o seu uso e escrever somente iptables -A ........ Funciona normalmente e é idêntico a iptables -t filter -A ...
OK? :)
Abraços,
maneira correta para politica DROP.
1) Obvio, dessa maneira que voce faz soa ate complicado... dessa maneira voce: libera tudo que sai pela eth1, e aceita a porta 80/tcp vindo da eth1, entretanto como padrao bloqueia o resto. No meu caso eu so iria liberar a saida da porta 80 baseado nao somente na interface e sim no ip, claro que isso tudo depende do nivel de seguranca q vc quer implementar e da granularidade desta, e entao relacionaria as conexoes, assim voce enxuga as regras (vide deixar o firewall stateful).
2) ja foi respondida.
maneira correta para politica DROP.
Muito Obrigado.
Na verdade é uma simples dúvida, que se tornam confusas sem alguém responder.
Porque vi muitos scripts com -t filter,e pessoas que copiam isso sem saber o verdadeiro significado.
Então sobre a eth1. No caso o -o (Origem), é do meu micro para o firewall.
Posso especificar a porta para origem também ?
Obrigado
maneira correta para politica DROP.
Citação:
Postado originalmente por Anonymous
Posso especificar a porta para origem também?
Claro, para especificar a origem utilize o -s
Veja mais aqui: http://focalinux.cipsga.org.br/guia/...w-iptables.htm
:good: