+ Responder ao Tópico



  1. #1

    Padrão Firewall simples e funcional

    Estou postando este script como colaboração para estudo das regras e do proprio iptables.
    Sugestões são sempre bem vindas para melhoria deste script.

    #!/bin/bash
    #
    #
    #
    ## Variaveis
    #
    IPTABLES=$(which iptables) #Pega o caminho do iptables ex. /sbin/iptables
    IP="200.xx.xx.xx" #IP externo
    ETHEXTERNO="eth0" #Eth com acesso a internet
    REDEINTERNA="199.168.40.0/24" #Range da rede interna
    #
    IPMASQUERADE="1"
    TRAFEGOINTERNO="1"
    BLOCKVIRUS="1"
    BLOCKPORTSSH22="1"
    BLOCKPORTTELNET23="1"
    BLOCKMSN="0" # nao funcionou, rever
    BLOCKORKUT="0"
    BLOCKP2P="0" # Em testes
    BLOCKATAC="1"
    REDIRREDEINTERNA="1"
    ATIVAPROXYTRANSPARENTE="0"
    #
    #
    ## Grava log das inicializações do Firewall
    /bin/date >> /var/log/Firewall.start
    ## Libera repasse de pacotes entre as interfaces
    # verificar se o repasse já esta habilitado
    # sysctl -a | grep ip_forward
    # Caso esteja net.ipv4.ip_forward = 1 , altere esta linha no aquivo /etc/sysctl.conf para que fique = 0

    /bin/echo 1 > /proc/sys/net/ipv4/ip_forward
    #---------------------------------------------------------#
    ## Fala para o Kernel ignorar todos pacotes ICMP (ping) #
    # #
    #/bin/echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #
    #---------------------------------------------------------#
    ## Start Stop Restart
    #####--------------------------
    #
    case "$1" in

    nothing )
    /bin/echo -e "Do nothing ... \c"
    /bin/echo "OK !!!"
    ;;
    stop )
    /bin/echo -e "Firewall Server is OFF (Esta desligado) ... \c "

    $IPTABLES -F #limpa regras
    $IPTABLES -X #exclui chains
    $IPTABLES -t nat -F #limpa regras
    # $IPTABLES -t magle -F #limpa regras


    /bin/echo "OK !!!"
    ;;
    restart )
    /etc/init.d/firewall stop
    /etc/init.d/firewall start
    ;;
    start )
    /bin/echo -e "Starting Firewall server (iniciando Firewall) ..."
    $IPTABLES -F #limpa regras
    $IPTABLES -X #exclui chains
    $IPTABLES -t nat -F #limpa regras
    # $IPTABLES -t magle -F #limpa regras

    #-------------------------------------------
    ###### Iniciando Regras do Firewall
    #-------------------------------------------
    #
    ### Definindo politicas como DROP (Nega tudo)
    #
    #$IPTABLES -P INPUT DROP
    #$IPTABLES -P FORWARD DROP
    #$IPTABLES -P OUTPUT DROP
    #
    ### Libera tafego interno
    #
    if [ "$TRAFEGOINTERNO" = "1" ]
    then
    $IPTABLES -A INPUT -j ACCEPT -d 127.0.0.1 -s 127.0.0.1
    $IPTABLES -A INPUT -j ACCEPT -d $REDEINTERNA -s $REDEINTERNA
    # $IPTABLES -A INPUT -j ACCEPT -d $IP -s $IP

    fi
    #
    ### Bloqueia portas mais comuns usadas por virus
    #
    if [ "$BLOCKVIRUS" = "1" ]
    then
    # Blaster Worm
    $IPTABLES -A INPUT -p tcp --dport 135:139 -j DROP
    # Mansseger Worm
    $IPTABLES -A INPUT -p udp --dport 135:139 -j DROP
    # Blaster Worm
    $IPTABLES -A INPUT -p tcp --dport 445 -j DROP
    #-------Falta o nome
    $IPTABLES -A INPUT -p tcp --dport 593 -j DROP
    #-------Falta o nome
    $IPTABLES -A INPUT -p tcp --dport 1024:1030 -j DROP
    # Mydomm
    $IPTABLES -A INPUT -p tcp --dport 1080 -j DROP
    $IPTABLES -A INPUT -p tcp --dport 3127:3128 -j DROP
    #-------Falta o nome
    $IPTABLES -A INPUT -p tcp --dport 1214 -j DROP
    # Ndm Requeter
    $IPTABLES -A INPUT -p tcp --dport 1363 -j DROP
    # Ndm Server
    $IPTABLES -A INPUT -p tcp --dport 1364 -j DROP
    # Screen Cast
    $IPTABLES -A INPUT -p tcp --dport 1368 -j DROP
    # Hromgrafx
    $IPTABLES -A INPUT -p tcp --dport 1373 -j DROP
    # Cichlid
    $IPTABLES -A INPUT -p tcp --dport 1377 -j DROP
    # Worm
    $IPTABLES -A INPUT -p tcp --dport 1433:1434 -j DROP
    # Blaster Virus - Beagle A-K
    $IPTABLES -A INPUT -p tcp --dport 2745 -j DROP
    # DumaruY.
    $IPTABLES -A INPUT -p tcp --dport 2283 -j DROP
    # Beagle
    $IPTABLES -A INPUT -p tcp --dport 2535 -j DROP
    # Back Door OptixPro
    $IPTABLES -A INPUT -p tcp --dport 3410 -j DROP
    # Worm
    $IPTABLES -A INPUT -p tcp --dport 4444 -j DROP
    $IPTABLES -A INPUT -p udp --dport 4444 -j DROP
    # Sasser
    $IPTABLES -A INPUT -p tcp --dport 5554 -j DROP
    # Bagle.B
    $IPTABLES -A INPUT -p tcp --dport 8866 -j DROP
    # Dabber.A-B
    $IPTABLES -A INPUT -p tcp --dport 9898 -j DROP
    # Damaru.Y
    $IPTABLES -A INPUT -p tcp --dport 10000 -j DROP
    # Mydoom.B
    $IPTABLES -A INPUT -p tcp --dport 10080 -j DROP
    # NetBus
    $IPTABLES -A INPUT -p tcp --dport 12345 -j DROP
    # Kuang2
    $IPTABLES -A INPUT -p tcp --dport 13300 -j DROP
    # Sub Seven
    $IPTABLES -A INPUT -p tcp --dport 27374 -j DROP
    # Back Orifice
    $IPTABLES -A INPUT -p tcp --dport 31337 -j DROP
    $IPTABLES -A INPUT -p udp --dport 31337 -j DROP
    # NetBus
    $IPTABLES -A INPUT -p tcp --dport 12345:12346 -j DROP
    $IPTABLES -A INPUT -p udp --dport 12345:12346 -j DROP
    #
    # Portas do endereço: http://scan.sygatetech.com/quickscan.html
    #
    $IPTABLES -A FORWARD -p tcp --dport 6776 -j DROP
    $IPTABLES -A FORWARD -p udp --dport 6776 -j DROP
    $IPTABLES -A FORWARD -p tcp --dport 7789 -j DROP
    $IPTABLES -A FORWARD -p udp --dport 7789 -j DROP
    $IPTABLES -A FORWARD -p tcp --dport 54320 -j DROP
    $IPTABLES -A FORWARD -p udp --dport 54320 -j DROP
    $IPTABLES -A FORWARD -p udp --dport 1026 -j DROP
    $IPTABLES -A FORWARD -p udp --dport 1027 -j DROP
    $IPTABLES -A INPUT -p udp --dport 1026 -j DROP
    $IPTABLES -A INPUT -p udp --dport 1027 -j DROP
    /bin/echo "BLOCKPORTVIRUS Ativando ............... OK!! "
    fi
    #
    ### Bloqueia ataques diversos
    #
    if [ "$BLOCKATAC" = "1" ]
    then
    # DoS
    $IPTABLES -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    # Port Scanners
    $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    # Ping da Morte
    $IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    /bin/echo "BLOCKATAC Ativando ............... OK!! "
    fi

    #
    ### Bloqueia MSN
    #
    if [ "$BLOCKMSN" = "1" ]
    then
    # Portas MSN
    $IPTABLES -t filter -A FORWARD -p tcp --dport 6891:6901 -j DROP
    $IPTABLES -t filter -A FORWARD -p tcp --dport 1863 -j DROP
    $IPTABLES -t filter -A FORWARD -p udp --dport 1863 -j DROP
    $IPTABLES -t filter -A FORWARD -p tcp --dport 5190 -j DROP
    $IPTABLES -t filter -A FORWARD -p udp --dport 5190 -j DROP
    # Endereços MSN
    $IPTABLES -A FORWARD -s $REDEINTERNA -d hotmail.com -j DROP
    $IPTABLES -A FORWARD -s $REDEINTERNA -d e-messenger.net -j DROP
    $IPTABLES -A FORWARD -s $REDEINTERNA -d msn.com -j DROP
    $IPTABLES -A FORWARD -s $REDEINTERNA -d msn.com.br -j DROP
    $IPTABLES -A FORWARD -s $REDEINTERNA -d messenger.msn.com -j DROP
    $IPTABLES -A FORWARD -s $REDEINTERNA -d login.passport.net -j DROP
    $IPTABLES -A FORWARD -s $REDEINTERNA -d login.passport.com -j DROP
    $IPTABLES -A FORWARD -s $REDEINTERNA -d hotmail.msn.com -j DROP
    # $IPTABLES -A FORWARD -s $REDEINTERNA -d loginnet.msn.com -j DROP
    $IPTABLES -A FORWARD -s $REDEINTERNA -d loginnet.passport.com -j DROP
    # $IPTABLES -A FORWARD -s $REDEINTERNA -d login.hotmail.com -j DROP
    $IPTABLES -A FORWARD -s $REDEINTERNA -d messenger.hotmail.com -j DROP
    $IPTABLES -A FORWARD -s $REDEINTERNA -d rad.msn.com -j DROP
    $IPTABLES -A FORWARD -s $REDEINTERNA -d ak.englishtonw.com -j DROP
    $IPTABLES -A FORWARD -s $REDEINTERNA -d c.msn.com -j DROP
    $IPTABLES -A FORWARD -s $REDEINTERNA -d storage.msn.com -j DROP
    # $IPTABLES -A FORWARD -s $REDEINTERNA -d cp.inil.match.com -j DROP
    $IPTABLES -A FORWARD -s $REDEINTERNA -d meebo.com -j DROP
    $IPTABLES -I FORWARD -s $REDEINTERNA -d Meebo - Connecting AIM, MSN, Yahoo, Facebook, MySpace messengers -j DROP
    $IPTABLES -I FORWARD -s $REDEINTERNA -d www1.meebo.com -j DROP
    $IPTABLES -I FORWARD -s $REDEINTERNA -d wwwm.meebo.com -j DROP
    $IPTABLES -I FORWARD -s $REDEINTERNA -d www34.meebo.com -j DROP
    /bin/echo "BLOCKMSN Ativando ............... OK!! "

    fi
    #
    ### Bloqueia Orkut
    #
    if [ "$BLOCKORKUT" = "1" ]
    then
    route add -host 64.233.163.85 reject
    route add -host 64.233.163.86 reject
    route add -host 64.233.163.87 reject
    route add -host 64.233.163.94 reject
    /bin/echo "BLOCKORKUT Ativando ............... OK!! "

    fi
    # Limpa rotas bloqueadas orkut
    #if [ "$BLOCKORKUT" = "0" ]
    #then
    # route del -host 64.233.163.85 reject
    # route del -host 64.233.163.86 reject
    # route del -host 64.233.163.87 reject
    # route del -host 64.233.163.94 reject
    #fi

    # Habilitar no kernel opção layer7
    ### Bloqueia P2P
    #
    if [ "$BLOCKP2P" = "1" ]
    then
    $IPTABLES -I FORWARD -p tcp -m layer7 --l7ayer7 bittrrent -j DROP
    $IPTABLES -I FORWARD -p tcp -m layer7 --l7ayer7 directconnect -j DROP
    $IPTABLES -I FORWARD -p tcp -m layer7 --l7ayer7 gnutella -j DROP
    $IPTABLES -I FORWARD -p tcp -m layer7 --l7ayer7 edonkey -j DROP
    $IPTABLES -I FORWARD -p tcp -m layer7 --l7ayer7 bearshare -j DROP
    $IPTABLES -I FORWARD -p tcp -m layer7 --l7ayer7 winmx -j DROP
    /bin/echo "BLOCKP2P Ativando ............... OK!! "
    fi
    #
    ### Bloqueia porta 22 SSH
    #
    if [ "$BLOCKPORTSSH22" = "1" ]
    then
    #-----------------------------------------------------------------------------
    #Grava em log as tentativas de acesso na porta 22 SSH, para que funcione
    #esta linha adicione no arquivo /etc/syslogd.conf a seguinte linha
    #*.=alert -/var/log/firewall.log
    $IPTABLES -I INPUT -p tcp --dport 22 -j LOG --log-level 1 --log-prefix 'SSH ->'
    #------------------------------------------------------------------------------
    $IPTABLES -A INPUT -p TCP --dport 22 -j ACCEPT -d any/0 -s 200.xx.xx.xx/255.255.255.192
    # $IPTABLES -A INPUT -p TCP --dport 22 -j ACCEPT -d $IP -s any/0
    # $IPTABLES -A INPUT -p TCP --dport 22 -j ACCEPT -d $IP -s 199.168.40.0/255.255.255.0
    $IPTABLES -A INPUT -p TCP --dport 22 -j ACCEPT -d $IP -s 201.xx.xx.0/255.255.255.0

    $IPTABLES -A INPUT -p TCP --dport 22 -j DROP
    /bin/echo "BLOCKPORTSSH22 Ativando ............... OK!! "
    fi
    #
    ### Bloqueia porta 23 Telnet
    #
    if [ "$BLOCKPORTTELNET23" = "1" ]
    then
    $IPTABLES -A INPUT -p TCP --dport 23 -j ACCEPT -d $IP -s 127.0.0.1
    $IPTABLES -A INPUT -p TCP --dport 23 -j ACCEPT -d $IP -s 200.xx.xx.xx/255.255.255.192

    $IPTABLES -A INPUT -p TCP --dport 23 -j DROP
    /bin/echo "BLOCKPRTTELNET23 Ativando ............... OK!! "
    fi

    #------------>>> Coninua..
    Última edição por magnusrk8; 26-09-2009 às 01:17.

  2. #2

    Padrão

    # ------>>> Continuação

    #
    ### Redirecionamento para rede interna
    #
    if [ $REDIRREDEINTERNA = "1" ]
    then
    ##Redir da 5900 para o ip interno 199.168.40.2 nos protocolos tcp e udp.
    $IPTABLES -t nat -A PREROUTING -p tcp --dport 5900 -j DNAT --to 199.168.40.2
    $IPTABLES -t nat -A PREROUTING -p udp --dport 5900 -j DNAT --to 199.168.40.2
    $IPTABLES -t nat -A POSTROUTING -s 199.168.40.2 -j SNAT --to 200.xx.xx.xx -o $IP

    fi
    #
    ### Redir Proxy Transparente (redir para porta default do squid)
    #
    if [ "$ATIVAPROXYTRANSPARENTE" = "1" ]
    then
    $IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    /bin/echo "ATIVAPROXYTRANSPARENTE Ativando ............... OK!! "
    fi
    #
    ### Libera acesso a internet MASQUERADE
    #
    if [ "$IPMASQUERADE" = "1" ]
    then
    $IPTABLES -A FORWARD -s $REDEINTERNA -j ACCEPT
    $IPTABLES -A FORWARD -d $REDEINTERNA -j ACCEPT
    $IPTABLES -t nat -A POSTROUTING -o $ETHEXTERNO -s $REDEINTERNA -j MASQUERADE
    /bin/echo "IPMASQUERADE Ativando ............... OK!! "
    fi
    /bin/echo "... Firewall ATIVO OK !!!"
    ;;
    *)
    /bin/echo "Usage: $0 (star|stop|restart|nothing)"
    /bin/echo " "
    ;;
    esac
    # Grava os logs de stop do Firewall
    /bin/date >> /var/log/Firewall.stop
    #################### THE END #############################

  3. #3

  4. #4

    Padrão

    Amigo, veja só.

    Quero bloquear o acesso ssh da máquina y para a máquina z!
    Mas parece estaar faltando algum parametro.

    Utilizo um linux roteando!

    /sbin/iptables -A INPUT -p tcp --syn --dport 22 -j DROP -s y1.y2.y3.y4 -d z1.z2.z3.z4

  5. #5

    Padrão

    Citação Postado originalmente por debeijer Ver Post
    Amigo, veja só.

    Quero bloquear o acesso ssh da máquina y para a máquina z!
    Mas parece estaar faltando algum parametro.

    Utilizo um linux roteando!

    /sbin/iptables -A INPUT -p tcp --syn --dport 22 -j DROP -s y1.y2.y3.y4 -d z1.z2.z3.z4

    A regra ficaria assim:

    /sbin/iptables -A INPUT -p tcp --dport 22 -j DROP -d [ip_destino] -s [ip_origem/32]

    Desta forma funciona.

  6. #6

    Padrão

    a chain INPUT so trata conexoes de entrada logo somente o -s

    agora se vc passa por 2 interface pode controlar a origem e destino usando -s -d na chain FORWARD

    para FORWARD funcionar o firewall tem que estar entre a origem e destino fisicamente
    Última edição por Pirigoso; 21-08-2009 às 22:25.

  7. #7

    Padrão

    para que serve essas:
    # Portas do endereço: http://scan.sygatetech.com/quickscan.html
    #
    $IPTABLES -A FORWARD -p tcp --dport 6776 -j DROP
    $IPTABLES -A FORWARD -p udp --dport 6776 -j DROP
    $IPTABLES -A FORWARD -p tcp --dport 7789 -j DROP
    $IPTABLES -A FORWARD -p udp --dport 7789 -j DROP
    $IPTABLES -A FORWARD -p tcp --dport 54320 -j DROP
    $IPTABLES -A FORWARD -p udp --dport 54320 -j DROP
    $IPTABLES -A FORWARD -p udp --dport 1026 -j DROP
    $IPTABLES -A FORWARD -p udp --dport 1027 -j DROP
    $IPTABLES -A INPUT -p udp --dport 1026 -j DROP
    $IPTABLES -A INPUT -p udp --dport 1027 -j DROP
    /bin/echo "BLOCKPORTVIRUS Ativando ............... OK!! "


    ?????
    nao entendi!

  8. #8

    Padrão

    outra coisa...
    a seguinte regras:
    $IPTABLES -A INPUT -p tcp --dport 3127:3128 -j DROP

    mata o squid... entao, quem tiver o firewall junto ao squid....
    nao conseguira navegar

  9. #9

    Padrão

    Citação Postado originalmente por mascaraapj Ver Post
    outra coisa...
    a seguinte regras:
    $IPTABLES -A INPUT -p tcp --dport 3127:3128 -j DROP

    mata o squid... entao, quem tiver o firewall junto ao squid....
    nao conseguira navegar
    Preste atenção é um modelo, cada um tem suas necessidades.. voce não vai rodar o squid na porta 3128 com esta regra ativa.
    Não é simplesmente copiar e colar estas regras para dentro do seu server.

  10. #10

    Padrão

    Citação Postado originalmente por Pirigoso Ver Post
    a chain INPUT so trata conexoes de entrada logo somente o -s

    agora se vc passa por 2 interface pode controlar a origem e destino usando -s -d na chain FORWARD

    para FORWARD funcionar o firewall tem que estar entre a origem e destino fisicamente
    Opa amigo!

    a opção -s ip -d ip não funcionou.

    o link entra na minha eth0 e sai para a eth1. a idéia é que eu possa bloquear o acesso externo (entra pela eth0) ao ip que está atrás da eth1. Mas queria fazer esse bloqueio na máquina que faz o masquerade.

  11. #11

    Padrão

    Citação Postado originalmente por debeijer Ver Post
    Opa amigo!

    a opção -s ip -d ip não funcionou.

    o link entra na minha eth0 e sai para a eth1. a idéia é que eu possa bloquear o acesso externo (entra pela eth0) ao ip que está atrás da eth1. Mas queria fazer esse bloqueio na máquina que faz o masquerade.
    testa assim:

    /sbin/iptables -A INPUT -p tcp --dport 22 -j DROP -d [ip_destino]

  12. #12

    Padrão

    Opa,

    amigo eu estou usando esta regra, mas não está rolando
    /sbin/iptables -A INPUT -p tcp --dport 22 -j DROP -d destino -s origem

  13. #13

    Padrão

    Citação Postado originalmente por debeijer Ver Post
    Opa,

    amigo eu estou usando esta regra, mas não está rolando
    /sbin/iptables -A INPUT -p tcp --dport 22 -j DROP -d destino -s origem
    O teu firewall esta funcionando corretamente?? como esta sua topologia de rede??? algo esta errado, esta regra funciona.

  14. #14

    Padrão

    link ip válido 1.1.1.0/24 entra pela eth0 (router 1.1.1.1) e sae em subnets para eth1 e eth2. Temos servers nas duas eths,

    vamos supor a rede 1.1.1.16/28 cadastrada no router com o gateway 1.1.1.30. tenho um server atrás da eth1 do router com ip 1.1.1.17.

    Dae um user externo com ip 200.200.200.200 tenta um ssh para a o server 1.1.1.17 ele passa por:
    200.200.200.200-internet-1.1.1.1-1.1.1.17

    Em resumo, tudo chega passa pelo 1.1.1.1

    no router eu add a regra:
    /sbin/iptables -A INPUT -p tcp --dport 22 -j DROP -s 1.1.1.58 -d 1.1.1.17

    o ip 1.1.1.58 está em uma subnet da eth2 e o 1.1.1.17 numa subnet da eth1. mas passa pelo router, mas não rola!

  15. #15

    Padrão

    Citação Postado originalmente por debeijer Ver Post
    link ip válido 1.1.1.0/24 entra pela eth0 (router 1.1.1.1) e sae em subnets para eth1 e eth2. Temos servers nas duas eths,

    vamos supor a rede 1.1.1.16/28 cadastrada no router com o gateway 1.1.1.30. tenho um server atrás da eth1 do router com ip 1.1.1.17.

    Dae um user externo com ip 200.200.200.200 tenta um ssh para a o server 1.1.1.17 ele passa por:
    200.200.200.200-internet-1.1.1.1-1.1.1.17

    Em resumo, tudo chega passa pelo 1.1.1.1

    no router eu add a regra:
    /sbin/iptables -A INPUT -p tcp --dport 22 -j DROP -s 1.1.1.58 -d 1.1.1.17

    o ip 1.1.1.58 está em uma subnet da eth2 e o 1.1.1.17 numa subnet da eth1. mas passa pelo router, mas não rola!
    Para acessar o ip 1.1.1.17 externamente voce tem que ter um redir no seu router 1.1.1.1 para 1.1.1.17, correto!! Voce tem que colocar a regra para bloquear o acesso externo no seu router e pronto assim:

    /sbin/iptables -A INPUT -p tcp --dport 22 -j DROP -s [ip_origem] "o ip de origem não vai acessar nada na porta 22 depois do seu router."

    Mas se voce quer bloquear o acesso da maquina 1.1.1.58 para 1.1.1.17, preste atenção, não vai adiantar colocar esta regra no router, as duas maquinas estão na mesma rede, mesmo range de ip's não preciso do router para comunicar uma com a outra, então coloque esta regra na maquina de destino:
    Maquina 1.1.1.17
    /sbin/iptables -A INPUT -p tcp --dport 22 -j DROP -s 1.1.1.58
    Tem que funcionar.

  16. #16

    Padrão

    Opa

    estão em subnets diferentes.

    passam obrigatoriamente pelo router que é o gateway das duas.

    vou dar uma olhada com mais calma agora e posto aqui como ficou!

  17. #17

    Padrão

    Citação Postado originalmente por Pirigoso Ver Post
    a chain INPUT so trata conexoes de entrada logo somente o -s

    agora se vc passa por 2 interface pode controlar a origem e destino usando -s -d na chain FORWARD

    para FORWARD funcionar o firewall tem que estar entre a origem e destino fisicamente
    Pessoal, presta atenção na dica que o Pirigoso deu. Vocês estão roteando duas redes logo esses pacotes não passam pela chain INPUT e sim pela FORWARD!! Corrigam as regras que eu tenho certeza que funciona.

    Até mais...

  18. #18

    Padrão

    exato, se a requisição na porta 22 é para uma máquina atrás do server, ele cai na chain forward e não input!

    Caso seja para o server, a chain é input!

  19. #19

    Padrão

    Para mim voces estao vacilando na syntax do iptables... sugiro que deem uma lida no iptables antes de montar uma receita de bolo assim. Se eu nao me engano aqui na under mesmo temos um material bom de iptables que agora a minha memoria esta falha e nao me lembro onde...

  20. #20

    Padrão

    /sbin/iptables -A FORWARD -p tcp --dport 22 -j DROP -d dest -s sour