+ Responder ao Tópico



  1. 24-03-2009, 11:12 #1
    NightMareCBA
    NightMareCBA está desconectado
    Avatar de NightMareCBA
    Ingresso
    Feb 2008
    Posts
    13

    Padrão IPTables - Problema com politica padrão DROP

    Pessoal,

    To querendo colocar como padrao o INPUT, FORWARD e POSTROUTING para DROP. Porém quando faço isso, as maquina da rede interna não conseguem mais resolver DNS, que é externo.

    Assim não resolve DNS, funciona o SSH e Proxy.
    $IPT -t filter -P INPUT DROP
    $IPT -t filter -P OUTPUT ACCEPT
    $IPT -t filter -P FORWARD DROP
    $IPT -t nat -P PREROUTING ACCEPT
    $IPT -t nat -P POSTROUTING DROP
    $IPT -t nat -P OUTPUT ACCEPT
    $IPT -t mangle -P PREROUTING ACCEPT
    $IPT -t mangle -P OUTPUT ACCEPT

    $IPT -t filter -A INPUT -i lo -j ACCEPT
    $IPT -t filter -A INPUT -s $NET_INT -i $IF_INT -j ACCEPT
    $IPT -t filter -A INPUT -i $IF_INT -p tcp --dport 22 -j ACCEPT #SSH
    $IPT -t filter -A INPUT -i $IF_INT -p tcp --dport 3128 -j ACCEPT #Proxy

    $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -i $IF_EXT -o $IF_INT -j ACCEPT
    $IPT -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -i $IF_INT -o $IF_EXT -j ACCEPT

    $IPT -t nat -A POSTROUTING -s $NET_INT -o $IF_EXT -p tcp --dport 53 -j MASQUERADE #DNS
    $IPT -t nat -A POSTROUTING -s $NET_INT -o $IF_EXT -p udp --dport 53 -j MASQUERADE #DNS
    Se eu coloco:
    $IPT -t filter -P INPUT ACCEPT
    $IPT -t filter -P OUTPUT ACCEPT
    $IPT -t filter -P FORWARD ACCEPT
    $IPT -t nat -P PREROUTING ACCEPT
    $IPT -t nat -P POSTROUTING ACCEPT
    $IPT -t nat -P OUTPUT ACCEPT
    $IPT -t mangle -P PREROUTING ACCEPT
    $IPT -t mangle -P OUTPUT ACCEPT
    Ai o DNS funciona.

    Help!
    Sei que é algo besta, mais to apanhando.

    [...]'s

    NightMare
    Citação Citação
  2. 24-03-2009, 11:15 #2
    NightMareCBA
    NightMareCBA está desconectado
    Avatar de NightMareCBA
    Ingresso
    Feb 2008
    Posts
    13

    Padrão

    Aproveitando, alguem sabe me dizer se tem como acompanhar em tempo real o processamento das regras do IPTABLES. Acho que isso iria ajudar bastante achar erro nas regras.
    Tipo assim, quando entra um pacote, ver por onde ele ta passando ou não.
    Citação Citação
  3. 25-03-2009, 10:34 #3
    wps
    wps está desconectado
    Avatar de wps
    Ingresso
    Dec 2003
    Posts
    311
    Posts de Blog
    2

    Padrão DA sim vamos la

    Acompanhando rule em tempo real:
    watch -d -n1 "iptables -L FORWARD -vn"

    Suas regras tem que permitir acesso de entrada e saida e forward para o pacote 53 tcp e udp.

    Seu firewall esta montado de uma forma stateless.

    Dica carregue o bind localmente servindo de dns somente para sua rede alem de agilizar as pesquisas evita cache poising que evita várias dores de cabeça.

    Qualquer coisa posta ai abraço
    Citação Citação



« Tópico Anterior | Próximo Tópico »