+ Responder ao Tópico



  1. #1
    Legolas
    Visitante

    Padrão IPTABLES - DROP para todas as chains

    Srs.,

    Uma dúvida está me atormentando com relação ao firewall IPTABLES, em muitos artigos li que o melhor para um firewall é barrar tudo e depois ir abrindo as portas que eu quero dar acesso.
    Mas no meu caso não está funcionando.

    As chains OUTPUT e FORWARD estão ACCEPT, mas a minha chains INPUT está como padrão DROP.
    Tive que alterar a minha chain INPUT para ACCEPT, pois não estava conseguindo acessar o meu firewall remotamente e também não estava conseguindo navegar para a internet através da minha regra de MASQUERADE.

    Alguém poderia me dizer se realmente eu fecho tudo e depois vou abrindo o que eu quero abrir ?

    Obrigado.

  2. #2
    felco
    Visitante

    Padrão IPTABLES - DROP para todas as chains

    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    iptables -A INPUT -i interface_rede_local -j ACCEPT
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    iptables -A FORWARD -s rede_local -j ACCEPT
    iptables -A FORWARD -d rede_local -j ACCEPT

    iptables -t nat -A POSTROUTING -o interface_externa -s rede_local -j MASQUERADE

  3. #3
    felco
    Visitante

    Padrão IPTABLES - DROP para todas as chains

    <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
    On 2003-12-03 17:37, felco wrote:
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    iptables -A INPUT -i interface_rede_local -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    iptables -A FORWARD -s rede_local -j ACCEPT
    iptables -A FORWARD -d rede_local -j ACCEPT

    iptables -t nat -A POSTROUTING -o interface_externa -s rede_local -j MASQUERADE
    </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

  4. #4
    Visitante

    Padrão IPTABLES - DROP para todas as chains

    iptables -A FORWARD -s rede_local -j ACCEPT
    sai tudo.

    iptables -A FORWARD -d rede_local -j ACCEPT
    (tem certeza? eu acho loucura)


    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    todo mundo entretanto no ssh??? eh meio perigoso mas ai vai de voce...

    bom poste as regras que voce usa meu caro, leia iptables.under-linux.org

  5. #5

    Padrão IPTABLES - DROP para todas as chains

    incrivel como se esquece de logar...

  6. #6
    Legolas
    Visitante

    Padrão IPTABLES - DROP para todas as chains

    As minhas regras são essas:

    $IPTABLES -F
    $IPTABLES -t nat -F

    echo 1 > /proc/sys/net/ipv4/ip_forward
    $IPTABLES -t nat -A POSTROUTING -s $NET_INT -o $IF_NET -j MASQUERADE

    $IPTABLES -A FORWARD -m unclean -j DROP

    $IPTABLES -P INPUT DROP
    $IPTABLES -P FORWARD DROP
    $IPTABLES -P OUTPUT ACCEPT

    $IPTABLES -A INPUT -i $IF_NET -p tcp -s 200.158.140.1 --dport 67:68 -j ACCEPT
    $IPTABLES -A INPUT -I $IF_NET -p udp -s 200.158.140.1 --dport 67:68 -j ACCEPT

    $IPTABLES -A INPUT -i $IF_INT -s $NET_INT -j ACCEPT
    $IPTABLES -A INPUT -i $IF_INT2 -s $PERMIT1 -j ACCEPT
    $IPTABLES -A INPUT -i $IF_INT2 -s $PERMIT3 -j ACCEPT
    $IPTABLES -A INPUT -i $IF_NET -s $PERMIT2 -j ACCEPT

    $IPTABLES -A FORWARD -s $NET_INT -j ACCEPT
    $IPTABLES -A FORWARD -i $IF_INT2 -s $PERMIT1 -j ACCEPT
    $IPTABLES -A FORWARD -i $IF_INT2 -s $PERMIT3 -j ACCEPT
    $IPTABLES -A FORWARD -i $IF_NET -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A FORWARD -i $IF_NET -p tcp --dport $HIPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTALBES -A FORWARD -i $IF_NET -p udp --dport $HIPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT

    $IPTABLES -A INPUT -p tcp --syn -s $NET_INT -j ACCEPT

    $IPTABLES -A INPUT -i $IF_NET -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A INPUT -i $IF_NET -p tcp --dport $HIPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTALBES -A INPUT -i $IF_NET -p udp --dport $HIPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT

    $IPTABLES -A INPUT -p tcp --syn -j DROP
    $IPTABLES -A INPUT -i $IF_NET -p udp --dport 0:30000 -j DROP

    $IPTABLES -A INPUT -d $LOOPBACK -j ACCEPT
    $IPTABLES -A OUTPUT -d $LOOPBACK -j ACCEPT

    ******************************************************
    Não coloquei as variáveis, mas elas estão setadas.
    Outra pergunta que eu gostaria de fazer é sobre a rede de MASQUERADE.
    Li em uma documentação aqui na Underlinux, que eu deveria coloca-la antes de todas as regras. Isso é verdadeiro ? Porque ?

    Obrigado.

  7. #7
    Legolas
    Visitante

    Padrão IPTABLES - DROP para todas as chains

    Quando eu coloco as regras com as chains INPUT e FORWARD DROP, e abro nas regras abaixo o que eu preciso, não funciona um monte de coisas.
    Não consigo baixar arquivo via SCP, não consigo acessar FTP.