+ Responder ao Tópico



  1. #1
    Visitante

    Padrão Problemas com IPTABLES

    Srs.,

    Alguém poderia me ajudar ?

    Isso nunca aconteceu comigo antes, mas esse firewall está me dando dor de cabeça.

    Fiz as minhas regras normais, fechando as chains usando o iptables -P INPUT DROP e FORWARD DROP. Até aí tudo bem, sempre fiz assim.
    O grande problema foi quando coloquei o firewall no ar.
    Depois de ter carregado o firewall, quando eu tento dar um comando #ls ou #iptables -L -n ou qualquer outro comando, através da minha conexão SSH, simplesmente o tela da minha conexão trava. Eu não consigo executar esses comandos, preciso fazer uma nova conexão SSH e derrubar as minhas regras.

    PS. Esse firewall não está fisicamente perto de mim.

    O mais estranho de tudo é que quando eu não uso o iptables -P INPUT DROP e FORWARD DROP e no lugar deles eu uso o iptables -A INPUT -j DROP e FORWARD -j DROP no final das minhas regras, tudo funciona normalmente.

    Alguém poderia me ajudar ? Vcs entenderam o meu problema ?

  2. #2

    Padrão Problemas com IPTABLES

    Deve ser porque voce veio do ipchains ...

    ipchains eh stateless
    iptables eh stateful, se vc dizer para ele ser.


    voce simplesmente nao esta relacionando as conexoes por isso quando voce levanta as regras ele bloquea, voce nao deve ter nenhuma regra que te segure.

    Nao levante suas regras sem voce ter antes uma regra que permita sua entrada SSH.

    iptables.under-linux.org

  3. #3

    Padrão Problemas com IPTABLES

    Ola...

    Tente...

    iptables -A inet-in -p tcp --dport 22 -j ACCEPT

    onde, 22 é a porta padrão do ssh

    t+

  4. #4
    Visitante

    Padrão Problemas com IPTABLES

    Citação Postado originalmente por bauer
    Ola...

    Tente...

    iptables -A inet-in -p tcp --dport 22 -j ACCEPT

    onde, 22 é a porta padrão do ssh

    t+
    corrigindo

    iptables -I INPUT -s seu_ip -p tcp -m tcp --dport porta_ssh -j ACCEPT

    Colocando o "-I" antes de INPUT vc faz ela ser a primeira regra a ser aceita nao travando sua conexao, alem se somente seu ip acessar o servidor,se quiser mais especifico use "-i eth1" dizendo que é somente tua interface de rece interna que pode acessar, evitando assim um furo de seguranca, pois hackers podem fazem um ip spoofing e derrubar sua regra. Ou melhor e mais prudente se estiver usando a politica de accept

    iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j DROP
    iptables -I INPUT -i eth1 -s seu_ip -p tcp -m tcp --dport 22 -j ACCEPT

    fui

  5. #5
    Visitante

    Padrão Problemas com IPTABLES

    Pessoal, obrigado pela ajuda, mas eu continuo tendo problemas.
    Olhem as minhas regras abaixo, quando eu substitui as regras $IPTABLES -P INPUT DROP e -P FORWARD DROP, pelas regras $IPTABLES -A INPUT -j DROP e -A FORWARD -j DROP no final das regras eu não tenho problemas no travamento das conexões ou de novas conexões usando SCP.

    Legenda:

    NET_INT -> Rede Interna 1
    NET_INT2 -> Rede Interna 2
    IF_INT -> Interface Interna 1
    IF_INT2 -> Interface Interna 2
    IF_NET -> Interface Internet

    Regras
    ********************************************************
    #Apaga todas as regras
    $IPTABLES -F
    $IPTABLES -t nat -F

    # NAT
    echo 1 > /proc/sys/net/ipv4/ip_forward
    $IPTABLES -t nat -A POSTROUTING -s $NET_INT -o $IF_NET -j MASQUERADE

    #Fecha tudo
    $IPTABLES -P INPUT DROP
    $IPTABLES -P FORWARD DROP

    #Aceita DHCP do speedy
    $IPTABLES -A INPUT -p tcp -s $DHCP_SPEEDY --sport 67:68 -j ACCEPT
    $IPTABLES -A INPUT -p udp -s $DHCP_SPEEDY --sport 67:68 -j ACCEPT

    #Abre alguns acessos - remoto e rede local
    $IPTABLES -A INPUT -p tcp -s $PERMIT2 -j ACCEPT
    $IPTABLES -A INPUT -p udp -s $PERMIT2 -j ACCEPT
    $IPTABLES -I INPUT -i $IF_INT2 -p tcp -s $PERMIT1 -j ACCEPT
    $IPTABLES -I INPUT -i $IF_INT2 -p udp -s $PERMIT1 -j ACCEPT
    $IPTABLES -A INPUT -p tcp -s $PERMIT3 -j ACCEPT
    $IPTABLES -A INPUT -p udp -s $PERMIT3 -j ACCEPT

    #Abre para a rede local
    $IPTABLES -A INPUT -p tcp --syn -s $NET_INT -j ACCEPT

    #Aceita conexoes da internet atraves do estado das conexoes
    $IPTABLES -A INPUT -i $IF_NET -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A INPUT -i $IF_NET -p tcp --dport $HIPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A INPUT -i $IF_NET -p udp --dport $HIPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT

    #regras para repasse de pacote
    $IPTABLES -A FORWARD -i $IF_INT -o $IF_NET -j ACCEPT
    $IPTABLES -A FORWARD -i $IF_INT2 -o $IF_NET -j ACCEPT

    $IPTABLES -A FORWARD -i $IF_NET -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A FORWARD -i $IF_NET -p tcp --dport $HIPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A FORWARD -i $IF_NET -p udp --dport $HIPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT

    #Libera loopback
    $IPTABLES -A INPUT -d $LOOPBACK -j ACCEPT
    $IPTABLES -A OUTPUT -d $LOOPBACK -j ACCEPT
    ********************************************************