problema simples - iptables

fmbraga · 25-05-2004, 14:56

Como todo firewall possuo minhas regras e no final fecho tudo. Da minha rede interna e ,consequente, da externa tb nao estou conseguindo acessar meu servidor ftp nem http.
Possuo algumas regras para liberar respostas da internet Ok ? vejam :

iptables -A INPUT -p TCP -i ppp0 --sport 80 -j ACCEPT
iptables -A INPUT -p TCP -i ppp0 --sport 21 -j ACCEPT

.... depois aquela velha regra conhecida para fechar
iptables -A INPUT -j DROP

Por enquanto tudo bem, entendo o porque da minha rede interna nao acessar o servidor fto nem http, mas porque depois dessa regra não consigo acessá-los ? veijam

iptables -A INPUT -p TCP -i eth1 -s $rede_interna --dport 21 -j ACCEPT
iptables -A INPUT -p TCP -i eth1 -s $rede_interna --dport 80 -j ACCEPT

Porque a rede interna nao consegue acessar o servidor ftp nem http ?
por favor, ajudem- me, eh muito URGENTE.

Beto · 26-05-2004, 08:55

Postado originalmente por fmbraga

Como todo firewall possuo minhas regras e no final fecho tudo. Da minha rede interna e ,consequente, da externa tb nao estou conseguindo acessar meu servidor ftp nem http.
Possuo algumas regras para liberar respostas da internet Ok ? vejam :

iptables -A INPUT -p TCP -i ppp0 --sport 80 -j ACCEPT
iptables -A INPUT -p TCP -i ppp0 --sport 21 -j ACCEPT

.... depois aquela velha regra conhecida para fechar
iptables -A INPUT -j DROP

Por enquanto tudo bem, entendo o porque da minha rede interna nao acessar o servidor fto nem http, mas porque depois dessa regra não consigo acessá-los ? veijam

iptables -A INPUT -p TCP -i eth1 -s $rede_interna --dport 21 -j ACCEPT
iptables -A INPUT -p TCP -i eth1 -s $rede_interna --dport 80 -j ACCEPT

Porque a rede interna nao consegue acessar o servidor ftp nem http ?
por favor, ajudem- me, eh muito URGENTE.

Amigo,
Provavelmente vc deixou a política do INPUT como DROP, nesse caso ele fecha tudo, liberando somente para as ACCEPT, mas todas detalhadamente explícitas. Experimente deixar ACCEPT no DROP e fazer um teste, se funcionar, dê um # netstat -na > /conexoes.txt e depois verifique esse arquivo para saber exatamente de onde partem e para onde vão as conexões.
Obs: Verifique o FORWARD e o OUTPUT se estão com regras para passagem e saida respectivamente.
()'s

Beto

fmbraga · 26-05-2004, 10:19

Ok Beto, eu possuo, como ja citado acima, iptables -A INPUT -j DROP, mas eu abrir o ftp para rede interna

iptables -A INPUT -p TCP -i eth1 -s $rede_interna --dport 21 -j ACCEPT

PQ ele nao aceita ?

Trojahn · 26-05-2004, 10:35

Eh dificil ter uma ideia sem ver o script por completo...

O que voce pode fazer pra debugar, eh colocar um LOG antes de cada DROP do seu script, assim voce tem condicao de identificar qual regra esta bloqueando o seu traffego... Para ficar ainda mais legivel, utilize o --prefix com um texto diferente para cada LOG...

**Jim** · 26-05-2004, 10:37

Vc habilitou o repasse de pacotes?

**mistymst** · 26-05-2004, 11:16

Pelo visto voce veio do ipchains e nao esta usando nem a metade do iptables, eu te aconselho a ler iptables.under-linux.org e fazer esse teu firewall stateful, com isso voce vai ter menos regras, e elas serao mais claras, olhando assim eu acho essas tuas regras muito complicadas para pouca coisa.

Se voce fizer o iptables stateful, 80% dos seus problemas vao sumir, desde que voce adeque suas regras a ela. Bom eh isso.

problema simples - iptables

Ferramentas de Tópicos