+ Responder ao Tópico



  1. #1

    Padrão Hierarquia no iptables

    Estou implementando um firewall, mais estou c/ duvidas na hierarquia de regras do iptables, como por exemplo, primeiro fecha-se a totalidade de direcionamentos, para depois abrir os direcionamentos especificos?

    Como por exemplo no caso de eu bloquear a acesso a porta 80 de todos os usuários, menos de alguns usuários especificos, como devo fazer?

    Assim?

    Bloqueia todos:
    iptables -t nat -A FORWARD -p tcp -s 192.168.0.0/24 --dport 80 -j REJECT
    Libera alguns:
    iptables -t nat -A FORWARD -p tcp -s 192.168.0.1/24 --dport 80 -j ACCEPT
    iptables -t nat -A FORWARD -p tcp -s 192.168.0.2/24 --dport 80 -j ACCEPT

    Desde ja agradeço a atenção.

  2. #2

    Padrão Hierarquia no iptables

    Kara primeiro deve-se fechar tudo:

    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    Depois libera-se o que é confiável. Na minha opnião, porta por porta vinculado com interfaces e endereços de I/O. Desta forma vc consegue efetuar uma "sintonia fina" no firewall.

    Abraços

    :good: :good: :good:

    mtec

  3. #3

    Padrão Hierarquia no iptables

    Citação Postado originalmente por mtec
    Kara primeiro deve-se fechar tudo:

    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    Certo mais no meu caso é um pouco mais complicado, precisava de algo como:
    iptables -P FORWARD --p tcp -s 192.168.0.0/24 --dport 80 -j REJECT
    só q infelismente o -P não suporta essa condição, por isso gostaria de saber se:
    iptables -t nat -A FORWARD -p tcp -s 192.168.0.0/24 --dport 80 -j REJECT
    iptables -t nat -A FORWARD -p tcp -s 192.168.0.1/24 --dport 80 -j ACCEPT
    iptables -t nat -A FORWARD -p tcp -s 192.168.0.2/24 --dport 80 -j ACCEPT

    Fariam o mesmo papel de:
    iptables -P FORWARD DROP
    iptables -t nat -A FORWARD -p tcp -s 192.168.0.1/24 --dport 80 -j ACCEPT
    iptables -t nat -A FORWARD -p tcp -s 192.168.0.2/24 --dport 80 -j ACCEPT

  4. #4

    Padrão Hierarquia no iptables

    Citação Postado originalmente por EduLucas
    Citação Postado originalmente por mtec
    Kara primeiro deve-se fechar tudo:

    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    Certo mais no meu caso é um pouco mais complicado, precisava de algo como:
    iptables -P FORWARD --p tcp -s 192.168.0.0/24 --dport 80 -j REJECT
    só q infelismente o -P não suporta essa condição, por isso gostaria de saber se:
    iptables -t nat -A FORWARD -p tcp -s 192.168.0.0/24 --dport 80 -j REJECT
    iptables -t nat -A FORWARD -p tcp -s 192.168.0.1/24 --dport 80 -j ACCEPT
    iptables -t nat -A FORWARD -p tcp -s 192.168.0.2/24 --dport 80 -j ACCEPT

    Fariam o mesmo papel de:
    iptables -P FORWARD DROP
    iptables -t nat -A FORWARD -p tcp -s 192.168.0.1/24 --dport 80 -j ACCEPT
    iptables -t nat -A FORWARD -p tcp -s 192.168.0.2/24 --dport 80 -j ACCEPT
    Kara FORWARD não pertence a tabela nat. A Opção "P" é utilizada para estabelecer uma politica considerada Padrão.
    no caso de uma FORWARD, como acima... use iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 80 -j DROP (isso como exemplo).

    Faça melhor... de um man em iptables (comando de paginas de manual) e procure saber mais na Internet sobre conceitos de firewall. Tmb aconselho usar o guia Foca... A parte de firewall é muito bem documentada.

    No mais o que precisar é só postar.

    :good: :good: :good:

    mtec

  5. #5
    SnifferSp
    Visitante

    Padrão Hierarquia no iptables

    blz mano entao www.focalinux.cipsga.org.br/

    tem um manual de iptables MUITO bom.

    da uma lida nele

  6. #6

    Padrão Hierarquia no iptables

    cara..

    uma coisa interessante seria vc amarar o IP ao MAC

    e depois criar sub-redes..

    assim vc iria liberar por sub-rede e nao por cliente...

    valew

  7. #7

    Padrão Hierarquia no iptables

    cara, vc ta usando a mascara certa msm?
    /24? nao era pra ser /32 nao? []´s

  8. #8

    Padrão Hierarquia no iptables

    Citação Postado originalmente por japaeye4u
    cara, vc ta usando a mascara certa msm?
    /24? nao era pra ser /32 nao? []´s
    bem lembrado...

    na havia atendado para isso...

    qdo se trata de IP específico...

    vc deve usar mascara de 32 bits

  9. #9

    Padrão Hierarquia no iptables

    Galera... o Kara é novato no assunto !!

    Acho ele melhor ele primeiro dar uma estudada !!

    :good: :good: :good:

    mtec

  10. #10
    fpmazzi
    Visitante

    Padrão Hierarquia no iptables

    agora fikei encucado, alguem pode me explicar pq qdo o host eh especidifico tenho que colocar a subnet com 32 bits e nao 24????

  11. #11

    Padrão Hierarquia no iptables

    bits representam o octetos de uma rede classe C totalmente preenchidos:

    255.255.255.0
    8 . 8 . 8 . 0

    ou seja 3X8 = 24

    Quando se trata do próprio host então a referência de máscara são 32 bits !!

    :good: :good: :good:

    mtec

  12. #12
    fpmazzi
    Visitante

    Padrão Hierarquia no iptables

    sim, q cada octeto eh 8bits e ke a mask 255.255.255.0 eh respresentadada por todos os bits dos tres primeiros octetos eu sei. oq ew quero saber eh pq tem ke ser assim com 32bits ou seja 255.255.255.255 e nao com os 24 bits ... tem algo relacionado a broadcast ou algo do tipo ...
    tendew a duvida... ew kero sber tecnicamente pq tem ke ser 32 pro host e nao 24 sendo ke ele ta numa submask de 24bits ....

    pois sei ke ficaria esse 8.8.8.0 assim 11111111.11111111.11111111.00000000
    8 . 8 . 8 . 0
    255 . 255 255 . 0

    rede: 192.168.100.0/24 e o host tem ke ser 192.168.100.15/32?

  13. #13

    Padrão Hierarquia no iptables

    "Se a máscara de rede for 32 e o endereço for IPv4, então o valor não indica uma sub-rede, mas somente um único hosperdeiro."

    Para outros esclarecimentos, dê uma olhada em http://www.javalinux.com.br/pg74/dat...net-types.html. Tem alguma informações interessantes !!

    :good: :good: :good:

    mtec

  14. #14

    Padrão Hierarquia no iptables

    entao...

    qdo a máscara é de 24 bits, está relacionada a uma classe C,

    mas qdo usamos apenas um IP devemos colocar mascara de 32 bits, assim é interpretado como sendo apenas 1 IP, se colocassemos /24 entenderia q seria uma rede inteira...

    nao sei se soube de explicar...

  15. #15

    Padrão Hierarquia no iptables

    tipo...

    veja a tabela..

    __________________________________________________________________________
    |Potência - Hexa - Bits - Final da mascara - Qtde de redes|
    ---------------------------------------------------------------------------
    | 2^0 = 1 = 32 = 255 - 0 |
    ---------------------------------------------------------------------------
    | 2^1 = 2 = 31 = 254 - 128 |
    ---------------------------------------------------------------------------
    | 2^2 = 4 = 30 = 252 - 64 |
    ---------------------------------------------------------------------------
    | 2^3 = 8 = 29 = 248 - 32 |
    ---------------------------------------------------------------------------
    | 2^4 = 16 = 28 = 240 - 16 |
    ---------------------------------------------------------------------------
    | 2^5 = 32 = 27 = 224 - 8 |
    ---------------------------------------------------------------------------
    | 2^6 = 64 = 26 = 192 - 4 |
    ---------------------------------------------------------------------------
    | 2^7 = 128 = 25 = 128 - 2 |
    ---------------------------------------------------------------------------
    | 2^8 = 256 = 24 = 0 - 1 |
    ---------------------------------------------------------------------------