Logica usada pelo iptables

[Bravo]

Pessoal, desculpem mas abri outro topico pq no topico anterior eu coloquei o script errado...iria ser uma bagunca.....mas abaixo eu coloquei minhas regras, mas o que esta acontencendo 'e que o skype esta passando pelo firewall.....eu nao to entendendo, eu liberei as portas necessarias e dropei o resto, pq o skype esta passando????...me expliquei a logica usada pelo iptables



# Linpando Regras
iptables --flush
iptables -t nat --flush

# Liberando Loopback
iptables -A INPUT -i lo -j ACCEPT

# Mascaramento
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


# Liberando portas necessarias
iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 8080 -j ACCEPT


# Libera PcAnywhere
iptables -A FORWARD -p tcp --dport 5631:5632 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp --dport 5631:5632 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Librando acesso ao Squid
iptables -A INPUT -i eth1 -p tcp --dport 3128 -s 192.168.0.0/24 -j ACCEPT

#redirecionando porta 80 para forcar usar a porta 3128
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Libera porta pra acesso local
iptables -A INPUT -i eth1 -p tcp --dport 22 -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

# Redirecionando pcanywhere p/ dentro da rede
iptables -t nat -A PREROUTING -t nat -p tcp -d 10.0.0.100 --dport 5631:5632 -j DNAT --to 192.168.0.10:5631:5632
iptables -t nat -A PREROUTING -t nat -p udp -d 10.0.0.100 --dport 5631:5632 -j DNAT --to 192.168.0.10:5631:5632

# Bloqueia tudo que passa pelo firewall
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -j DROP
iptables -A INPUT -j DROP

echo "------------- REGRAS DO FIREWALL ATIVADA ------------"

[jrcampos82]

cara faça o seguinte , Dropeia tudo primeira depois vc vai liberando oq vc precisa essa é a melhor política de firewall.

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

soh isso

qual a diferenca entre dropar antes ou depois ???....qual o mais seguro:???

[Patrick]

faça como disse o jrcampos82
coloque aquelas 3 regras no inicio do seu script e depois vai aceitando o que tem que passar.

falou
8)

[sadirj]

Através do iptraf por exemplo, verifique a possibilidade do SKYPE estar saindo encapsulado pela porta 80 ou 443, que estão abertas no seu script... Alguns programas, quando possível, usam dessa alternativa para burlar problemas de firewall.

Abraços.

[cag]

É bem isso que o sadirj escreveu.

Quando a porta 80 estiver fechada, o skype utiliza a porta 443 para conectar.

Você só vai conseguir barrar o skype utilizando o "l7-filter", ou barrando no firewall o servidor que o skype utiliza para conectar.

No wiki da underlinux tem um artigo sobre o l7-filter.

valeu