Ola, estou fazendo uns estudos de firewall e estou empancado na seguinte situacao.
Setei DROP para todas as chains como padrao.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
#FIM
meu firewall é essa coisa simples, minha ideia é fazer pelomenos a maquina firewall acessar a web livremente entretanto ela não esta acessando nada até que eu sete as chains como ACCEPT. O que tem de errado nele?
-
21-04-2007, 23:26 #1
- Ingresso
- Aug 2005
- Posts
- 42
simples, DROP = NAO LIBERA NADA nem com ACCEPT na 80
-
22-04-2007, 00:23 #2
- Ingresso
- Jan 2004
- Posts
- 177
cara eu estou fazendo a mesma coisa e eu consegui fazer segue abaixo
#! /bin/bash
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -A INPUT -p ALL -i lo -j ACCEPT
iptables -t filter -A OUTPUT -p ALL -o lo -j ACCEPT
iptables -t filter -A INPUT -p ALL -s 0/0 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTPUT -p ALL -s 192.168.0.0/24 -d 0/0 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -t filter -A FORWARD -p ALL -s 192.168.0.0/24 -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -p ALL -s 0/0 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -p tcp -s 192.168.0.0/24 -d 0/0 -m multiport --dports 80,53 -j ACCEPT
iptables -t filter -A FORWARD -p udp -s 192.168.0.0/24 -d 0/0 -m multiport --dports 80,53 -j ACCEPT
iptables -t nat -A POSTROUTING -p ALL -o ppp0 -s 192.168.0.0/24 -d 0/0 -j MASQUERADE
iptables -t filter -A INPUT -p TCP -s 0/0 -d 192.168.0.1 --destination-port 22 -j ACCEPT
iptables -t filter -A OUTPUT -p TCP -d 0/0 -s 192.168.0.1 --source-port 22 -j ACCEPT
agora gostaria de saber do pessoal se em vez de eu usar a chain FORWARD eu posso usar a OUTPUT e como ficaria a regra sendo que as regras que liberam a 80 e 53 eu troquei de FORWARD por OUTPUT e não funciono
ou tem que ser FORWARD mesmo
obrigado
-
22-04-2007, 08:05 #3
- Ingresso
- Aug 2005
- Posts
- 42
Ola Peregrino, na verdade essas duas regras:
iptables -t filter -A INPUT -p ALL -s 0/0 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTPUT -p ALL -s 192.168.0.0/24 -d 0/0 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
Esta contradizendo quando vc impoe a politica padrao DROP para INPUT/OUTPUT, pq com essas linhas vc esta liberando tudo para qualquer ip da rede 192.168.0.0/24 e em qualquer porta.
Quando voce quiser que todos as regras entrem em vigor em todos os protocolos nao precisa dar -p ALL, pelo simples fato de vc omitir o "-p" ele entendera que vc deseja aplicar aquilo a todos os protocolos.
Postado originalmente por peregrino
-
22-04-2007, 10:31 #4
- Ingresso
- Oct 2005
- Posts
- 465
Kra veja bem q vc dropou tudo até a forward que é responsável por repassar o pacote entre as placas, se a sua ideia for colocar o modem em uma placa e na outra placa a LAN e quiser que todos da LAN acessem a net ai vc tem q libera o forward..
Outra coisa que eu acho que vc deve estar tendo dificuldades é em entender a funcionalidade das tabelas, são o seguinte:
INPUT: Manipula pacotes que entram no servidor, ou seja, se vc quer manipular um pacote que vaí entrar no servidor (que são quase todos).
OUTPUT: Manipula pacotes que saem do servidor, ou seja, pacotes gerados pelo servidor e que ele envia na rede.
FORWARD: Manipula pacotes que irão ser repassados de uma placa a outra no servidor, ou seja, o pacote entra na eth1 e sai pela eth0, por exemplo. Para usar esta tabela é necessário mais de uma placa de rede no server.
Tente qd for liberar a porta 80 o seguinte:
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -i eth0 -p tcp --dport 80 -j ACCEPT
Depois da uma olhadinha no guia foca pra vc entender melhor o funcionamento das tabelas e chains do iptables:
Guia Foca GNU/Linux - Firewall iptables
-
22-04-2007, 12:05 #5
- Ingresso
- Jan 2004
- Posts
- 177
mas aqui eu so estou liberando pacotes ESTABLISHED,RELATED,NEW e as portas continuam fechadas ou estou errado agora o -p ALL eu coloco mais para saber o que eu estou fazendo por motivos de estudo Postado originalmente por jvictorfc
-
22-04-2007, 13:48 #6
- Ingresso
- Aug 2005
- Posts
- 42
Ola ,
No caso estou efetuando os testes na propria maquina firewall, ela não compatilha internet, possui apenas uma placa de rede, então o forward esta descartado ao meu ver.
Quanto á:
"""" Tente qd for liberar a porta 80 o seguinte:
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -i eth0 -p tcp --dport 80 -j ACCEPT""""
É exatamente o que estou tentando fazer, entretanto a diferenca é que não quero liberar o acesso na porta 80 dessa minha mesma máquina como vc citou na primeira regra. Libera tudo que chega na INPUT com destino a porta 80. Tudo que eu quero é fazer essa mesma maquina onde estou configurando o firewall acessar apenas web. Obrigado
Postado originalmente por tuxson
-
22-04-2007, 21:08 #7
- Ingresso
- Apr 2007
- Posts
- 100
Vc esta esquecendo da porta 53, q e o DNS, tem q liberar tb na OUTPUT, ja q vc colocou como polita DROP.
vlw, posta ae se deu certo...
-
22-04-2007, 21:41 #8
- Ingresso
- Aug 2005
- Posts
- 42
Isso realmente tinha passado desapercebido, apesar de contas como iria ser feito a requisicao antes do acesso a web? Obrigado amigo!
Postado originalmente por wppitpmp
-
25-04-2007, 03:50 #9
- Ingresso
- Apr 2007
- Posts
- 100
blz, estamos ai pra isso...
Citação