+ Responder ao Tópico



  1. #1

    Padrão Com Politica DROP nao navego

    Coloquei meu firewall com politica Padrao DROP ( INPUT, OUTPUT e FORWARD )

    só que após isso nao consigo navegar na internet.... as portas 80 e 3128 estao liberadas....

    Aí comentei as linhas da politica padrao, e dei DROP apenas nas conexoes syn tcp de INPUT, OUTPUT e FORWARD... aí navegou de boa....

    Será que preciso fazer alguma liberaçao nos protocolos UDP ??

    Aliás, a politica padrao DROP, é DROP tanto para TCP quanto para UDP ??

    Desde já agradeço...

    Vlw

  2. #2

    Padrão

    Depende cara...O seu DNS ta antes ou depois do FW??? Toda requisição DNS é em UDP...Verifica isso e posta ai...
    flw...

  3. #3

    Question

    E como é possível saber se o DNS está antes ou depois do Firewall? Já aproveitando a questão, como proceder em ambos os casos?

  4. #4

    Padrão

    vgimenes depende muito da estrutura da sua rede e de como o firewall está funcionando...mas geralmente com um traceroute pro ip do dns dá pra verificar...

    mastellaro, dá um ping para um nome da internet. Ex: ping Google verifica se ele resolve o nome. Se não resolver talvez seja esse o problema...

  5. #5

    Padrão

    Citação Postado originalmente por Magnun Leno da Silva Ver Post
    vgimenes depende muito da estrutura da sua rede e de como o firewall está funcionando...mas geralmente com um traceroute pro ip do dns dá pra verificar...

    mastellaro, dá um ping para um nome da internet. Ex: ping Google verifica se ele resolve o nome. Se não resolver talvez seja esse o problema...
    blza... vou fazer um teste amanha cedinho e retorno... valeu pelas dicas....

    entao confirmando... se eu dei um -P DROP no INPUT, OUTPUT e FORWARD eu to dropando tanto tcp quanto udp ??

    vlw

  6. #6

  7. #7
    marlosboutin
    Visitante

    Padrão Com DROP não navego

    OPA, seguinte na tua máquina tá rodando só o firewall?
    pq vc quer regular a saída pra DROP?
    libere a saída e teste
    acrescente as seguintes regras
    iptables -A INPUT -s xxx.xxx.xxx.xxx/xx -p udp --dport 53 -j ACCEPT

    e veja se navega (tá liberando a solicitação DNS da tua rede interna ( troque o xxx pela tua rede / máscara, ex: 192.168.1.0/24) ok?
    posta o resultado ou o teu script de firewall pra dar uma olhada.
    Um abraço

  8. #8

    Padrão

    Citação Postado originalmente por marlosboutin Ver Post
    OPA, seguinte na tua máquina tá rodando só o firewall?
    pq vc quer regular a saída pra DROP?
    libere a saída e teste
    acrescente as seguintes regras
    iptables -A INPUT -s xxx.xxx.xxx.xxx/xx -p udp --dport 53 -j ACCEPT

    e veja se navega (tá liberando a solicitação DNS da tua rede interna ( troque o xxx pela tua rede / máscara, ex: 192.168.1.0/24) ok?
    posta o resultado ou o teu script de firewall pra dar uma olhada.
    Um abraço
    a minha dúvida era essa... se quando eu dropo geral eu, tb estaria dropando udp.... e outra... pra mim q dns nao usava udp... provavelmente é isso.. eu tenho regra liberando a porta 53 mas apenas para tcp.... Vou testar e posto o resultado...

    Valeu ae...

  9. #9

    Padrão

    Citação Postado originalmente por marlosboutin Ver Post
    OPA, seguinte na tua máquina tá rodando só o firewall?
    pq vc quer regular a saída pra DROP?
    libere a saída e teste
    acrescente as seguintes regras
    iptables -A INPUT -s xxx.xxx.xxx.xxx/xx -p udp --dport 53 -j ACCEPT

    e veja se navega (tá liberando a solicitação DNS da tua rede interna ( troque o xxx pela tua rede / máscara, ex: 192.168.1.0/24) ok?
    posta o resultado ou o teu script de firewall pra dar uma olhada.
    Um abraço
    Certo, vamos aos resultados... fiz a regra de udp para a porta 53 e agora naveguei na internet... porém minha dúvida é a seguinte, quais portas devo liberar pra UDP ???
    25 ???
    110 ???
    139 ??
    135 ??
    e outra, depois que dei DROP geral, eu nao consigo mais pingar a matriz de minha VPN, mesmo eu liberando a porta 5000 para udp e tcp, porém, consigo acessar a mesma por ssh... alguém sabe o que pode ser ??

    Estou no aguardo... Obrigado

  10. #10

    Padrão

    as portas 25 e 110 precisam de liberaçao no udp, só consegui enviar e receber emails depois que liberei....

    Estou postando minhas portas liberadas.... vcs poderiam dar uma olhada.. e se tiver alguma em q eu precise liberar udp, ja irei fazendo...


    iptables -A FORWARD -p tcp --destination-port 25 -j ACCEPT #Porta SMTP
    iptables -A FORWARD -p tcp --destination-port 53 -j ACCEPT #Porta DNS
    iptables -A FORWARD -p tcp --destination-port 80 -j ACCEPT #Porta HTTP
    iptables -A FORWARD -p tcp --destination-port 110 -j ACCEPT #Porta POP3
    iptables -A FORWARD -p tcp --destination-port 135 -j ACCEPT #Porta RPC
    iptables -A FORWARD -p tcp --destination-port 139 -j ACCEPT #Porta COMPARTILHAMENTO
    iptables -A FORWARD -p tcp --destination-port 443 -j ACCEPT #Porta HTTPS
    iptables -A FORWARD -p tcp --destination-port 445 -j ACCEPT #Porta SAMBA
    iptables -A FORWARD -p tcp --destination-port 1049 -j ACCEPT #Porta Necessária para envio de dados para SEFAZ
    iptables -A FORWARD -p tcp --destination-port 1276 -j ACCEPT #Porta Necessária CONECTIVIDADE SOCIAL
    iptables -A FORWARD -p tcp --destination-port 1723 -j ACCEPT #Porta Necessária CONECTIVIDADE SOCIAL
    iptables -A FORWARD -p tcp --destination-port 1863 -j ACCEPT #Porta MSN
    iptables -A FORWARD -p tcp --destination-port 2631 -j ACCEPT #Porta Necessária CONECTIVIDADE SOCIAL
    iptables -A FORWARD -p tcp --destination-port 3128 -j ACCEPT #Porta SQUID
    iptables -A FORWARD -p tcp --destination-port 3456 -j ACCEPT #Porta Necessária RECEITANET
    iptables -A FORWARD -p tcp --destination-port 5000 -j ACCEPT #Porta VPN
    iptables -A FORWARD -p tcp --destination-port 5017 -j ACCEPT #Porta CAT - Cadastramento de Acidentes de Trabalho
    iptables -A FORWARD -p tcp --destination-port 5592 -j ACCEPT #Porta CAT - Cadastramento de Acidentes de Trabalho
    iptables -A FORWARD -p tcp --destination-port 8080 -j ACCEPT #SEFAZ
    iptables -A FORWARD -p tcp --destination-port 8081 -j ACCEPT #CEMAT (SERVICOS ONLINE)

    Basicamente sao essas portas... coloquei FORWARD, mas tenho também liberacao de INPUT e OUTPUT, caso necessário, claro....

    Estou no aguardo, desde já agradeço...

  11. #11

    Padrão

    Bom dia pessoal.... mais uma:

    O skype trafega a UDP, nao trafega ??

    Como posso fazer pra liberar.. o skype se meu firewall ta Dropando geral ??

    O skype uma alguma porta específica ???

    Desde já agradeço...