Problema com Iptables

[blahh]

seguinte, no meu firewall tenho uma regra para bloquear o jabber com layer7:

iptables -A FORWARD -m layer7 --l7proto jabber -j DROP

só que quero liberar determinado servidor jabber para que as maquinas tenham acesso a ele...

como minha politica é DROP, ou seja, bloqueio tudo e libero so o que eu quero fiz o seguinte:

substitui a regra acima por:
iptables -A FORWARD -m layer7 --l7proto jabber ! -d xxx.xxx.xx.x -j DROP

mas o bloqueio para o servidor que liberei na excessão continua....

[Fabio K. Lima]

blah, voce precisa utilizar a ordem de verificacao e aplicacao das regras no iptables, que diz o seguinte: na chain em questao, regra por regra é verificada. se determinado pacote bater com determinada regra, as demais serao ignoradas. Isso nao se aplica apenas para destinos de LOG, onde a regra que bate com o mesmo pacote a seguir podera ser lida. Logo, no seu caso, crie regras liberando os servidores jabber que voce precisa, deixando pra bloquear por ultimo.


iptables -A FORWARD -m layer7 --l7proto jabber -d ip_servidor_1 -j ACCEPT
iptables -A FORWARD -m layer7 --l7proto jabber -d ip_servidor_2 -j ACCEPT
iptables -A FORWARD -m layer7 --l7proto jabber -d ip_servidor_3 -j ACCEPT
iptables -A FORWARD -m layer7 --l7proto jabber -j DROP

Assim, se a conexao for para o servidor 1, 2 ou 3, a regra ACCEPT será aplicada, e o kernel nao irá verificar a proxima regra, que é DROP. Caso a conexao seja para qualquer outro servidor JAbber que nao s 3 primeiros, ele irá negar.

Espero ter ajudado.

Fabio
LPIC

[blahh]

cara, eu ja tinha testado desse jeito, mas não funciona, ele bloqueia geral....

[Fabio K. Lima]

Voce tem outras regras além dessas para o protocolo Jabber ?

[joseguilherme]

Se vc tá bloqueando tudo blahh, provavelmente deve estar faltando a regra de volta.
Vc liberou o dst, e o src pra quando voltar do server jabber?