IPTABLES CHAIN DROP [RESOLVIDO]

1. IPTABLES CHAIN DROP [RESOLVIDO]

marciano brito
jtdest

(usa CentOS)

Enviado em 28/07/2013 - 14:15h

ola pessoal , tenho um problema gostaria de compartilhar co vocês ,estou montando firewall no ubuntu server coisa básica só para compartilhamento de internet , mais gostaria quer as chain INPUT seja DROP
e chain FORWARD seja DROP também , na chain OUTPUT pode deixar ACCEPT mesmo ,sendo assim eu teria
quer libera as portas 443 https 80 http 53 dns na INPUT ok , o mesmo na fORWARD , não consigo navegar
dessa forma, se alguém tiver um exemplo de um firewall básico posta ai para me ajuda ,
agradeço ajuda de todos ok , valeu ...





  


2. Re: IPTABLES CHAIN DROP [RESOLVIDO]

Roberto Costa
asparion

(usa Ubuntu)

Enviado em 28/07/2013 - 19:40h

Boa noite..
cara para deixar bacaninha seu firewall crei uma chain com as portas a serem liberadas, e aponte as chain INPUT FORWARD E OUTPUT para ele, assim para liberar uma portas voce so adiciona na chain PORTAS e ele liberara para todas as outras chains



segue exemplo:

criaremos a chain PORTAS, nele voce adicionara as portas a serem liberadas

iptables -N PORTAS

em seguida apontes todas as outras chains para a chain PORTAS

iptables -t filter -I INPUT -j PORTAS
iptables -t filter -I FORWARD -j PORTAS
iptables -t filter -I OUTPUT -j PORTAS

obs: essas linhas devem estar acima de todas a outras linhas nas chains.....


agora vamos liberar as portas essenciais

iptables -t filter -A PORTAS -p tcp --dport 22 -j ACCEPT
iptables -t filter -A PORTAS -p udp --dport 53 -j ACCEPT
iptables -t filter -A PORTAS -p tcp --dport 80 -j ACCEPT
iptables -t filter -A PORTAS -p tcp --dport 443 -j ACCEPT
iptables -t filter -A PORTAS -p tcp --dport 3128 -j ACCEPT


adicionar as politicas nas chains

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT


ativar o compartilhamento

vim /etc/sysctl.conf

coloque 1 no lugar do 0 no ip_forward


mascarar a porta de saida eth0

iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE


salva tudo essa bagaça ai rsrsrs

iptables-save > /etc/sysconfig/iptables


com isso a internet ja e pra funcionar...

como esta seu squid?

se tiver manual voce tem de colocar o proxy manualmente no seu navegador..

faz um teste ai...

abraços



3. Re: IPTABLES CHAIN DROP [RESOLVIDO]

marciano brito
jtdest

(usa CentOS)

Enviado em 28/07/2013 - 21:57h

AMIGÃO DEU CERTO SIM , SO ACRESCENTEI ESSA REGAR iptables-A PORTAS -m estado - state ESTABLISHED, RELATED-j ACCEPT , COM CRIAÇÃO DESSA CHAIN VC MATOU O TRABALHO DE CRIA
O MONTE DE REGRAS , MAIS TENHO UMA DUVIDA , SE CASO EU FOCE FAZER REDIRECIONAR DE IP PARA UM DETERMINADO SERVIDOR , OU COISAS QUE SEJA PRECISO NA REDE DEPENDENTE DA NECESSIDADE , PRA TRABALHAR COM PREROUTING ISSO DESSA FORMA QUE VC ME ENSINOU NÃO ATRAPALHAVA ? SERA QUE VC ENTENDEU A PERGUNTA KKK, GOSTEI MUITA DO QUE VC ME PASSOU

OBRIGADO MESMO !!!!!



4. Re: IPTABLES CHAIN DROP [RESOLVIDO]

Roberto Costa
asparion

(usa Ubuntu)

Enviado em 30/07/2013 - 18:44h

Boa noite...







nao nao de boa pode usar o PREROUTING normal para os redirecionamentos...

exemplo tenho duas cameras e dois pcs que quero acessar de fora da minha rede

cam 1 192.168.1.200 porta 3777
cam 2 192.168.1.201 porta 3778

pc 1 192.168.1.100 porta 3388 ts
pc 2 192.168.1.101 porta 3389 ts

lembrando que o ts usa a porta 3389 entao o final vai sempre ser 3389

redirecionamentos para cameras

iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 3777 -j DNAT --to-destination 192.168.1.200:3777
iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 3778 -j DNAT --to-destination 192.168.1.201:3778


redirecionamento para pcs TS

iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 3388 -j DNAT --to-destination 192.168.1.100:3389
iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.101:3389


lembrando regras digitadas por linha de comando nao ficam salvas definitivamente, entao tem de salvar a bagaça rsrs


iptables-save


faz um teste ai com o que voce precisa, se resolvido marque como resolvido e melhor resposta...

abraço


5. Re: IPTABLES CHAIN DROP [RESOLVIDO]

marciano brito
jtdest

(usa CentOS)

Enviado em 31/07/2013 - 11:23h

valeu cara , um abraço .


6. Re: IPTABLES CHAIN DROP [RESOLVIDO]

Agleson
Agleson

(usa Debian)

Enviado em 02/08/2013 - 10:47h

asparion escreveu:

Boa noite..
cara para deixar bacaninha seu firewall crei uma chain com as portas a serem liberadas, e aponte as chain INPUT FORWARD E OUTPUT para ele, assim para liberar uma portas voce so adiciona na chain PORTAS e ele liberara para todas as outras chains



segue exemplo:

criaremos a chain PORTAS, nele voce adicionara as portas a serem liberadas

iptables -N PORTAS

em seguida apontes todas as outras chains para a chain PORTAS

iptables -t filter -I INPUT -j PORTAS
iptables -t filter -I FORWARD -j PORTAS
iptables -t filter -I OUTPUT -j PORTAS

obs: essas linhas devem estar acima de todas a outras linhas nas chains.....


agora vamos liberar as portas essenciais

iptables -t filter -A PORTAS -p tcp --dport 22 -j ACCEPT
iptables -t filter -A PORTAS -p udp --dport 53 -j ACCEPT
iptables -t filter -A PORTAS -p tcp --dport 80 -j ACCEPT
iptables -t filter -A PORTAS -p tcp --dport 443 -j ACCEPT
iptables -t filter -A PORTAS -p tcp --dport 3128 -j ACCEPT


adicionar as politicas nas chains

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT


ativar o compartilhamento

vim /etc/sysctl.conf

coloque 1 no lugar do 0 no ip_forward


mascarar a porta de saida eth0

iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE


salva tudo essa bagaça ai rsrsrs

iptables-save > /etc/sysconfig/iptables


com isso a internet ja e pra funcionar...

como esta seu squid?

se tiver manual voce tem de colocar o proxy manualmente no seu navegador..

faz um teste ai...

abraços


Esses comandos se aplicam no Debian também??




7. Re: IPTABLES CHAIN DROP [RESOLVIDO]

Roberto Costa
asparion

(usa Ubuntu)

Enviado em 02/08/2013 - 22:12h

Boa Noite!!!!
Sim é do mesmo jeito, a diferença e na ativação do compartilhamento

net.ipv4.ip_forward=1 


acho que é assim...








Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts