nanatinho
(usa Debian)
Enviado em 09/08/2012 - 12:54h
"Colegas,
Mecho com ambiente windows a muito tempo, estou querendo prestar serviços diferentes para meus clientes, resolvi estudar a funda linux e suas ferramentas de administração de rede, estou lendo alguns artigos sobre iptables, li muito sobre o assunto e agora partir para a pratica, subi uma VM e estou brincando aqui com o iptables, eis a regra que crie:
# iptables -t filter -A INPUT -s minha_maquina -d servidor_linux -j DROP
bom no meu entendimento deveria bloquear somente o trafego que vai da minha_maquina para o servidor_linux correto? ele esta bloqueando o trafego inclusive do meu servidor para a maquina, vendo que ele se portava assim resolvi deixar explicito que a conexão do meu servidor para a maquina é permitido com a seguinte regra:
# iptables -t filter -A OUTPUT -s servidor_linux -d minha_maquina -j ACCEPT
mesmo assim não consigo pingar, alguém pode me explicar onde esta o problema?
vlw pessoal."
Boa tarde.
Como você está acessando na própria máquina (INPUT e OUTPUT), não funciona muito bem da forma como está pensando.
Neste caso caso bloqueio apenas INPUT, consequentemente não conseguirá estabelecer nenhuma conexão mesmo que não tenha bloqueado a OUTPUT.
Porquê? Porque para estabelecer uma conexão, precisa tanto do tráfego de entrada quanto do de saída, caso bloqueie um dos dois, irá bloquear o outro, neste caso específico das regras que criastes.
Experimente, apenas mudar de idéia, ao invés de bloquear, libere, tipo:
Crie a política padrão como DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
E a partir daí começe a liberar tudo que precise.
# liberando ssh
iptables -A INPUT -p tcp -s IPouREDE -d IPINTERFACEFIREWALL --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -d IPouREDE -s IPINTERFACEFIREWALL --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
Neste caso específico, quando aplicada estas regras, conseguirá apenas acesso ssh para este equipamento, e nada mais, pois tudo mais está bloqueado.
OBS: Ao aplicar a política padrão como DROP tudo será bloqueado, a menos que expressamente liberado (criado regra com ACCEPT).
Abraço e fique com DEUS!!!