Ordem no iptables, como funciona? [RESOLVIDO]

TTFaria
(usa Outra)

Enviado em 04/12/2011 - 01:05h

Boa noite galera, sou novo no fórum, e este é meu primeiro tópico.

Recentemente tive más experiências com diversos ataques utilizando o sistema SYN+IP-Spoofing.
Meu sócio que atua na área de redes, não é especialista nesta área de PROTEÇÃO, mas sempre tentava dar um jeito. Só que cheguei a um momento que me estressei com a situação, cheguei a lê mais de 140 páginas de artigos completos e comentários em apenas 4h. Conseguindo assim, adquirir uma grande base no entendimento e funcionamento das regras e comandos do todo PODEROSO iptables.

Porém recentemente estou com algumas dúvidas na seguinte questão: Como funciona a ordem de regras do iptables? Como deve ser a ordem correta para aplicar regras de bloqueio e liberações?

Caso necessário envio minha regra aqui para uma possível avaliação.

Att,
Vinicius Faria.

renato_pacheco
(usa Debian)

Enviado em 04/12/2011 - 02:07h

TTFaria, o iptables lê as regras na ordem q for inserido, de acordo com cada tabela (ex.: tabela nat tem as suas regras totalmente separadas da tabela filter). Se o iptables ler um bloqueio, ele não consegue liberar depois, pois já tá bloqueado. Outra forma q existe no iptables são as políticas, ou seja, vc pode iniciar (em cada tabela) com tudo bloqueado ou com tudo liberado (ex.: "iptables -P INPUT DROP" significa q tudo q entra no firewall começa bloqueado, bastando acrescentar apenas aquilo q for liberado). A política economiza nas regras e pesa menos em processamento...

Se ficou meio confuso, diga ae!

TTFaria
(usa Outra)

Enviado em 04/12/2011 - 02:12h

Perfeito, no caso do bloqueio de todas as portas como este modelo:

# Bloqueando todas as portas;
iptables -A INPUT -p tcp --dport 0:65535 -j REJECT;
iptables -A INPUT -p udp --dport 0:65535 -j REJECT;
iptables -A FORWARD -p tcp --dport 0:65535 -j REJECT;
iptables -A FORWARD -p udp --dport 0:65535 -j REJECT;

O mesmo deve ser inserido posteriormente a tudo?

O correto não seria inserir o mesmo antes de tudo e posteriormente liberar o que eu preciso? Ou neste caso é aocontrario?

Att,
Vinicius Faria

renato_pacheco
(usa Debian)

Enviado em 04/12/2011 - 02:30h

Neste caso é ao contrário, a política tem a sua exceção. Se vc bloqueia todas as portas para todos, não tem como liberar um IP pra uma determinada porta depois dessas regras. Como disse, a política já faz esse papel d bloquear tudo pra vc com apenas uma linha (considerando uma chain d uma tabela).

TTFaria
(usa Outra)

Enviado em 04/12/2011 - 14:06h

Então, pois eu fiz essa regras e liberei so algumas portas, só que os ataques na port 21 aindam continuam e tive que fazer uma regra de modulo limit para para-la, mas como conseguiram atacar se eu nem liberei essa porta e nem a utilizo?

Por isto estou achando que estou fazendo algo errado.

saitam
(usa Slackware)

Enviado em 04/12/2011 - 19:06h

inicie as regras do firewall com DROP em INPUT, FORWARD, OUTPUT e apenas libere os serviços em uso.

PS: verifique também se tem algum serviço startado que não esta em uso.

faça um teste com nmap -O ipdoservidor para checar as portas abertas/fechadas

TTFaria
(usa Outra)

Enviado em 05/12/2011 - 09:46h

Bom, mesmo com o bloqueio de tudo, estarei instalando o portsentry.

Obrigado.