AJUDA!!!! - Script de configuração do IPTABLES. [RESOLVIDO]

1. AJUDA!!!! - Script de configuração do IPTABLES. [RESOLVIDO]

falconlinux
(usa Linux Mint)

Enviado em 06/05/2016 - 10:48h

Pessoal, bom dia.

Ainda estou iniciando no mundo linux, estou criando um servidor de teste para desenvolvimento web e quero criar um firewall com acesso apenas as portas que eu preciso para o desenvolvimento, mas toda vez que rodo o firewall não funciona, ele bloqueia tudo.

Alguém pode me ajudar??

Meu script:

#!/bin/bash

# Apagando todas as regras
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

# Mudando a politica - Começa bloqueando tudo
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Libera conexões pre-estabelecidas
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Liberar acesso as portas pré-definidas - TCP
iptables -A INPUT -p tcp -s 192.168.0.0/32 --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/32 --dport 443 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/32 --dport 3306 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/32 --dport 445 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/32 --dport 111 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/32 --dport 8080 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/32 --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/32 --dport 6379 -m state --state NEW -j ACCEPT

# Liberar acesso as portas pré-definidas - UDP
iptables -A INPUT -p udp -s 192.168.0.0/32 --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp -s 192.168.0.0/32 --dport 3306 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp -s 192.168.0.0/32 --dport 445 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp -s 192.168.0.0/32 --dport 2049 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp -s 192.168.0.0/32 --dport 111 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp -s 192.168.0.0/32 --dport 6379 -m state --state NEW -j ACCEPT

0 0

Quote

2. Re: AJUDA!!!! - Script de configuração do IPTABLES.

Buckminster
(usa Debian)

Enviado em 06/05/2016 - 12:18h

Libere as portas na chain OUTPUT também.

Caso tu queiras que alguma máquina externa tenha acesso a esse servidor, deve liberar as portas na chain FORWARD também.
Pelas tuas regras (-s 192.168.0.0/32) tu deve liberar na chain FORWARD somente.

Lembre:

INPUT: para pacotes destinados ao próprio servidor, que entram de fora para o servidor.
OUTPUT: para pacotes que tem origem no próprio servidor, ou seja, tudo que o servidor cria e manda para fora dele.
FORWARD: para pacotes que passam pelo servidor, ou seja, com origem de máquinas externas e destino para outras máquinas externas.

Quando tu bloqueia uma porta na chain INPUT, o acesso a essa porta é bloqueado para pacotes destinados ao próprio servidor (ou máquina) onde está o Iptables.
Quando tu bloqueia uma porta na chain OUTPUT, o acesso a essa porta é bloqueado para pacotes que saem do servidor.
Quando tu bloqueia uma porta na chain FORWARD, o acesso a essa porta é bloqueado para pacotes que trafegam (passam) pelo servidor com destino e origem de máquinas externas.

1 0

Quote