Bloquear tudo e liberar o que for preciso [RESOLVIDO]

GuilhermeBR
(usa CentOS)

Enviado em 25/04/2010 - 01:41h

Pessoal,

Visando a segurança, quero bloquear tudo e ir liberando o que for preciso. Para bloquear tudo, defini a política padrão das chains, como DROP.

$iptables -P INPUT DROP
$iptables -P FORWARD DROP
$iptables -P OUTPUT ACCEPT

Inicialmente, quero deixar, somente a internet funcionando para as estações. Tentei fazer dessa forma:

$iptables -A FORWARD -p tcp --dport 80 -j ACCEPT

Só que as estações, ficam sem internet. Qual seria a regra correta? A internet só volta, qdo deixo a chain INPUT aberta, assim:

$iptables -A FORWARD -s 192.168.0.0/24 -d 0.0.0.0/0 -j ACCEPT
$iptables -A FORWARD -d 192.168.0.0/24 -s 0.0.0.0/0 -j ACCEPT

cpaynes
(usa Debian)

Enviado em 25/04/2010 - 21:52h

daee bixoo ...

habilita o roteamento no kernel ..
mascara a rede...
libera as portas de DNS ... smtp... http ...
e coloca uma regra pra aceita apenas as conexoes ja estabelecidas .. e novas nao ..
pq como tu blokeo td a entrada ...





# Manter conexoes jah estabelecidas para nao parar
$IPT -A INPUT -i $EXT_INTERFACE -m state --state ! ESTABILISHED,RELATED -j DROP
ou
#$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


#habilita op trafego loopback, obrigatorio para haver trafego entre pacotes
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i lo -j ACCEPT


# habilita o kernel ..
echo 1 > /proc/sys/net/ipv4/ip_forward


#mascara a rede

iptables -t nat -A POSTROUTING -o (placa de rede interna) -j MASQUERADE

# Liberando Porta 80 (http)
iptables -A INPUT -d (interface interna) -p tcp --dport 80 -j ACCEPT

# Liberando Porta 25 (smtp)
iptables -A FORWARD -s (rede interna) -p tcp --dport 25 -j ACCEPT


# Liberando Porta 465 (smtp-s)
IPTABLES -A FORWARD -s (rede interna) -p tcp --dport 465 -j ACCEPT

# Liberando porta 53 (DNS)
iptables -A FORWARD -s(rede interra) -p udp --dport 53 -j ACCEPT


qualquer coisa da um grito ai ..

abracos ..

GuilhermeBR
(usa CentOS)

Enviado em 25/04/2010 - 23:28h

Oi Cristhovam,

Já havia conseguido fazer, o meu problema, era que não estava liberando a porta do DNS (53). Mas mesmo assim, muito obrigado! =)

Ah, no meu caso, tive que carregar o módulo state, na chain INPUT e FORWARD. Tive que fazer na FORWARD tb, pq senão, tinha que fazer 2 regras pra cada porta liberada. Uma liberando a porta pra sport, e outra pra dport.

magnolinux
(usa Debian)

Enviado em 26/04/2010 - 07:16h

isso mesmo amigo..

o modulo state, trabalha com o estado da conexão, como vc atribui DROP nas chains INPUT e FORWARD, o state, permite que vc crie condições por exemplo para pacotes que forem originados da rede interna possa entrar no firewall... Sem que vc tenha que ficar criando regras,,

Se tiver mais alguma duvida posta aí..

abraço..

cpaynes
(usa Debian)

Enviado em 26/04/2010 - 13:27h

verdade velho.. eu naum tinha me ligado nos modulos .. falha... ehehhehee

mas qualquer coisa posta aii ...

e se ja mato toda tua duvida aii ... coloca um resolvido la veio ..
akele abraco ..

GuilhermeBR
(usa CentOS)

Enviado em 26/04/2010 - 13:43h

Opa, tá lá.. =)