Duvidas Regras IPTABLES

joao_barboza
(usa Fedora)

Enviado em 19/10/2009 - 11:41h

PESSOAL.... ALGUEM SABE SE ESTA REGRA DE IPTABLES EH A MAIS CORRETA?
LIBERAR INTERNET EM UMA MAQUINA DESKTOP COM ACESSO DIRETO A INTERNET ATRAVES DO MODEM ADSL, ONDE A POLITICA PADRAO EH DROP EM INPUT, OUTPUT E FORWARD.

echo "INICIANDO FIREWALL......"
#
#definindo politicas padrao
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#
#
#LIBERANDO ACESSO A INTERNET
iptables -A OUTPUT -p udp -s 192.168.10.2 -d 0/0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 -d 192.168.10.2 --sport -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.10.2 -d 0/0 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -d 192.168.10.2 -s 0/0 --sport 80 -j ACCEPT
iptables -A OUTPUT -p ICMP -s 192.168.10.2 -d 0/0 --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP -s 0/0 -d 192.168.10.2 --icmp-type 0 -j ACCEPT
#
#
#LIBERAR ACESSO AO MSN
iptables -A OUTPUT -p tcp -d login.live.com -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -p tcp --sport 1863 -j ACCEPT
#
#iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#
echo "....FIM DO FIREWALL"

Diede
(usa Debian)

Enviado em 19/10/2009 - 11:59h

João, uma coisa:
Você está tentando liberar a máquina 192.168.10.2, ou a máquina do firewall é 192.168.10.2?
Se a máquina onde o firewall será instalado não for a "192.168.10.2" seu firewall está incorreto.
A Chain OUTPUT é destinada para os pacotes cujo source seja a próprio máquina. Para permitir acesso de outra máquina, você deve usar INPUT e/ou FORWARD.

De qualquer forma, o mais correto seria ter este início:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

E... as outras regras vão depender da questão que levantei inicialmente (se sua máquina é a 192.168.10.2, ou se 192.168.10.2 é uma máquina que será liberada.)

joao_barboza
(usa Fedora)

Enviado em 19/10/2009 - 12:03h

Exatamente, a maquina que estou liberando o acesso a internet e msn eh a maquina firewall (192.168.10.2), minha duvida eh se estas regras estao corretas, pois na chain INPUT --sport 53 . sport 80, --sport 1863, nao esta abrindo portas no eu firewall 80, 53 e 1863?? nao fica vulnervel desta forma?

Abraços

Diede
(usa Debian)

Enviado em 20/10/2009 - 09:51h

Como sua máquina é a 192.168.10.2, você pode ignorar os IP's nas regras.

Deixe desta forma:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
#PS: Quem responde com sport = 80 é só o servidor, não você.
#Não precisa por IP na chain OUTPUT.
#Não precisa por "-d 0/0 " ele é o padrão.
iptables -A OUTPUT -p ICMP -i lo --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type 0 -j ACCEPT

iptables -A OUTPUT -p tcp -d login.live.com -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT

#Quem responde na sport 1863 é o servidor
#iptables -A INPUT -p tcp --sport 1863 -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

PS:
Na verdade, você está abrindo apenas portas para saída, o que não implica em vulnerabilidade.
Se sua máquina for um gateway, daí a história é diferente, mas ao que vejo é apenas sua máquina, certo?