IPTABLES DANIFICADO

adircastro
(usa Debian)

Enviado em 31/08/2007 - 22:31h

Olá,

Estranhamente, depois que usei o comando iptables-save >/etc/init.d/iptables.conf o meu iptables ficou como mostrado abaixo.

Usei o comando iptables-restore </etc/init.d/iptables.conf na tentativa de que ele voltasse àquela forma mais agradável de trabalhar e ler, mas não deu certo. Continua do mesmo jeito.

O que pode ser isso? Será que "bombei" meu firewall e tenho que refazê-lo?

-----------------------------------------------------------------------------------------------
# Generated by iptables-save v1.3.6 on Thu Aug 30 18:06:45 2007
*mangle
:PREROUTING ACCEPT [59812:17918694]
:INPUT ACCEPT [42377:16269286]
:FORWARD ACCEPT [2378:196830]
:OUTPUT ACCEPT [55748:18587338]
:POSTROUTING ACCEPT [57664:18745720]
COMMIT
# Completed on Thu Aug 30 18:06:45 2007
# Generated by iptables-save v1.3.6 on Thu Aug 30 18:06:45 2007
*nat
:PREROUTING ACCEPT [16045:1566111]
:POSTROUTING ACCEPT [919:56206]
:OUTPUT ACCEPT [8304:567631]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth2 -j MASQUERADE
COMMIT
# Completed on Thu Aug 30 18:06:45 2007
# Generated by iptables-save v1.3.6 on Thu Aug 30 18:06:45 2007
*filter
:INPUT ACCEPT [42377:16269286]
:FORWARD ACCEPT [2152:186038]
:OUTPUT ACCEPT [55286:18548890]
-A INPUT -p tcp -m tcp --dport 21 -j LOG --log-prefix "Servico FTP"
-A INPUT -p tcp -m tcp --dport 5042 -j LOG --log-prefix "Servico Wincrash"
-A INPUT -p tcp -m tcp --dport 12345 -j LOG --log-prefix "Servico BackOrifice"
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A FORWARD -d 208.65.153.238 -j DROP
-A FORWARD -d 208.65.153.251 -j DROP
-A FORWARD -d 208.65.153.253 -j DROP
-A OUTPUT -d 208.65.153.238 -j DROP
-A OUTPUT -d 208.65.153.251 -j DROP
-A OUTPUT -d 208.65.153.253 -j DROP
COMMIT
# Completed on Thu Aug 30 18:06:45 2007

elgio
(usa OpenSuSE)

Enviado em 10/09/2007 - 14:48h

Está certo.
O comando save do iptables salva as regras em um formato de leitura MAIS RÁPIDA, mas não legível para nós.

Em um script, cada regra faz uma nova chamada do iptables, com o sabe, o iptables é chamado uma unica vez e restaura as definições.

Eu, particularmente, não gosto. Prefiro o script, mas legível, até porque qual o impacto de perder 5 segundos para iniciar o firewall se eu não o faço minuto a minuto?

juno
(usa Linux Mint)

Enviado em 13/09/2007 - 18:38h

Cara,
Se você não tiver nenhum backup ele vai ficar dessa forma, aí então vai ter que reescrever as regras...

Falou =)