Re: (linux-br)Firewall duvidas

Wed, 13 Oct 2004 06:03:21 -0700 

Ol�,

> # mascaramento de IP
> iptables -t nat -A POSTROUTING -o eth0 -j SNAT -to 192.168.0.2

Voc� ta mascarando os ips que v�o sair para 192.168.0.2? N�o deveria
ser seu IP internet aqui?

> # permite conexoes TCP de saida
> iptables -A OUTPUT -p tcp -o $INTERFACE_EXT -j ACCEPT
> iptables -A INPUT -p tcp ! -syn -i $INTERFACE_EXT -j ACCEPT

Porque voc� n�o experimenta utilizar o iptables com an�lise de
estados? Reduz bastante o n�mero de regras de firewall.

> # dns UDP
> iptables -A OUTPUT -p udp -s 0.0.0.0/0 -dport 53 -o $INTERFACE_EXT -j ACCEPT
> iptables -A INPUT -p udp -s 0.0.0.0/0 -dport 53 -i $INTERFACE_EXT -j ACCEPT
> iptables -A OUTPUT -p tcp -s 0.0.0.0/0 -dport 53 -o $INTERFACE_EXT -j ACCEPT
> iptables -A INPUT -p tcp -s 0.0.0.0/0 -dport 53 -i $INTERFACE_EXT -j ACCEPT

Acho que voc� se confundiu acima. Se voc� queria aceitar o pacote de
volta, ent�o deveria ser --sport 53. As 2 linhas de baixo s�o
identicas.

> iptables -A INPUT -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 --dport 23 -i
> $INTERFACE_EXT -j ACCEPT

Ta aceitando Telnet pela interface externa?

Percebi que voc� n�o setou a politica default para drop, e nem criou
uma �ltima regra negando tudo. Como a pol�tica default � ACCEPT...

S� passam pelas chains INPUT e OUTPUT da tabela filter, as conex�es
DE/PARA o firewall em si. Ou seja, se uma m�quina na sua LAN, est�
tentando acessar uma m�quina fora da sua LAN (na internet por
exemplo), o pacote vai ser REPASSADO pelo firewall, pois ele n�o � o
destino. Ent�o a chain que vai cuidar desse repasse � FORWARD.
Se voc� est� tentando liberar o acesso as portas 80, 22, 21, etc...
para a sua rede acessar na internet, voc� tem que criar regras de
FORWARD.

Espero ter esclarecido alguma coisa!

Abra�o!
Alejandro Flores
---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br

Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html

Responder a