Re: (linux-br) Dúvida com Iptables

Junior Polegato - Linux Wed, 15 Aug 2007 12:06:12 -0700

Fernando Xavier escreveu:
> Olá amigos,
> Estou configurando umas regras de firewall no meu servidor. Todos os acessos 
> (postgres, apache, ssl, smb)  funcionam perfeitamente. Acontece que se tento 
> acessar uma página usando o servidor eu não consigo.
> Só consigo acessar páginas de internet usando o servidor se eu mudo a 
> política de INPUT para ACCEPT.
> O que mais devo mudar nas regras para que consiga acessar a internet usando 
> o servidor? No final segue meu iptables:
> Valeu!
> Abraços,
> Fernando
> http://www.compierebrasil.com.br
> http://www.adempiere.com.br
>
> Chain INPUT (policy DROP)
> target     prot opt source               destination
> ACCEPT     tcp  --  192.168.1.0/24       anywhere            tcp dpt:ssh
> ACCEPT     0    --  192.168.1.0/24       anywhere
> ACCEPT     tcp  --  192.168.1.0/24       anywhere            tcp 
> dpt:postgresql
> ACCEPT     tcp  --  192.168.1.0/24       anywhere            tcp dpt:www
> ACCEPT     tcp  --  192.168.1.0/24       anywhere            tcp 
> dpt:webcache
> ACCEPT     tcp  --  192.168.1.0/24       anywhere            tcp dpt:webmin
> ACCEPT     tcp  --  192.168.1.0/24       anywhere            tcp dpt:https
> ACCEPT     tcp  --  192.168.1.0/24       anywhere            tcp 
> dpts:netbios-ns:netbios-ssn
> ACCEPT     udp  --  192.168.1.0/24       anywhere            udp 
> dpts:netbios-ns:netbios-ssn
>
> Chain FORWARD (policy ACCEPT)
> target     prot opt source               destination
>
> Chain OUTPUT (policy ACCEPT)
> target     prot opt source               destination
> ACCEPT     tcp  --  192.168.1.0/24       anywhere            tcp 
> dpts:netbios-ns:netbios-ssn
> ACCEPT     udp  --  192.168.1.0/24       anywhere            udp 
> dpts:netbios-ns:netbios-ssn 
>


Olá,

        Para melhor expor seu iptables, mande sempre a saída do 
iptables-save.

        Você tem que aceitar as conexão requeridas pelo servidor em 
outras portas, além de outras firulas, basicamente:

# Previnindo ataques
iptables -A INPUT -m state --state INVALID -j REJECT
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec 
-j ACCEPT
iptables -A INPUT -p icmp -m icmp ! --icmp-type 8 -j ACCEPT

# Repita as três linhas abaixo para cada porta TCP
iptables -A INPUT -p tcp --dport <porta_tcp> --tcp-flags FIN,SYN,RST,ACK 
SYN -m limit --limit 2/sec -j ACCEPT
iptables -A INPUT -p tcp --dport <porta_tcp> ! --tcp-flags 
FIN,SYN,RST,ACK SYN -j ACCEPT
iptables -A INPUT -p tcp --dport <porta_tcp> -j REJECT

# Repita as duas linhas abaixo para cada porta UDP
iptables -A INPUT -p udp --dport <porta_udp> -j ACCEPT
iptables -A INPUT -p tcp --dport <porta_tcp> -j REJECT

# Aceitando tudo já conectado e verificado requerido pela máquina
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Rejeitar acesso de entrada. A política padrão do INPUT tanto faz com 
essa regra abaixo
iptables -A INPUT -j REJECT




-- 
Atenciosamente,

           Junior Polegato

           Um peregrino de problemas; Um pergaminho de soluções!
           Página Profissional: http://www.juniorpolegato.com.br

---------------------------------------------------------------------------
Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br

Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utilização da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html

Re: (linux-br) Dúvida com Iptables

Responder a