certamente. vamos lá, com a opção -P você muda a política padrão das chains INPUT OUTPUT e FORWARD, que por padrão é ACCEPT. É interessante você ter em mente que estas chains estão na tabela filter, tabela padrão. Nesta tabela, INPUT 'armazenam' regras de entrada, onde o destino é seu servidor, firewall. Assim como OUTPUT as regras de saídas onde a origem dos pacotes são o seu servidor. Então, quando quero uma regra de bloqueio para controlar o acesso a um serviço de presente em um host, uso a INPUT. Quando eu quero que este servidor não acesse/origine/saiam conexões de origem local com destino a um serviço, ftp por exemplo, usamos o OUTPUT. Já a FORWARD, são regras que vão passar pelo firewall para chegar no seu destino, mais ou menos isso =].
Exemplo 1 - bloquear que pessoas pinguem este servidor (-P ACCEPT) iptables -t filter -p icmp -A INPUT -j DROP Neste caso, a política da chain INPUT é ACCEPT e nos estamos bloqueando um protocolo. Se a política padrão da chain INPUT fosse DROP, você teria que mudar o alvo de DROP para ACCEPT. Se você for imaginar isso em um futuro não tão distante, perceberá que usar a chain como ACCEPT, é uma corrida sem fim. Onde você terá que bloquear, bloquear e bloquear. No modo DROP, você perceberá que a incidência de liberação é bem menor que a de bloqueamento. Mas onde entram os logs ? Cara, tem 'n' funções, posso citar auditoria como exemplo. Mas também é um facilitador de gerenciamento de suas regras e de adição de novas. Exemplo 2 - permitir que pessoas pinguem este servidor (-P DROP) iptables -t filter -p icmp -A INPUT -j ACCEPT Ok, o server vai responder via icmp. Mas imagine que você tem regras mais restritivas, apenas um determinado host ou subrede podem pingar. Exemplo 3 - regra icmp restrita a x.x.x.x iptables -t filter -p icmp -A INPUT -s x.x.x.x -j ACCEPT Tranquilo, somente aceite pacotes icmp da origem especificada. Como eu posso melhorar isso com LOGS ? Cara, você logando todas as requisições barradas por uma regra. Isso irá facilitar você na auditoria de segurança e na criação de novas regras. like this Nov 14 09:19:05 darkstar kernel: [ 6529.379366] IN=eth0 OUT= MAC=00:24:25:0c:ed:61:00:24:25:0c:f5:b9:08:00 SRC=y.y.y.y DST=z.z.z.z LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=26308 DF PROTO=ICMP TYPE=8 CODE=0 ID=24690 SEQ=9 A partir deste log, você pode construir regras: você tem ali a interface de entrada, mac da origem, ip da origem, protocolo e bla bla. Como também você pode auditar as regras de accept, fica a seu gosto. =] 2014-11-14 8:43 GMT-03:00 valmicio de pieri <[email protected]>: > Depende se você teria a necessidade de gravar por exemplo cada conexão por > um determinada porta ex: um acesso remoto ou a algum sistema de câmeras > tal. .. > Em 14/11/2014 09:23, "Edmundo Gonçalves" <[email protected]> > escreveu: > > Olá pessoal! >> >> Gostaria de saber qual a melhor forma de se implementar o LOG do >> iptables, >> >> Atualmente eu utilizo as politicas padrões dessa forma >> >> iptables -P INPUT DROP >> iptables -P FORWARD DROP >> iptables -P OUTPUT ACCEPT >> >> e vou liberando conforme a necessidade, a minha duvida é: >> >> Em tudo que eu liberar seja no INPUT ou no FORWARD e eu coloco LOG? >> No OUTPUT que deixo ACCEPT seria necessário fazer o LOG de tudo? >> >> Desculpe se esse assunto for meio passado, mas eu realmente tenho essa >> duvida. >> >> Obrigado a todos! >> >> -- >> GUS-BR - Grupo de Usuários de Slackware Brasil >> http://www.slackwarebrasil.org/ >> http://groups.google.com/group/slack-users-br >> >> Antes de perguntar: >> >> http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao >> >> Para sair da lista envie um e-mail para: >> [email protected] >> --- >> Você recebeu essa mensagem porque está inscrito no grupo "Slackware Users >> Group - Brazil" dos Grupos do Google. >> Para cancelar inscrição nesse grupo e parar de receber e-mails dele, >> envie um e-mail para [email protected]. >> Para mais opções, acesse https://groups.google.com/d/optout. >> > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > > http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao > > Para sair da lista envie um e-mail para: > [email protected] > --- > Você recebeu essa mensagem porque está inscrito no grupo "Slackware Users > Group - Brazil" dos Grupos do Google. > Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie > um e-mail para [email protected]. > Para mais opções, acesse https://groups.google.com/d/optout. > -- Noilson Caio Teixeira de Araújo https://ncaio.wordpress.com https://br.linkedin.com/in/ncaio https://twitter.com/noilsoncaio -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.vivaolinux.com.br/artigo/Como-elaborar-perguntas-para-listas-de-discussao Para sair da lista envie um e-mail para: [email protected] --- Você está recebendo esta mensagem porque se inscreveu no grupo "Slackware Users Group - Brazil" dos Grupos do Google. Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para [email protected]. Para obter mais opções, acesse https://groups.google.com/d/optout.
