IPTABLES - liberar porta INPUT ou FORWARD? [RESOLVIDO]

mshonorato
(usa Debian)

Enviado em 16/02/2009 - 09:36h

E aí pessoal?

Quando eu vou liberar uma porta no fw, eu libero no INPUT ou no FORWARD?

Minha politica é assim:

$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

Diede
(usa Debian)

Enviado em 16/02/2009 - 11:10h

Depende da situação...

Para por exemplo liberar o acesso ao apache, seria a chain INPUT.
Já para liberar acesso das máquinas ao Apache em outra rede seria FORWARD.

richardandrade
(usa Debian)

Enviado em 16/02/2009 - 11:16h

Depende do que você quer.

INPUT = pacotes com destino o firewall
OUTPUT = pacotes com origem o firewall
FORWARD = pacotes que passaram pelo firewall


valeu e abraço.

richardandrade
(usa Debian)

Enviado em 16/02/2009 - 11:17h

Diede também depende da situação se o servidor web for em outra máquina... teria que fazer um NAT... então tudo depende da situação em que você está

valeu e abraço.

mshonorato
(usa Debian)

Enviado em 16/02/2009 - 12:51h

Eu quero liberar as portas 22, 80, 53...

A 22 então seria no INPUT e FORWARD?
A 80 e 53 seriam só no FORWARD?

E a porta 53 eu libero só o tcp ou tenho que liberar o udp tb?

Diede
(usa Debian)

Enviado em 17/02/2009 - 10:10h

As portas 22, 53 e 80 se forem para servidores na sua máquina, vão ser INPUT.
A porta 53 (DNS) é na maior parte do tempo usada sob UDP. Só ocorrem transferências sob TCP quando a resposta é maior que 512bytes (o que é raro).

mshonorato
(usa Debian)

Enviado em 17/02/2009 - 11:32h

Entendi Diede.

Essa máquina é um fw, nem monitor tem. Preciso acessar ela somente via ssh e que ela compartilhe internet.

Então no INPUT fica a porta 22 e no FORWARD ficam as portas (53 tcp e udp) e a porta 80, correto?

Diede
(usa Debian)

Enviado em 17/02/2009 - 12:00h

Ah... Ok... neste caso é isso mesmo...
22/tcp INPUT
53/udp FORWARD
53/tcp FORWARD
80/tcp FORWARD

mshonorato
(usa Debian)

Enviado em 17/02/2009 - 20:27h

É isso aí pessoal, valew!