Firewall/Iptables

navegador17
(usa Debian)

Enviado em 18/05/2009 - 13:56h

Saudações.
Estou fazendo testes com iptalbes. Montei um script com a politica padrã DROP. Varias portas consegui trabalhar, 0, 25, 110, etc. Mas a porta 22 (ssh) não estou conseguindo livera-la no firewall para conexão ao mesmo, ja tentei várias regras, mas sem sucesso. Alguém poderia dar uma luz?

renato_pacheco
(usa Debian)

Enviado em 18/05/2009 - 14:43h

Qual foi o comando q vc tentou? Vc colocou o tal comando para liberar a porta antes do DROP ou depois? Pois se colocado ACCEPT depois d DROP, essa porta realmente não será liberada. Poste pra gente o seu script com as linhas.

signout
(usa Slackware)

Enviado em 18/05/2009 - 14:47h

Boas...
Sempre que possivel, poste as regras e/ou erros que voce esta tendo para facilitar a ajuda...
De qq maneira, segue a regra que utilizo aqui:
eth0 = internet
eth1 = lan

Se for para liberar acessos a partir da internet
iptables -A INPUT -p tcp -s <<ip de origem >> -i eth0 --dport 22 -j ACCEPT

Se for para liberar acessos a partir da rede local

iptables -A INPUT -p tcp -s <<ip/rede de origem>> -i eth1 --dport 22 -j ACCEPT

Só substituindo o <<ip/rede de origem>> pelo ip que voce desejar e acertar tb as placas...
Espero que ajude.

navegador17
(usa Debian)

Enviado em 18/05/2009 - 14:52h

Segue o script
#!/bin/bash
# Limpando regras existentes nas chains INPUT, OUTPUT, FORWARD, e NAT
iptables -F
iptables -t nat -F
# Definindo a polica padrao para as chains
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# Liberando acesso ao ssh
iptables -A INPUT -p tcp -s 192.168.10.8 --dport 22 -j ACCEPT

renato_pacheco
(usa Debian)

Enviado em 18/05/2009 - 14:57h

Poizé... repare q vc definiu as políticas d DROP antes do ACCEPT. É só mudar d lugar, colocando a regra pra liberar a porta 22 antes das políticas d DROP.

navegador17
(usa Debian)

Enviado em 18/05/2009 - 15:05h

Da mesma forma que defini as políticas padrão para as chains como DROP, seu colocar a regra para liberar a porta 80 http funciona normalmente.
Mesmo se eu colocar antes vai bloquear o SSH pelo que diz a teoria ele primeiro varre as regras não encontranto nada e aplica a política padrão. Vou fazer outros testes. Mas so a porta do SSh que ta encrencando, SMTP, POP, HTTPS, ta indo normal! Vamos queimar os neurônios.

signout
(usa Slackware)

Enviado em 18/05/2009 - 15:07h

Renato, posso estar errado, mas neste caso o script dele esta certo, pois esta colocando a politica padrão como DROP (não esta inserindo uma regra, e sim definindo o comportamento padrão da chain).

Porém voce esta definindo a chain OUTPUT como DROP, o que pode estar acontecendo é:

192.168.10.8:any --> servidor:22 (OK)

servidor:22 -->> 192.168.10.8:any (DROP)

Coloque a politica padrão da chain OUTPUT como ACCEPT.
A chain OUTPUT se refere a tudo que tem ORIGEM no servidor, ou seja, a principio, pode-se defini-la como ACCEPT.

Espero que ajude.

renato_pacheco
(usa Debian)

Enviado em 18/05/2009 - 15:14h

signout, apesar d tudo, não custa nada tentar colocar antes, só para testar, né? A partir desse ponto ele pode ajustar o script dele com o q vc disse sobre as políticas inseridas.

signout
(usa Slackware)

Enviado em 18/05/2009 - 15:24h

Eh que ao se definir a politica padrão(
iptables -P <<CHAIN>> (DROP/ACCEPT/etc))
ele le todas as regras inseridas na chain, se o pacote não se aplica a nenhuma das regras, entao ele adota a politica padrão definida (neste caso, DROP), ou seja, ela ja esta depois da regra que liberou o SSH.

navegador17
(usa Debian)

Enviado em 18/05/2009 - 15:49h

Sgnout,
Passei a política padrão da chain OUTPUT para ACCEPT e funcionou. Vou averiguar o porque so assim funcionou. Achei muito estranho. Obrigado pelo atenção de todos.

renato_pacheco
(usa Debian)

Enviado em 18/05/2009 - 15:49h

Pelo q eu entendi, a política verifica as chains e, as portas q não estiverem mencionadas, ele bloqueia (no caso dele)? Sinceramente, eu nunca havia ouvido falar nessa opção d Policy antes. Se vc puder me explicar melhor eu agradeço.

navegador17
(usa Debian)

Enviado em 18/05/2009 - 15:52h

Sgnout,
Passei a política padrão da chain OUTPUT para ACCEPT e funcionou. Vou averiguar o porque so assim funcionou. Achei muito estranho. Obrigado pelo atenção de todos.