iptables - forward [RESOLVIDO]

flaviog
(usa CentOS)

Enviado em 20/02/2013 - 21:46h

Pessoal estou tentando bloqueiar ping entre duas estações da rede mas não esta funcionando, o que será que esta errado. Meu firewall é em um script, vou colocar a configuração padrão para quem puder me ajudar.

/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/modprobe iptable_nat
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o eth1:1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE
/sbin/iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8000 -s 172.16.0.0/16 -j DNAT --to-destination 172.16.1.12:8000

daqui para baixo são so a regras de bloqueio e liberação.

Usei a seguinte linha para tentar o teste.
/sbin/iptables -t filter -I FORWARD -p icmp -s 172.16.10.10 -d 172.16.10.20 -j DROP

Bom se não entendi errado a regra, com isso quando a maquina final 10.10 tentar pingar a maquina final 10.20 ela não conseguirá.

ou

/sbin/iptables -t filter -I FORWARD -p icmp -d 172.16.10.20 -j DROP
qualquer estação da rede que tentar pingar a maquina final 10.20 nao conseguirá.

Mas não esta funcionando. Onde sera que estou errando.
A politica da cadeia FORWARD na tabela filter é:
Chain FORWARD (policy ACCEPT).
Inclusive peguei esse exemplo em uma video aula que tenho sobre iptables.

rcjeferson
(usa Debian)

Enviado em 21/02/2013 - 00:46h

Boa noite amigo,

Pelo que entendi, não quer que sua máquina responda requisições de ping. Se for isso, pode fazer isso direto no kernel:

flaviog
(usa CentOS)

Enviado em 21/02/2013 - 18:48h

Obrigado pela dica, mas dessa forma vai negar ping a todas as maquinas.

Eu quero que uma estação não consiga pingar outra passando pelo roteador gateway. E não todos da rede.