Pergunta simples do IPTables [RESOLVIDO]

gaver
(usa Ubuntu)

Enviado em 05/04/2011 - 22:47h

Ai galera é o seguinte, tem alguma opção que define a regra em todas as chains da tabela especificada?
Tipo, eu tenho que ficar criando uma regra pra cada CHAIN... E pra cada protocolo.
Por ex:
iptables -t filter -I INPUT -p TCP --source-port 23
Isso pra bloquear todas conexões na porta 23, mas só de entrada e só no protocolo TCP.
Oque eu realmente queria, e que tivesse uma opção pra colocar em todos protocolos e em todas chains, bom no ICMP eu sei que não dá porque ele não tem portas.
Tipo:
iptables -t filter -I ALL -p ALL --source-port 23

Tem alguma opção assim?

gaver
(usa Ubuntu)

Enviado em 06/04/2011 - 13:10h

Responde ai galera.

n4t4n
(usa Arch Linux)

Enviado em 06/04/2011 - 17:16h

Não sei te dizer de certeza, mas quanto menos específico vc for na regra mais geral ela fica. então
iptables -t filter -sport 23
deve fazer o que vc quer. tem que testar pra ver.

qxada07
(usa Slackware)

Enviado em 06/04/2011 - 18:30h

Amigo

Não sei não.... mas qndo se trata em portas é necessário especificar o protocolo sim.....

n4t4n
(usa Arch Linux)

Enviado em 06/04/2011 - 19:49h

Tem razão qxada07, realmente não funciona para portas. No caso de usar portas sempre será necessário especificar o protocolo. o que se pode fazer para reduzir a quantidade de linhas digitadas para um mesmo protocolo é usar o modulo multiport do iptables, como no exemplo abaixo

iptables -t filter -A INPUT -p tcp -m multiport --sports 21,22,25,80,110 -j ACCEPT

Diede
(usa Debian)

Enviado em 06/04/2011 - 20:36h

Como os amigos já disseram acima, no caso de portas você precisa especificar o protocolo, mas no caso das chains, você pode usar da estrutura de processamento do Iptables.
Ao invés de, por exemplo bloquear um protocolo/porta na INPUT e na FORWARD, você pode bloquear na PREROUTING da tabela raw, que é uma tabela "mais baixa" que tanto os pacotes INPUT quanto forward compartilham.
No caso, seria algo como "iptables -t raw -I PREROUTING -p tcp --dport 23 -j NOTRACK"
O "NOTRACK", você usa para que o pacote seja eliminado do conntrack. Veja ele como uma espécie de /dev/null.