FORWARD modulo state [RESOLVIDO]

eliasmoreira
(usa Ubuntu)

Enviado em 31/01/2018 - 23:59h

Senhores Boa noite!
Estou criando um script de firewall e preciso liberar forward da "REDE A" para "REDE B" isso quando a "REDE A " iniciar a conexão, no sentido contrário será "DROPADO".

Politica padrão FORWARD DROP

-A FORWARD -s 10.0.27.12/32 -d 172.16.16.240/32 -i enp2s0 -o enp3s4 -m comment --comment "teste 0 0 " -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Infelismente não sei porque que a volta do pacote esta sendo DROPADO,

Jan 31 23:54:13 spartacus-sv kernel: [43727.269934] DROP FORWARD GERAL IN=enp3s4 OUT=enp2s0 MAC=30:b5:c2:04:6f:b7:00:21:91:34:93:fd:08:00 SRC=172.16.16.240 DST=10.0.27.12 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=15505 PROTO=ICMP TYPE=0 CODE=0 ID=11251 SEQ=323

Adicionar uma regre que libere a volta será outra sitação simulada e funciona. Mas quero que somente a o "REDE A" inicie a conexão.

Se alguém puder ajudar agradeço, não sei o que estou errando.

fpires
(usa Debian)

Enviado em 01/02/2018 - 00:23h

Você tem que liberar o tráfego de pacotes RELATED e ESTABLISHED na sua rede. Algo como

iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT  

Veja que eu não coloquei o state NEW na regra. Dessa maneira, apenas pacotes relacionados a outras conexões serão permitidos. Esses pacotes são sempre o "segundo pacote" (ou pacotes posteriores) das conexões. Como a política padrão é DROP, essa regra só valerá para conexões cujo "primeiro pacote" (pacote de SYN, state NEW) já foram permitidos por regras anteriores. Perceba também que eu coloquei essa regra como a primeira da chain FORWARD (-I ao invés de -A), pois isso alivia a carga de processamento de pacotes no FW (já que os pacotes validos são permitidos logo de cara, ao invés de testarmos N regras ).
Com essa modificação, sua regra de permissão poderia ser alterada para

iptables -A FORWARD -s 10.0.27.12/32 -d 172.16.16.240/32 -i enp2s0 -o enp3s4 -m comment --comment "teste 0 0 " -m state --state NEW -j ACCEPT 

Ou mesmo retirando a parte de state ( -m state --state NEW) e talvez inserindo protocolo e porta, se aplicável, para "fechar" mais a regra.

eliasmoreira
(usa Ubuntu)

Enviado em 01/02/2018 - 22:37h

Valeu Doutor, obrigado pela ajuda.
Deu certo.

fpires
(usa Debian)

Enviado em 01/02/2018 - 23:56h

Marque o tópico como encerrado e selecione a (única) resposta como melhor :-). Isso melhora a qualidade do fórum!