Liberar acesso a redes

1. Liberar acesso a redes

william Verri Colioni
williamverri

(usa Linux Mint)

Enviado em 08/11/2019 - 14:14h

Boa noite, estou com uma dúvida, não sei o que estou fazendo de errado, estou tentando configurar um firewall em meu servidor...

Neste firewall eu mudo na política das chains INPUT, OUTPUT E FORWARD para DROP e libero somente o que eu preciso, até aqui tudo ok...

Eu preciso liberar os serviços deste servidor somente para os IP de uma rede...

Possuo várias redes em minha empresa ( 10.1.1.0/24, 10.2.1.0/24, 10.3.1.0/23, 10.4.1.0/24, 10.5.0.0/21, 10.6.1.0/24, 172.17.0.1/32, 172.17.0.2/32, 172.17.1.1/32, 172.1.2/32... E por aí vai)...

Todos os IPs que começam com 172. Tem máscara /32, e são para todos os IPs que começam 172. que eu quero liberar o ping no servidor aí eu faço a seguinte regra...

iptables -A INPUT -p icmp -s 172.16.0.0/12 -j ACCEPT

Mas não funciona, você pode me dar uma luz?

Eu fiz um teste aqui colocando os IPs individualmente e funcionou, atualmente são uns 20 IPs então consigo colocar 1 por 1, agora se forem muito mais aí seria meio complicado colocar 1 por 1...


  


2. Liberação de Redes

Tiago Eduardo Zacarias
thiago304

(usa CentOS)

Enviado em 09/11/2019 - 13:22h

Boa Tarde colega,

Como você mudou a politica das cadeias para DROP, você tera que tratar tando a entrada do pacote ICMP na CHAIN INPUT quanto a saida dele na CHAIN OUTPUT desta forma:

iptables -t filter -I INPUT -p icmp -s 172.16.0.0/12 -j ACCEPT
iptables -t filter -I OUTPUT -p icmp -d 172.16.0.0/12 -j ACCEPT

Tente ser mais especifico na liberação dos tipos de pacotes ICMP's. Ex: liberando somente echo-request e echo reply.
att,

Tiago Eduardo Zacarias
LPIC-3
Viva o Linux !!!!



3. Re: Liberar acesso a redes

william Verri Colioni
williamverri

(usa Linux Mint)

Enviado em 10/11/2019 - 20:24h

Vou mostra minhas regras para ver se eu estou fazendo algo de errado...

#!/bin/bash

case $1 in

        start)
                #Limpa Regras das tabelas e Zera os Contadores
                iptables -t filter -F
                iptables -t nat -F
                iptables -t mangle -F
                iptables -Z

                #Altera a politica das tabelas para DROP
                iptables -t filter -P INPUT DROP
                iptables -t filter -P FORWARD DROP
                iptables -t filter -P OUTPUT DROP

                #Libera LoopBack
                iptables -t filter -A INPUT -i lo -j ACCEPT
                iptables -t filter -A OUTPUT -o lo -j ACCEPT

                #INPUT
                iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
                iptables -t filter -A INPUT -p udp -m multiport --dports 1812,1813 -j ACCEPT #Portas do Radius
                iptables -t filter -A INPUT -p tcp -m multiport --dports 80,81,85,88,89,90,443,445 -m state --state NEW -j ACCEPT
                iptables -t filter -A INPUT -p tcp -s 172.16.0.0/12,192.168.0.0/16 --dport 2223 -j ACCEPT #Libera SSH
                iptables -t filter -A INPUT -p icmp -s 172.16.0.0/12 -j ACCEPT

                #OUTPUT
                iptables -t filter -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
                iptables -t filter -A OUTPUT -p udp --dport 3799 -j ACCEPT #Portas do Radius Incoming
                iptables -t filter -A OUTPUT -p udp --dport 53 -d 45.166.44.10,45.166.45.2,8.8.8.8,8.8.4.4 -j ACCEPT #Libera Resolução DNS
                iptables -t filter -A OUTPUT -p tcp -m multiport --dports 80,443,587 -j ACCEPT #Libera 80 443 e smtp
                iptables -t filter -A OUTPUT -p icmp -j ACCEPT

        ;;
        stop)
                #Limpa Regras das tabelas e Zera os Contadores
                iptables -t filter -F
                iptables -t nat -F
                iptables -t mangle -F
                iptables -Z

                #Autera a politica das tabelas para ACCEPT
                iptables -t filter -P INPUT ACCEPT
                iptables -t filter -P FORWARD ACCEPT
                iptables -t filter -P OUTPUT ACCEPT
        ;;
        restart)
                $0 stop
                $0 start
        ;;
esac







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts