Ordem de Leitura do IPTABLES [RESOLVIDO]

Pinguim Gigante
(usa Fedora)

Enviado em 21/12/2007 - 09:24h

Olá galera!

Tenho uma dúvida que me persegue a muito tempo, mas para vocês aqui é simples.

Eu não entendo qual a ordem de leitura do netfilter(iptables), pois não sei como proceder no caso de liberar o acesso para os serviços que preciso e bloquear o resto.

Qual é o modo certo ou melhor:
1 - Primeiro BLOQUEIA-SE TUDO e DEPOIS libera o necessário.

ou

2 - Primeiro LIBERAR O NECESSÁRIO e DEPOIS bloqueamos tudo.

sdrconsulting
(usa CentOS)

Enviado em 21/12/2007 - 09:37h

Caro,

O Netfilter Iptables funciona como um interpretador de codigo, varendo o seu texto/script linha a linha.

Sempre a primeira regra irá prevalecer, uma vez que ela for lida, exemplo:

$iptables -A INPUT -p tcp --dport 80 -j ACCEPT
$iptables -A INPUT -p tcp --dport 80 -j REJECT
$iptables -A INPUT -p tcp --dport 80 -j DROP

No exemplo acima, temos aparentemente três regras bem parecidas, a primeira regra libera, a segunda rejeita e a terceira nega o acesso. De acordo com o explicado: "A primeira regra lida terá privilégios", temos então o acesso a porta 80 liberado, mesmo rejeitando e negando o acesso nas regras subsequentes.

Espero ter contribuido.

john_connor
(usa Slackware)

Enviado em 21/12/2007 - 09:39h

uma outra coisa e que o script de regras do iptables e lida de cima pra baixo entao se vc bloqueou digamos a porta 5900 na sua rede , se vc quer liberar essa porta para alguem , essa regratem que estar acima da que bloqueia .

john

Pinguim Gigante
(usa Fedora)

Enviado em 21/12/2007 - 09:56h

Ha, ha, ha!!!
----
Deixa eu ver se eu entendi. Um exemplo:
- Quero liberar a navegação na internet, acesso a vnc. Seria assim?
-I FORWARD -o rede_interna -p tcp -m tcp --dport 80 -j ACCEPT
-I FORWARD -o rede_interna -P tcp -m tcp --dport 5900 -j ACCEPT
-I FORWARD -o rede_interna -j DROP

nil_anderson
(usa Outra)

Enviado em 25/12/2007 - 15:20h

Irei ajudar conforme compreendi sua questão, ok?
As regras são "lidas" de cima para baixo, por este motivo, caso você queria liberar o acesso VNC (exemplo), deve colocar os respectivos IPs que deverão ser liberados acima dos que deverão ser bloqueado, criando assim uma exceção no Firewall. ;)

Seria essa sua dúvida?

Pinguim Gigante
(usa Fedora)

Enviado em 26/12/2007 - 09:19h

Agora entendendo.

Primeiro, deixa-se quem queremos que entre para a festa, depois trancamos os portões. :D