Ordem de leitura das regras iptables [RESOLVIDO]

1. Ordem de leitura das regras iptables [RESOLVIDO]

mauricioscotti
(usa Ubuntu)

Enviado em 26/05/2016 - 09:24h

Olá pessoal,
sou novo no Linux, estou com uma tarefa de criar um firewall e com isso começou aparecer as dúvidas.

1º Dúvida - Leitura de regras
Libera porta X no INPUT
Libera porta Y no INPUT
Bloqueia porta A no INPUT
Bloqueia porta B no INPUT

Quando determinado pacote for INPUT e está direcionado a porta X, o mesmo será aceito. As próximas regras serão lidas ou como o pacote já foi aceito a leitura se encerra por aí mesmo?
Quando determinado pacote for INPUT e está direcionado a porta A, o mesmo será bloqueado. As próximas regras serão lidas ou como o pacote foi bloqueado a leitura se encerra por ai mesmo?
------------------------------------------------------------------------------------
2º Dúvida - Fecho tudo depois insiro as regras ou abro tudo insiro as regras depois fecho tudo?

Exemplo 1
INPUT DROP
FORWARD DROP
OUTPUT DROP

regra libera isso
regra libera aquilo
regra bloqueia aquele outro
-----------------------------------------------------
Exemplo 2
INPUT ACCEPT
FORWARD ACCEPT
OUTPUT ACCEPT

regra libera isso
regra libera aquilo
regra trava aquele outro

INPUT DROP
FORWARD DROP
OUTPUT ACCEPT

Desde já obrigado.

0 0

Quote

2. Re: Ordem de leitura das regras iptables

removido
(usa Nenhuma)

Enviado em 26/05/2016 - 23:29h

1 - As regras serão lidas em sequencia, da primeira linha até a ultima do "script". Generalizando, quando o pacote "fechar" com uma regra, ele sera tratado por ela e ponto*¹ não sera tratado pelas demais.

Leia o artigo abaixo:
https://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/

2 - Pode definir e isso na politica padrão para a chain. Então se quer maior controle, as defina como "DROP", e passara *apenas* aquilo que efetivamente você criar uma regra para liberar(ou de repasse).
Ja se usar o ACCEPT, tudo passa, *exceto* o que você criar uma regra para bloquear.

A didática o Morimoto vale por vezes mais que qualquer bom artigo "gringo":
http://www.hardware.com.br/livros/linux-redes/escrevendo-script-firewall.html
http://www.hardware.com.br/tutoriais/linux-escrevendo-scripts-firewall/
http://www.hardware.com.br/tutoriais/linux-escrevendo-scripts-firewall2/

------------------------------------------------------
KISS principle, RTFM and STFW = 42

2 0

Quote