POLITICAS "DROP"

rodrigom
(usa Debian)

Enviado em 07/10/2010 - 21:53h

Pessoal, boa noite;
Estudando Iptables, sugiram mais alguma duvidas:
1 - Sei que se por todas das politicas como DROP, bloqueio tudo que não for explicitamente liberado, então, se eu fizer

iptables -t filter -A INPUT -p tcp --dport 80 -s rede_interna -j ACCCEPT

Essa regra não quer dizer "libere o trafego pela porta 80"?

Como sei oque cabe a "explicitamente"?

Abraço.

removido
(usa Nenhuma)

Enviado em 07/10/2010 - 22:04h

Não, essa regra quer dizer "libere a entrada de trafego pela porta 80", ou seja, se todas politicas estiver DROP essa regra só vai permitir a entrada (INPUT), porem não estará liberado o trafego de saida (OUTPUT) para responder ao pedido.

tlaloc
(usa Gentoo)

Enviado em 07/10/2010 - 22:11h

Meio certo, meio errado, Cesar.

Quando estamos falando de uma regra de INPUT (uma regra de ENTRADA de dados), estamos falando do que VEM para nosso micro através do firewall.

Esta regra aí de cima fala mais ou menos o seguinte:

Se for ENTRADA, do tipo TCP/IP, com destino a porta 80 e vindo da rede interna, ACEITE o pacote.

Isto quer dizer que os computadores da rede interna poderão ver sua porta 80. Isso seria útil se você disponibilizasse uma página de internet para seus usuários da rede interna, como por exemplo um "manual de serviços" contendo links para procedimentos em uma empresa.

O que você quer fazer, exatamente?

tlaloc
(usa Gentoo)

Enviado em 07/10/2010 - 22:12h

Aliás, perdão, o que o Cesar falou está certo, eu que li errado. :P

rodrigom
(usa Debian)

Enviado em 08/10/2010 - 11:48h

Oque eu quero, é sempre fazer um FW com as politicas DROP, e não ACCEPT. mas ai vem a parte que não estou entendendo, oque é "explicitamente".

meinhardt_jgbr
(usa Debian)

Enviado em 08/10/2010 - 12:11h

Rodrigo,

Transcreva exatamente aquela parte do texto onde você encontra a expressão "explicitamente" para que se possa tentar entender e te ajudar. As vezes alguma tradução sai meio capenga e fica difícil entender.

Normalmente explicitamente é algo muito especifico / explicito / definido e deve se aplicar a uma determinada regra que você está tentando definir.

No texto do seu post original, você precisaria liberar cada porta especifica que você deseje ou seja cada porta explicitamente liberada.

tlaloc
(usa Gentoo)

Enviado em 08/10/2010 - 12:25h

Cara, vou te dar um exemplo básico para você entender o explicitamente.

Digamos que você está num elevador com outras 10 pessoas.
Ouve-se um ruído e um cheiro ruim sobe ao ar.

Alguém diz: alguém peidou, né?

Ele não foi explícito. Ele disse que alguém, sem saber quem, peidou.

Agora, se ele diz: Pedro peidou DE NOVO, né, filho da mãe?

Ele foi explícito. Não só disse quem, mas iterou que a pessoa repetiu este gesto.

Isso é explicitamente.

Trazendo agora para o contexto do firewall, utilizar políticas DROP é explicitamente indicar que todo e qualquer pacote que não for mencionado por nenhuma outra regra deve ser negado.

Uma dica de como montar um firewall eficiente é não pensar nas regras do IPTables e sim em regras escritas.
Como assim, porra?
Assim:

(exemplo)

Todos os pacotes que passarem pelo Firewall deverão ser dropados, A NÃO SER QUE:

1 - Sejam pacotes saíndo em direção a um endereço da internet, que forem conexões novas estabelecidas por mim.
2 - Sejam pacotes de resposta em direção ao meu computador, na porta da internet, que forem conexões estabelecidas.
3 - Sejam pacotes da rede interna direcionado a outro ou outros computadores da rede interna.

Aí você vai ler o que você precisa liberar no firewall para cada uma destas regras.
Assim, você constrói um firewall eficiente.

Recomendo a leitura das portas padrão de alguns serviços, como serviço web, POP, IMAP, SMTP, SMNP. Também recomendo saber para que servem pacotes UDP e TCP.

Com estes conhecimentos você vai ser capaz de montar um firewall eficiente com políticas DROP

removido
(usa Nenhuma)

Enviado em 08/10/2010 - 13:45h

Dá uma olhada, http://blog.cesar.augustus.nom.br/instalando-o-firewall-no-linux.html