[AJUDA] Criação de Regra IPTABLES [RESOLVIDO]

px
(usa Debian)

Enviado em 02/10/2013 - 18:22h

modifique isto:

# Descartando tentativa de conexões não autorizadas nas portas 80 e 7777
iptables -A INPUT -p tcp --syn -m state --state NEW -m multiport --dports 80,7777 -j DROP

# Descarta pacotes inválidos
iptables -A INPUT -m state --state INVALID -j DROP

echo
echo "FiM!"

por isto:

# Descartando tentativa de conexões não autorizadas nas portas 80 e 7777
iptables -A INPUT -p tcp --syn -m state --state NEW -m multiport --dports 80,7777 -j DROP
iptables -A INPUT -p udp -m state --state NEW -m multiport --dports 80,7777 -j DROP

# Descarta pacotes inválidos
iptables -A INPUT -m state --state INVALID -j DROP

echo
echo "FiM!"

gustavorglima
(usa CentOS)

Enviado em 02/10/2013 - 18:32h

É amigo mesmo eu estando fora da range eu ainda consigo acessar o servidor na porta 7777

Como pode ver a range liberada é só a:
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 source IP range 216.239.55.8-216.239.55.15 multiport dports 80,7777

Meu IP começa por 177 ou seja era pra estar bloqueado para mim..

Mais alguma idéia?

Veja minha iptables:

# iptables -L -n -v

Chain INPUT (policy DROP 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination         

    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           source IP range 216.239.55.8-216.239.55.15 multiport dports 80,7777 

    0     0 DROP       tcp  --  venet0 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source 

  205 15496 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 

    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:22 

  510 38781 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 

    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           

   90  3426 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 80,7777 

    0     0 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           multiport dports 80,7777 

    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 state NEW multiport dports 80,7777 

    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW multiport dports 80,7777 

    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID 



Chain FORWARD (policy DROP 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination         

    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED 



Chain OUTPUT (policy DROP 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination         

  413 80595 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED 

 

px
(usa Debian)

Enviado em 02/10/2013 - 18:53h

Você auterou o q lhe pedi no ultimo comentário?

gustavorglima
(usa CentOS)

Enviado em 02/10/2013 - 19:03h

Alterei sim veja:

#!/bin/bash

 

#--------------------------- CONFIGURACOES ---------------------------

ArquivoListaIP=ips.txt

LiberarPortas=(80,7777)

PortaSSH=22

#----------------------------------------------------------------------

 

echo "Carregando modulos..."

 

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_nat

/sbin/modprobe iptable_mangle

/sbin/modprobe ipt_LOG

/sbin/modprobe ipt_REDIRECT

/sbin/modprobe ipt_MASQUERADE

 

echo "Iniciando configuração..."

 

#Limpar iptables ------------------------------------------------------

 

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

 

#Fechando todas conexões ----------------------------------------------

 

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

 

# Liberando acesso SSH ------------------------------------------------

 

echo "Liberando o SSH"

iptables -I INPUT -p tcp --dport $PortaSSH -i venet0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

iptables -A INPUT -p tcp --dport $PortaSSH -j ACCEPT

iptables -A INPUT -p udp --dport $PortaSSH -j ACCEPT

 

#Libera conexões estabilecidas ----------------------------------------

 

echo "Liberando conexoes estabelecidas..."

 

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

 

# Liberando portas ----------------------------------------------------

  

# Abrir portas TCP

  

BADIPS=$(egrep -v "^#|^$" $ArquivoListaIP)

for IP in $BADIPS

do

   iptables -I INPUT -p tcp -m iprange --src-range $IP -m multiport --dports $LiberarPortas -j ACCEPT

   echo " > Range ($IP) Liberada com sucesso!"

done

  

echo "> Abrindo portas UDP"

/sbin/iptables -A INPUT -p udp -m multiport --dports $LiberarPortas -j ACCEPT

  

# Bloqueando qualquer outro acesso as portas --------------------------

  

for port in ${LiberarPortas[@]}

do

   echo "> Bloqueando outros acessos a porta $port"

   iptables -A INPUT -i eth0 -p tcp -m multiport --dports $port -j DROP

done

 

echo "Descartando demais conexões!"

 

# Descartando tentativa de conexões não autorizadas nas portas 80 e 7777

iptables -A INPUT -p tcp --syn -m state --state NEW -m multiport --dports 80,7777 -j DROP

iptables -A INPUT -p udp -m state --state NEW -m multiport --dports 80,7777 -j DROP



# Descarta pacotes inválidos

iptables -A INPUT -m state --state INVALID -j DROP



echo

echo "FiM!"

 

px
(usa Debian)

Enviado em 02/10/2013 - 19:06h

Tente colocar esta regra (abaixo das outras):

# Descartando tentativa de conexões não autorizadas nas portas 80 e 7777
iptables -A INPUT -p tcp --syn -m state --state NEW -m multiport --dports 80,7777 -j DROP
iptables -A INPUT -p udp -m state --state NEW -m multiport --dports 80,7777 -j DROP
iptables -A INPUT -p udp --dport 7777 -j DROP

gustavorglima
(usa CentOS)

Enviado em 02/10/2013 - 19:19h

Agora bloqueou tudo estando na range ou não rsrs

É possível por um "exceto" nessa regra, por exemplo fechar essa porta "exceto" se a o ip da pessoa não estiver na range"?

px
(usa Debian)

Enviado em 02/10/2013 - 19:43h

são muitas "range" de ip ...

tente isto:

# Descartando tentativa de conexões não autorizadas nas portas 80 e 7777
iptables -A INPUT -p tcp --syn -m state --state NEW -m multiport --dports 80,7777 -j DROP
iptables -A INPUT -p udp --dport 7777 -m state --state NEW -j DROP

gustavorglima
(usa CentOS)

Enviado em 02/10/2013 - 19:43h

:/ Será que é impossível fazer o que eu quero?

px
(usa Debian)

Enviado em 02/10/2013 - 19:47h

haha, e esta regra que da problemas:

echo "> Abrindo portas UDP"
/sbin/iptables -A INPUT -p udp -m multiport --dports $LiberarPortas -j ACCEPT

tenq fazer uma "adaptação" jaja posto

gustavorglima
(usa CentOS)

Enviado em 02/10/2013 - 19:49h

Blz, caso você quiser acesso SSH me passa seu email que eu lhe passo os dados não tenho problemas em lhe passar isso já que é um servidor de testes.

px
(usa Debian)

Enviado em 02/10/2013 - 19:50h

tente assim:

# Abrir portas TCP

   

BADIPS=$(egrep -v "^#|^$" $ArquivoListaIP)

for IP in $BADIPS

do

   iptables -I INPUT -p tcp -m iprange --src-range $IP -m multiport --dports $LiberarPortas -j ACCEPT

   echo " > Range ($IP) Liberada com sucesso!"

done



echo "> Abrindo portas UDP"



BADIPS=$(egrep -v "^#|^$" $ArquivoListaIP)

for IP in $BADIPS

do

iptables -I INPUT -p udp -m iprange --src-range $IP -m multiport --dports $LiberarPortas -j ACCEPT

done

   

# Bloqueando qualquer outro acesso as portas --------------------------

   

for port in ${LiberarPortas[@]}

do

   echo "> Bloqueando outros acessos a porta $port"

   iptables -A INPUT -i eth0 -p tcp -m multiport --dports $port -j DROP

done

  

echo "Descartando demais conexões!"

  

# Descartando tentativa de conexões não autorizadas nas portas 80 e 7777

iptables -A INPUT -p tcp --syn -m state --state NEW -m multiport --dports 80,7777 -j DROP

iptables -A INPUT -p udp -m state --state NEW -m multiport --dports 80,7777 -j DROP

 

# Descarta pacotes inválidos

iptables -A INPUT -m state --state INVALID -j DROP

 

echo

echo "FiM!" 

px
(usa Debian)

Enviado em 02/10/2013 - 19:52h

Se não resolver, me manda uma pm pelo site (que vai pro meu email) é só clicar no meu usuário, vai ta lá enviar msg