Firewall com tudo DROP

fale galera!
to precisando de uma força, nao to conseguindo fazer meu firewall iniciar no booot com as chains INPUT e FORWARD como DROP, fiz o seguinte:
tenho o meu script de firewall, nele tenho as seguintes chains
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
salvei este script no diretorio /etc/init.d
adicioneio ele ao boot com o seguinte comando
update-rc.d firewall defaults, ate ae tudo blz
so que qdo eu reinicio o pc aparece nos processos na inicialização o firewall sendo carregado, so qeu apos o login eu executo a seguinte regra iptables -L, e aparece la que as chains INPUT e FORWARD estao como ACCEPT e nao como DROP como eue havia definido no script de firewall, o que ta acontecendo.

Só uma dica (talvez não funcione). Tente mudar d ordem as regras, colocando assim:

iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

vlw pela força mais tbm nao adiantou continua as chins iniciando no boot como accept

Poste as regras do seu iptables completas aki e a saída do comando iptables -L pra gente conferir...

eu criei um outro apenas com o necessario so para mim ver se era o script agora ele ficou assim:


#!bin/bash
firewall_start(){

echo "firewall iniciando..."
sleep 1
echo "ok"
sleep 1
}
firewall_stop(){
iptables -F
iptables -X
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP


iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
}

case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "desativando firewall..."
sleep 2
echo "firewall desativado"
;;
"restart")
echo "firewall reiniciando..."
sleep 1
echo "firewall reiniciado"
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac

Vc esqueceu d postar a saída do seu comando iptables -L e a saída do comando iptables -t nat -L.

desculpa, segue ae irmao:

iptables -L
chain INUPT (policy ACCEPT)
target prot opt source destination
chain FORWARD (policy ACCEPT)
target prot opt source destination
chain OUTPUT (policy ACCEPT)
target prot opt source destination

iptables -t nat -L
chain PREROUTING (policy ACCEPT)
target prot opt source destination
chain POSTROUTING (policy ACCEPT)
target prot opt source destination
chain OUTPUT (policy ACCEPT)
target prot opt source destination

Kra... tenta fazer assim: pegue o seu script e não inicialize-o no boot, mas depois do boot, tente executá-lo separadamente, mas antes vc lista a tabela do iptables pra saber se num tem nenhuma regra lá (qq coisa limpe-as). Depois me fala se ficou a msm coisa.

eu ja havia feito esse teste, retirei do boot o script esperei o sistema inicia depois iniciei o firewall. ae sim tudo ficou correto com as chains DROP. so que nao queria dessa maneira queria que ele iniciase automaticamente no boot.

É o q eu temia... deve tá rodando algum script além do seu. Tanto é q as suas regras não estão incorretas. Tente mudar o nome do seu script, em vez d colocar "firewall", coloque "firewall-linux" e tente rodar o comando:

# update-rc.d firewall-linux defaults

Se der certo, provavelmente tem algum script rodando a mais no seu rc.d.

nada irmao, mudei o nome, remove o antigo e adicionei o novo no boot e tbm nao deu em nada

Então tente achar, dentro do /etc/init.d, se existe algum script ae q esteja rodando alguma regra d firewall, pq eu acredito q essa é a única lógica pra isso. Tanto é q quando vc executa o seu script fora dele, roda numa perfeição... Ah! se vc não encontrar o bendito, vc pode fazer assim:

- Desativar seu script no update-rc.d;
- Copiá-lo para dentro do /usr/bin;
- Dar permissão 700 para o script;
- Acrescentar dentro do /etc/rc.local 3 comandos:

iptables -F
iptables -t nat -F
firewall start

Assim, por mais q tenha algum firewall rodando antes, o rc.local vai limpar as regras e o seu firewall será inicializado sem as regras anteriores. É uma gambiarra, mas pode dar certo.