Dúvida iptables

cpa83
(usa Debian)

Enviado em 20/10/2011 - 16:54h

Estou querendo usar o iptables para bloquear todas as portas do servidor e liberar apenas algumas, então por exemplo para liberar a porta do dns que esta instalado local no meu servidor devo usar a regra abaixo para liberar o acesso??



iptables -A INPUT -i placaredeexterna -p udp -m udp --dport 53 -j ACCEPT
iptables -A INPUT -i placaredeinterna -m udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -i placaredeexterna -p udp -m udp --dport 53 -j ACCEPT
iptables -A OUTPUT -i placaredeinterna -m udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT

renato_pacheco
(usa Debian)

Enviado em 20/10/2011 - 17:04h

Use as políticas padrões pra bloquear tudo:

iptables -P INPUT -j DROP

iptables -P OUTPUT -j DROP

iptables -P FORWARD -j DROP

 

Depois é ir liberando aos poucos. No caso, as suas regras estão corretas.

cpa83
(usa Debian)

Enviado em 20/10/2011 - 21:13h

Eu uso as mesmas regras para todas as portas que quiser liberar? Por exemplo se quiser liberar o ssh vou usar:

iptables -A INPUT -i placaredeexterna -p udp -m udp --dport 22 -j ACCEPT
iptables -A INPUT -i placaredeinterna -m udp --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -i placaredeexterna -p udp -m udp --dport 22 -j ACCEPT
iptables -A OUTPUT -i placaredeinterna -m udp --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT


Essas regras vale por rede ou por servidor? Eu tenho dois servidores na mesma rede por exemplo usando ssh , em cada um crio uma regra?

renato_pacheco
(usa Debian)

Enviado em 20/10/2011 - 21:34h

Vamos por partes. Primeiro, falando sobre as regras q determinam o estado da conexão (RELATED, ESTABILISHED, etc.), estas nem sempre é bom colocar em todos os serviços, pois certos serviços exigem alguns estados q não constam em outros (ex.: NEW).
Segundo, comece a entender o q significa, d fato, INPUT, OUTPUT e FORWARD. INPUT é toda conexão com destino ao seu servidor, OUTPUT é conexões q saem do servidor e FORWARD é toda conexão q passe pelo servidor, ou seja,conexões q não pertencem ao servidor e ele encaminha para o seu destino. Estude mais sobre iptables pra entender melhor:

man iptables

 

cpa83
(usa Debian)

Enviado em 24/10/2011 - 09:02h

Vlw pela força Renato, vou dar mais uma estudada.....só tenho algumas dúvidas de como vou liberar alguns serviços aqui da rede, mas vou dar aquela papirada!!