Bloquear todas as portas no IPTABLES e liberar as necessárias! [RESOLVIDO]

ronaldolemos
(usa Debian)

Enviado em 09/11/2012 - 15:46h

Olá pessoal, sou novo no linux e implementei um servidor com 2 redes internas eth1=10.0.0.0/24 e eth2=10.50.28.0/22. Squid não tá transparente. o servidor tá rodando perfeitamente com DHCP e tudo, porém pesquisei muito e não consegui fazer com que o meu iptables bloqueasse todas as portas e liberasse somente algumas, já olhei vários tutoriais. Gostaria de liberar as portas 80,443,53... mas eu ponho as chains INPUT e não funciona =/ por isso mandei o IPTABLES sem elas.



====================================================================================
#Limpa regras
iptables -X
iptables -F
iptables -t nat -F

# Politicas padrao
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Compartilha a conexao com a internet
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Ips passando por fora do proxy
iptables -t nat -A PREROUTING -s 10.0.0.10 -p ALL -j ACCEPT
iptables -t nat -A PREROUTING -s 10.0.0.11 -p ALL -j ACCEPT

# Redirecionamento para o Squid
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

renato_pacheco
(usa Debian)

Enviado em 09/11/2012 - 16:02h

D q forma vc tá tentando liberar as portas?

ronaldolemos
(usa Debian)

Enviado em 09/11/2012 - 16:05h

por ex:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
etc...

só que mesmo assim maquinas da rede local ficam sem internet

renato_pacheco
(usa Debian)

Enviado em 09/11/2012 - 16:07h

Imaginei... é por isso q tá errado. O certo é liberar o FORWARD e não o INPUT. INPUT é só pacotes q são destinados ao servidor d firewall. Como pacotes na porta 80 e 443 vão para a Internet, então o FORWARD é o mais indicado, pois ele liberará o encaminhamento d pacotes.

ronaldolemos
(usa Debian)

Enviado em 09/11/2012 - 16:09h

iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

seria o correto então?! irei testar ;)

outra coisa, teria uma regra forward pra liberar varias portas com uma linha de comando só?

renato_pacheco
(usa Debian)

Enviado em 09/11/2012 - 16:13h

Tem. Crie um arquivo com as portas desejadas, linha a linha. Depois faça:

for i in `cat /caminho/lista_portas.txt`

do

iptables -A FORWARD -p tcp --dport $i -j ACCEPT

done

 

ronaldolemos
(usa Debian)

Enviado em 09/11/2012 - 16:29h

desculpa a demora para falar, é que tou no trampo, entao... esse mini script eu coloco no rc.local como se fosse uma linha de comando?

renato_pacheco
(usa Debian)

Enviado em 09/11/2012 - 16:32h

Não é recomendado colocar o código no rc.local. Crie um script próprio pra firewall e mande executá-lo no rc.local q fica mais organizado.

ronaldolemos
(usa Debian)

Enviado em 09/11/2012 - 16:38h

Muito obrigado por todo tempo dedicado e pela ajuda.

phrich
(usa Slackware)

Enviado em 10/11/2012 - 02:38h

Para dar outra dica, poderia ser também:


1 - Criar variáveis ex:

PORTAS_TCP="53,80,443"
PORTAS_UDP="21,53"

2 - Realizar as seguintes regras:

iptables -A FORWARD -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dports $PORTAS_UDP -j ACCEPT


Então, bastaria apenas acrescentar as portas na variável e recarregar o firewall...

renato_pacheco
(usa Debian)

Enviado em 10/11/2012 - 14:22h

É verdade! Fiz do modo mais tosco...

phrich
(usa Slackware)

Enviado em 10/11/2012 - 15:19h

Que nada renato_pacheco, só dei uma dica mais simples, mas e se ele precisar alterar de outras formas? A sua dica seria mais válida, só coloquei uma opção a mais...