Firewall/Iptables

signout
(usa Slackware)

Enviado em 18/05/2009 - 16:10h

Navegador,

A chain OUTPUT é referente a pacotes originados no servidor, quando voce faz uma conexão ssh, basicamente existe o seguinte:

client:any --> servidor:22 (pacote de origem no client para o servidor) chain INPUT

servidor:22 --> client:any (resposta do servidor para o client) chain OUTPUT

O que voce fez:
iptables -P INPUT DROP (todo pacote com destino ao servidor)
iptables -P FORWARD DROP (todo pacote que passar pelo servidor)
iptables -P OUTPUT DROP (todo pacote que sair - origem do servidor)

Se voce quiser manter o OUTPUT como DROP, então voce não seria capaz de fazer uma conexão a partir deste servidor em qualquer maquina em qualquer porta, a menos que liberasse uma regra.

servidor:any --> qualquermaquina:80 (DROP)

De uma pesquisada aqui no VOL, existem muitos artigos excelentes sobre iptables , ou se quiser, mande um mail.
Caso tenha resolvido o seu problema, coloque o topico como resolvido :P

Renato,

Todas as chains possuem uma politica padrão, que é o comportamento caso o pacote não se enquadre em nenhuma regra, se voce digitar iptables -L -n | grep INPUT voce tera um resultado parecido com este

Chain INPUT (policy DROP)

O DROP é a politica padrão (passado através do parametro -P), ou seja, no caso do navegador, a politica padrão do INPUT é DROP, e logo em seguida colocou uma regra liberando o ssh ficando assim:

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 192.168.10.8 0.0.0.0/0 tcp dpt:22

192.168.10.8:any --> servidor:22 (regra existe, esta liberado)
192.168.10.8:any --> servidor:80 (regra não existe, aplica politica padrão: DROP)

Resumindo a primeira conexão (ssh) funciona pq apesar da politica padrão DROP, existe uma regra liberando o ssh.
A segunda conexão não funciona, porque não existe uma regra para ela, então é adotado a politica padrão DROP.

Espero que ajude.

edupersoft
(usa Manjaro Linux)

Enviado em 18/05/2009 - 16:29h

Olhando o script que você publicou, você precisa acrescentar a regra:

iptables -A OUTPUT -p tcp -d 192.168.10.8 --sport 22 -j ACCEPT

Esta regra permitirá que os pacotes sejam enviados para o ip 192.168.10.8 a partir da a porta 22, sem esta regra, o host não conseguirá responder a conexão.

renato_pacheco
(usa Debian)

Enviado em 18/05/2009 - 16:37h

Aaaahhh... agora entendi. Essa parada da opção -P é bem legal, não sabia dela. Então o erro foi q ele liberou o acesso d fora pra dentro (INPUT) mas não d dentro pra fora (OUTPUT). Por isso q teve q add a regra q o edupersoft mencionou... obrigado pela paciência, signout, d explicar como funciona.