LIBERAÇÃO DE PORTA NO FIREWALL SEM NECESSIDADE

kil-linux
(usa Ubuntu)

Enviado em 10/04/2015 - 12:29h

turma é o seguinte, aqui na empresa utilizamos um sistema acessado atraves de um ip+porta, a equipe de sistemas me pediu para liberar mas portas mas vejo que não solicitaram o redirecionamento de nehum ip para a porta especificada.
minha duvida:

o motivo de abrir portas é atribuir um serviço a ela correto, o caso de somente liberar portas sem especificar o serviço ou o ip é desnecessários correto ou estou errado.

MySQLBox
(usa CentOS)

Enviado em 10/04/2015 - 13:40h

Na ralidade nunca é legal deixar uma porta aberta sem ter um serviço escutando nela, mas, em alguns casos pode haver a necessidade da porta ficar aberta para alguma aplicação que não fica rodando 100% do tempo. Alguns amigos meus tem um server push que roda em uma porta específica em determinados horários, ou seja, a porta está aberta mas nem sempre tem um serviço escutando.

O ideal é ver o que vai rodar nestas portas e se possível liberar o acesso apenas para um IP específico.

kil-linux
(usa Ubuntu)

Enviado em 10/04/2015 - 13:42h

blzs,

posso liberar mas de uma porta para um ip que vai utilizar o mesmo serviço ?

MySQLBox
(usa CentOS)

Enviado em 10/04/2015 - 13:54h

Claro!
Por exemplo:

#Criando várias regras com portas diferentes ao mesmo IP
iptables -A INPUT -s 10.0.0.1 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 10.0.0.1 -p tcp --dport 8080 -j ACCEPT

#Criando uma regra com portas diferentes ao mesmo IP
iptables -A INPUT -p tcp -s 10.0.0.1 -m multiport --dport 80,8080,81,21,22 -j ACCEPT


Pode usar um ou outro.

kil-linux
(usa Ubuntu)

Enviado em 10/04/2015 - 14:38h

allan muito obrigado pela explicação so mas uma coisa.

o funcionamento do sistema acontece da seguinte forma:

a solicitação vem de fora rede externa pelo ip xxx.xxx.xxx.xxx+porta quando chega no servidor ele vai um balanceamento e divida a carga para os slaves 1 2 3 4 e 5.

analisando isso percebo que a liberação das portas para cada slave e desnecessária visto que a solicitação e feita por um ip+porta correto, isso e falha de segurança correto.

MySQLBox
(usa CentOS)

Enviado em 13/04/2015 - 14:49h

Não sei se entendi muito bem mas assim, se a tua requisição vai cair em um destino que passa por um proxy e é este proxy que controla as portas, você só da as permissões no proxy. Se o destino (Servidor Slave) faz um controle de portas, acredito eu, que precise liberar no Iptables sim, pois a conexão será encaminha para ele chamando endereco:porta.

lucastominaga10
(usa CentOS)

Enviado em 14/04/2015 - 14:49h

Boa tarde,


Cara não sei se entendi corretamente mas acho que deve ser isso.

Bom primeiramente toda requisição vinda da internet com destino ao seu IP WAN + PORTA irá chegar no seu host proxy e assim sendo divido por um balancedor de carga. Ao meu ver voce tera que sim liberar o repasse (FORWARD) para todos os SLAVES (No proxy)

Por exemplo a conexao que um proxy web recebe na 80 não sera tratado como INPUT porque a requisição nao é para ele e sim para para o host atras dele
a regra deve ficar
Por exemplo sendo
0/0 = Qualquer origem
192.168...l = Maquina de rede local atras do fw
80 = Simulando um requisição para um website
iptables -t filter -A FORWARD -s 0.0.0.0/0 -p tcp -d 192.168.10.1 -m state --state NEW,ESTABLISHED --dport 80 -j ACCEPT (CHEGADA)
iptables -t filter -A FORWARD -s IP LOCAL -p tcp -d INTERNET -m state --state NEW,ESTABLISHED --sport 80 -j ACCEPT (SAIDA)

Esta configuracao voce tera que liberar para as maquinas que estao atras do proxy porque quem vai tomar a decisão de qual maquina encaminhar é o balanceador de carga
nao tive temp ode montar um lab mais acho que deve ser este o ponto meu amigo...

Abraços!