Liberando apenas algumas portas [RESOLVIDO]

juliocm
(usa Debian)

Enviado em 07/04/2008 - 09:45h

Pessoal eu coloquei um firewall no próprio servidor interno que tenho apenas para rodar um sistema via browser: php + mysql + apache.
Fiz o seguinte:

##bloquear entrada(INPUT), encaminhamento(FORWARD) e saída(OUTPUT).

iptables -P INPUT DROP # (bloqueia entrada)
iptables -P FORWARD DROP # (bloqueia encaminhamento)
iptables -P OUTPUT DROP # Drop(bloqueia saída)

## liberar serviços de entrada:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #aceita conexões estabelecidas#
iptables -A INPUT -i lo -j ACCEPT #(aceita localhost 127.0.0.1)

iptables -A INPUT -p tcp --dport 80 --sync -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 --sync -j ACCEPT

Meus usuários internos fazem acesso a esse servidor pois tenho um sistema em php c/ banco de dados mysql e o apache rodando. Quais portas eu precisaria além das acima liberar para que meus usuários internos da rede tenha acesso ao servidor via browser?

y2h4ck
(usa Suse)

Enviado em 07/04/2008 - 10:01h

A menos que você utilize HTTPS no seu sistema nenhuma. Caso utilize, basta liberar a porta 443/tcp.

[]s

Boa sorte.

elgio
(usa OpenSuSE)

Enviado em 07/04/2008 - 10:33h

Amigo, tu não está liberando NADA no OUTPUT e ainda o DROPA por padrão! (iptables -P OUTPUT DROP # Drop(bloqueia saída)

Ou seja, os pacotes CHEGAM no teu servidor, mas as respostas NÃO SAEM!

Logo, ele está ISOLADO e NINGUÉM CONSEGUE se comunicar com ele (a menos que tenhas omitido outras regras do teu firewall)

elgio
(usa OpenSuSE)

Enviado em 07/04/2008 - 10:34h

Dá uma olhadinha no fluxo de uma conexão TCP/IP:
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=6834

[]'s

bjaraujo
(usa Ubuntu)

Enviado em 07/04/2008 - 10:36h

Tente liberar a saída tb.

elgio
(usa OpenSuSE)

Enviado em 07/04/2008 - 10:39h

iptables -P INPUT DROP # (bloqueia entrada)

iptables -P FORWARD DROP # (bloqueia encaminhamento)

iptables -P OUTPUT DROP # Drop(bloqueia saída)

## liberar serviços de entrada:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #aceita conexões estabelecidas#

Se aceita estabelecidas no INPUT, será apenas em resposta a uma solicitação que o próprio servidor fará. Só que ele não pode fazer nenhuma, pois o OUTPUT está em DROP. Logo a regra acima não faz nada, não casa com nada (não pode voltar resposta se não saiu a pergunta).

iptables -A INPUT -i lo -j ACCEPT #(aceita localhost 127.0.0.1)

iptables -A INPUT -p tcp --dport 80 --sync -j ACCEPT

iptables -A INPUT -p tcp --dport 3128 --sync -j ACCEPT

Terias que liberar no OUTPUT e também liberar ICMP.

O ICMP que precisa para a saude da rede casam com o STABLISHED ou RELATED do módulo state.

Logo, acho que para o teu caso faltaram as seguintes regras:

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT (..) -j ACCEPT
(nesta ultima, coloca tudo que o servidor pode fazer de INICIO DE CONEXÃO. Ao menos DNS deve ter, senão...)

foxl
(usa Debian)

Enviado em 07/04/2008 - 13:46h

assim libera tcp e udp.
e pronto vai rolar

agk
(usa Debian)

Enviado em 08/04/2008 - 09:10h

Nosso colega Elgio está certo, mas eu colocaria a police do output em ACCEPT, isso já resolveria o problema.