Liberar solicitacao do ping [RESOLVIDO]

estou montando um firewall

no meu firewall tenho a politica
iptables -A INPUT -j DROP

onde eu bloqueio o acesso externo.
mas tenho regras para bloquear o msn como
iptables -A FORWARD -s $RINTERNA -d loginnet.passport.com -j REJECT

aí quando deixou o INPUT DROP da erro nessa linha porque ele manda um ping para loginnet.passport.com e como ta DROP ele não aceita a resposta dái da erro de host/network not found. se deixo ACCEPT não da erro.

como faço para liberar as respostas para os pings solicitados pelo próprio server?

Tenho essas regras depois do DROP:

########## Permite a Rede Local pingar na Internet
iptables -A FORWARD -p icmp --icmp-type ping -s 192.168.1.0/24 -i eth1 -d 0/0 -o eth0 -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type pong -s 0/0 -i eth0 -d 192.168.1.0/24 -o eth1 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -s 192.168.1.0/24 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -s 192.168.1.0/24 -j ACCEPT

Espero que ajude.

volcom.
tentei todas as linhas e todas deram
Bad Argument 'ACCEPT'

os terminais estão com ping liberados e funcionando.
mas o proprio server não tá liberado.

essa linha
iptables -A INPUT -p icmp --icmp-type 8 -s 192.168.1.0/24 -j ACCEPT

da BAD ARGUMENT
aí tentei

iptables -A INPUT -p icmp --icmp-type 8 -s $WAN -j ACCEPT
dai da erro de hots/network not found

é que eu nao entendo quase nada em iptables.

então fiz assim gesousa.
adicionei

iptables -A OUTPUT -p icmp --icmp-type 0 -o 192.168.1.0/24 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -o 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -s 192.168.1.0/24 -j ACCEPT

mesmo assim não liberou. as outras duas regras de FORWARD não fazem sentido eu colocar porque é o ping direto do firewall que preciso liberar. ou mesmo assim preciso?

pois sem elas não funcionou.

tentei tambem

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

e nada.

Bom para aceitar ping:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

ou mais simples:

iptables -A INPUT -p icmp -i eth1 -j ACCEPT

mas no caso acho que vc esta complicando a sua vida... não precisa determinar input para rejeitar um determinado dominio... basta indicar ele no forward.

iptables -A FORWARD -d loginnet.passport.com -j REJECT


de qualquer forma recomendo a leitura dos links abaixos para vc entender um pouco do funcionamento do iptables...

Explicação Simples
http://www.gdhpress.com.br/blog/resumo-iptables/

Guia Foca
http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htm

E por ultimo os artigos do elgio, que aborda a logica por tras do iptables...

http://www.vivaolinux.com.br/artigo/Estrutura-do-Iptables/
http://www.vivaolinux.com.br/artigo/Estrutura-do-IPTables-2-a-tabela-nat/

pois é. só que sem eu liberar o ping ele da erro nessa linha
iptables -A FORWARD -d loginnet.passport.com -j REJECT

diz que o host nao foi encontrado.


poor isso que preciso liberar o ping do proprio firewall para nesse caso a regra funcionar.

a ordem das regras altera o resultado? como no squid?

digamos primeiro libero depois bloqueio?

sim... a ordem determina o resultado..

por exemplo.

se vc bloquear todas as portas primeiro.

e depois abrir a porta 80..

a primeira regra e que vale, a porta 80 estara fechada.

no caso.

vc deve abrir a porta 80 primeiro

e depois fechar todas as portas...

então deve ser isso.

vou começar um firewall do zero. somente com o que preciso.

aí posto pra você. obrigado