Política ACCEPT dropando pacotes

raissamarcon
(usa Debian)

Enviado em 18/08/2013 - 21:28h

Boa noite, pessoal. Estou iniciando a mexer com iptables, mas já faz umas duas semanas que estou tendo problemas com firewall no Debian 6. Utilizando sempre a política ACCEPT, alguns pacotes ainda estão sendo dropados. No entando, ao colocar uma política DROP, nenhum pacote passa pelo firewall. Segue o script:

#!/bin/bash

modprobe iptable_nat
iptables -F
iptables -t nat -F

# Política padrão

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# NAT

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# DHCP

iptables -A FORWARD -p udp --dport 67 -j ACCEPT
iptables -A FORWARD -p udp --dport 68 -j ACCEPT
iptables -A INPUT -p udp --dport 67 -j ACCEPT
iptables -A INPUT -p udp --dport 68 -j ACCEPT
iptables -A OUTPUT -p udp --dport 67 -j ACCEPT
iptables -A OUTPUT -p udp --dport 68 -j ACCEPT
iptables -t nat -A PREROUTING -p udp --dport 67 -i eth0 -j DNAT --to 192.168.2.2:67
iptables -t nat -A PREROUTING -p udp --dport 68 -i eth0 -j DNAT --to 192.168.2.2:67# DHCP

# DNS

iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p udp --dport 53 -i eth0 -j DNAT --to 192.168.2.2:53

# TFTP

iptables -A FORWARD -p udp --dport 69 -j ACCEPT
iptables -A INPUT -p udp --dport 69 -j ACCEPT
iptables -A OUTPUT -p udp --dport 69 -j ACCEPT
iptables -t nat -A PREROUTING -p udp --dport 69 -i eth0 -j DNAT --to 192.168.2.2:69

# SSH

iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 22 -i eth0 -j DNAT --to 192.168.2.2:22

# Nagios

iptables -A FORWARD -p tcp --dport 5666 -j ACCEPT
iptables -A INPUT -p tcp --dport 5666 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 5666 -j ACCEPT

# ICMP
iptables -A FORWARD -p ICMP -j ACCEPT
iptables -A INPUT -p ICMP -j ACCEPT
iptables -A OUTPUT -p ICMP -j ACCEPT

Assim, o que eu preciso até funciona. Mas se eu colocar DROP na política, nenhum pacote passa. Alguém pode me responder o que tem de errado no script ou por que isso acontece? Já agradeço!!!

n4t4n
(usa Arch Linux)

Enviado em 18/08/2013 - 22:36h

Seja muito bem vinda ao Viva o Linux e ao Iptables. rsrs

Quais pacotes exatamente estão sendo bloqueados?

Seu problema não está na política adotada, mas nas regras.

Notei que você está redirecionando as portas 67 e 68 do dhcp para uma única porta 67 no ip 192.168.2.2

Troque os --to por --to-destination

Dê um espaço ou de preferência tire o # DHCP do final da linha de regra do firewall.

Se mesmo com estas alterações não funcionar como deveria posta pra gente a saída dos comandos abaixo.

iptables -vnL

iptables -t nat -vnL


Obs.: Substitua quaisquer endereços válidos dessa saída por XXX antes de postar aqui.

raissamarcon
(usa Debian)

Enviado em 18/08/2013 - 22:47h

Obrigada! Na verdade, o erro ali na porta e o #DHCP foi um erro na hora de copiar o script para cá, hahaha. Mas obrigada pelas dicas! Amanhã, quando tiver acesso novamente ao servidor, postarei aqui a saída dos comandos!
Todos se eu colocar DROP, TODOS os pacotes são bloqueados, todos os serviços que eu liberei ali, ao menos. Não consigo acessar nada.

n4t4n
(usa Arch Linux)

Enviado em 18/08/2013 - 22:59h

Por nada. Estamos aqui pra isso. Nos ajudar mutuamente.

Ok. Então posta a saída dos comandos com a política em ACCEPT e depois em DROP. Espere um pouco de tempo depois de colocar a política em DROP para postar, para que o firewall conte alguns pacotes bloqueados.