problema no firewall urgente [RESOLVIDO]

andre_ramos
(usa openSUSE)

Enviado em 18/06/2009 - 12:14h

O meu firewall esta configurado o opensuse 11.1 mas quando coloca a regra: $IPTABLES -P INPUT DROP nao tenho acesso a internet se eu colocar como ACCEPT a internet funciona normalmente, eu acredito que esteja com algum problema na tabela do INPUT e gostaria de saber se alguem pode me ajudar fico grato

segue o meu script do firewall

#!/bin/bash
#Para apagar as tabelas: iptables -F
#Para listar as regras: -L

# Carrega modulos
modprobe ip_nat_ftp
modprobe iptable_nat

# Habilitar Roteamento
IPTABLES=/usr/sbin/iptables
echo 1 > /proc/sys/net/ipv4/ip_forward

#Politicas de acesso geral
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

#localhost
$IPTABLES -A INPUT -i lo -j ACCEPT

# PREROUTING
$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128

# INPUT

$IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT
# ssh
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
# smtp
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT
# pop3
$IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT
# http
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 80 -j ACCEPT
# https
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT

# OUTPUT

$IPTABLES -A OUTPUT -p tcp --dport 20 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 21 -j ACCEPT
# ssh
$IPTABLES -A OUTPUT -p tcp --dport 22 -j ACCEPT
# smtp
$IPTABLES -A OUTPUT -p tcp --dport 25 -j ACCEPT
# pop3
$IPTABLES -A OUTPUT -p tcp --dport 110 -j ACCEPT
# http
$IPTABLES -A OUTPUT -p tcp --dport 80 -j ACCEPT
# https
$IPTABLES -A OUTPUT -p tcp --dport 443 -j ACCEPT

# FORWARD

$IPTABLES -A FORWARD -p tcp --dport 20 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 21 -j ACCEPT
# ssh
$IPTABLES -A FORWARD -p tcp --dport 22 -j ACCEPT
# smtp
$IPTABLES -A FORWARD -p tcp --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --sport 25 -j ACCEPT
# pop3
$IPTABLES -A FORWARD -p tcp --sport 110 -j ACCEPT
# http
$IPTABLES -A FORWARD -p tcp --dport 80 -j ACCEPT
# https
$IPTABLES -A FORWARD -p tcp --dport 443 -j ACCEPT
# rede local
$IPTABLES -A FORWARD -s 10.1.1.0/8 -j ACCEPT

gesousa
(usa Ubuntu)

Enviado em 18/06/2009 - 12:28h

bom verifica se não é o serviço dns porta 53 tcp/udp que não está sendo negado...

ve se o servidor pinga no ip do google se a politica tiver drop...

ping 74.125.127.100

andre_ramos
(usa openSUSE)

Enviado em 18/06/2009 - 13:18h

tentei pingar no www.google.com.br mas quando esta drop nao aceita acrescentei a regra no script:
$IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT

mas nao da certo
agradeço pela dica mas alguem tem outra dica?

gesousa
(usa Ubuntu)

Enviado em 18/06/2009 - 13:31h

tipo defini as regras de input pela interface.

$IPTABLES -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT

andre_ramos
(usa openSUSE)

Enviado em 18/06/2009 - 14:20h

Agradeço a dica gesousa mas nao deu certo ai eu usei a regra do Diede e funcionou, agradeço a todos mas gostaria de saber qual a funcionalidade desta regra.

Diede
(usa Debian)

Enviado em 18/06/2009 - 16:37h

Então... eu não sei explicar estas regras em totalidade, mas se o elgio passar por aqui, ele poderá explicar com clareza.

A questão destas regras é mais ou menos assim (no que eu compreendi):
Quando você joga o padrão da chain em DROP, você dropa todas as classes de pacotes: NEW (que fazem parte de uma conexão vista pela primeira vez), ESTABLISHED (parte de uma conexão já vista.), RELATED (O que não é diretamente parte da conexão, mas está ligado a ela, como um pacote ICMP de erro, por exemplo).
Se você libera uma porta com umaa regra como:
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT, você estaria na verdade liberando apenas o primeiro pacote da conexão, mas não os ESTABLISHED e RELATED da mesma...

(Fim do que eu entendi por observação...)
(É só axismo mesmo... não hesitem em me corrigir, se eu falei besteira)