Iptables bloqueando a Máquina Host para Internet

lalvesbh
(usa Outra)

Enviado em 10/12/2012 - 16:10h

Pessoal, boa tarde!

Sou novo no iptables e preciso de uma ajuda. Estou configurando o iptables na minha rede e a primeira coisa que fiz foi bloquear tudo.

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP



Com isso a internet que estava funcionando na máquina parou:

parou de pingar fora www.google.com
lynx www.google.com da erro ..


Preciso também liberar o squid no firewall, pois os ele também está sendo barrado.


Como faço para liberar a máquina no firewall ?


as seguintes regras abaixo estão funcionando. OK

iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p udp --sport 22 -j ACCEPT
iptables -A INPUT -p ALL -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -p ALL -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

stefaniobrunhara
(usa CentOS)

Enviado em 10/12/2012 - 23:45h

Amigo sugiro que você começe seu firewall com input e o output em accept. Fica mais fácil para você estudar o iptables.

No caso do input se você não tiver serviços instalado nesta máquina não será tão arriscado. Neste caso você faria apenas um regra simples dando um drop na porta do serviço.

Por exemplo por do squid

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -p tcp --dport 3128 -i ethX -j Drop

ethX é a interface que esta conectada ao modem

O output livre é uma boa, simplifica seu firewall, todos os pacotes que saem do seu linux concerteza serão seguros.

O forward é o principal chain, que você deve estudar, pois ele e o responsável pelo funcionamento das estaçoes.

A minha sugestão aqui é somente para facilitar o estudo ok, não quero com esta mensagem discutir a regra correta de se fazer firewall.

neste link abaixo tem um script que eu fiz para servir como ponto de partida para estudar o iptables.

http://centosbr.org/modules/newbb/viewtopic.php?topic_id=3371&forum=26&post_id=16031#forumpo...

Outro link muito bom é o guia do foca que esta em português.

http://www.guiafoca.org/cgs/guia/avancado/ch-fw-iptables.html

saitam
(usa Slackware)

Enviado em 11/12/2012 - 08:15h

o que precisa saber sobre iptables em resumo e no final mostro um script pronto com as regras iptables, resta adaptar para suas regras.
http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html