Não quero FW ACCEPT

rodrigom
(usa Debian)

Enviado em 14/10/2011 - 14:31h

Pessoal, boa tarde.

Estou criando esse FW, ainda está bem simples, mas com o tempo irei incrementando de acordo com a necessidade..
Estou com uma dúvida, pois não quero deixá-lo ACCEPT, se eu por DROP, as maquinas da rede interna não navegam na internet, já usei as linhas com NEW,RELATED,ESTABLISHED, mas ai pare que as regras de FORWARD "não obedecem".

Pode me ajudar ?

#!/bin/bash

echo " INICIANDO FW "

echo 1 > /proc/sys/net/ipv4/ip_forward

modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_tables
modprobe ipt_LOG
modprobe ipt_MASQUERADE
modprobe ipt_REDIRECT
modprobe ipt_REJECT
modprobe ipt_TCPMSS
modprobe ipt_TOS
modprobe ipt_limit
modprobe ipt_mac
modprobe ipt_mark
modprobe ipt_multiport
modprobe ipt_state
modprobe ipt_tcpmss
modprobe iptable_filter
modprobe iptable_nat

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -t filter -A INPUT -i lo -j ACCEPT

iptables -t nat -A POSTROUTING -j MASQUERADE

iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to 3128

iptables -t filter -A INPUT -p tcp --dport 23 -i eth1 -j ACCEPT

echo " TERMINADO!! "

natanaelhenrique
(usa Arch Linux)

Enviado em 14/10/2011 - 14:44h

Está faltando muita coisa aí, a exemplo do DNS, SSH, E-MAIL, HTTP, HTTPS.

Quando se usa política padrão DROP então tem que ter tudo discriminado nas regras, tudo mesmo.

http://www.jsbusiness.com.br/foca/avancado/ch-fw-iptables.htm#s-fw-iptables-exemplo-fw

rodrigom
(usa Debian)

Enviado em 14/10/2011 - 15:20h

"n4t4n", Obrigado pela ajuda. Tenho estudado bastante os FW que vejo aqui mesmo no VOL, documentação etc.. mas como tem várias formas de fazer a mesma coisa, parece que sempre falta uma peça no quebra-cabeça.. como nesse caso presente..

removido
(usa Nenhuma)

Enviado em 15/10/2011 - 11:04h

Bom dia Senhores,

Tenho costume de realizar os filtros neste esquema (Aceita somente o que esta declarado)

Exemplo:

# LIBERAÇÃO NA CADEIA INPUT E ESTADOS DE CONEXOES
iptables -t filter -A INPUT -i lo -m state --state NEW -j ACCEPT
iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# LIBERAÇÃO NA CADEIA FORWARD E ESTADOS DE CONEXOES
iptables - t filter -A FORWARD -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# CASO O PACOTE NÃO CASE COM AS REGRAS ACIMA ESTA POLITICA SERÁ APLICADA NA TABELA FILTER.
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT


Desta Forma, Trabalhamos com o FIrewall em Statefull

No cenário acima o firewall estaria aceitando somente pacotes que casem com as regras de liberação acima, caso não case com nenhuma a politica padrão da CHAIN seria aplicada.

Quando começei a estudar o firewall Statefull percebi que se eu colocasse esta regra abaixo:
iptables -t filter -A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Esta regra sobrepunha a politica default da cadeia, uma forma de deixar o firewall mais "Closed" foi colocar a regra de statefull sem o estado NEW e depois colocar o estado NEW na regra para liberação.

Lembrando também de colocar as regras de estados nas tabelas NAT,MANGLE e RAW de acordo com cada necessidade.


Att

Tiago Eduardo Zacarias
LPIC-1
Viva o Linux !! Porque nos amamos a liberdade!