Ordem de Leitura do IPTABLES [RESOLVIDO]

1. Ordem de Leitura do IPTABLES [RESOLVIDO]

Everton
Pinguim Gigante

(usa Fedora)

Enviado em 21/12/2007 - 09:24h

Olá galera!

Tenho uma dúvida que me persegue a muito tempo, mas para vocês aqui é simples.

Eu não entendo qual a ordem de leitura do netfilter(iptables), pois não sei como proceder no caso de liberar o acesso para os serviços que preciso e bloquear o resto.

Qual é o modo certo ou melhor:
1 - Primeiro BLOQUEIA-SE TUDO e DEPOIS libera o necessário.

ou

2 - Primeiro LIBERAR O NECESSÁRIO e DEPOIS bloqueamos tudo.


  


2. Funcionamento

Sylvio Jollenbeck
sdrconsulting

(usa CentOS)

Enviado em 21/12/2007 - 09:37h

Caro,

O Netfilter Iptables funciona como um interpretador de codigo, varendo o seu texto/script linha a linha.

Sempre a primeira regra irá prevalecer, uma vez que ela for lida, exemplo:

$iptables -A INPUT -p tcp --dport 80 -j ACCEPT
$iptables -A INPUT -p tcp --dport 80 -j REJECT
$iptables -A INPUT -p tcp --dport 80 -j DROP

No exemplo acima, temos aparentemente três regras bem parecidas, a primeira regra libera, a segunda rejeita e a terceira nega o acesso. De acordo com o explicado: "A primeira regra lida terá privilégios", temos então o acesso a porta 80 liberado, mesmo rejeitando e negando o acesso nas regras subsequentes.

Espero ter contribuido.




3. ordem

jorge silva ferreira
john_connor

(usa Slackware)

Enviado em 21/12/2007 - 09:39h

uma outra coisa e que o script de regras do iptables e lida de cima pra baixo entao se vc bloqueou digamos a porta 5900 na sua rede , se vc quer liberar essa porta para alguem , essa regratem que estar acima da que bloqueia .

john


4. Caraaaaca Maluuucooo!

Everton
Pinguim Gigante

(usa Fedora)

Enviado em 21/12/2007 - 09:56h

Ha, ha, ha!!!
----
Deixa eu ver se eu entendi. Um exemplo:
- Quero liberar a navegação na internet, acesso a vnc. Seria assim?
-I FORWARD -o rede_interna -p tcp -m tcp --dport 80 -j ACCEPT
-I FORWARD -o rede_interna -P tcp -m tcp --dport 5900 -j ACCEPT
-I FORWARD -o rede_interna -j DROP


5. Olá,

Nil Anderson Martins da Silva
nil_anderson

(usa Outra)

Enviado em 25/12/2007 - 15:20h

Irei ajudar conforme compreendi sua questão, ok?
As regras são "lidas" de cima para baixo, por este motivo, caso você queria liberar o acesso VNC (exemplo), deve colocar os respectivos IPs que deverão ser liberados acima dos que deverão ser bloqueado, criando assim uma exceção no Firewall. ;)

Seria essa sua dúvida?


6. Estou vendo a Luz!

Everton
Pinguim Gigante

(usa Fedora)

Enviado em 26/12/2007 - 09:19h

Agora entendendo.

Primeiro, deixa-se quem queremos que entre para a festa, depois trancamos os portões. :D






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts