Perguntas & Respostas

Publicada por marccora em 25/05/2007 - 15:16h:
* marccora usa Debian

Fala Galera,

É o seguinte, tenho um servidor Debian que faz as vezes de Gateway, nele eu uso IPTables e Squid. Tenho a seguinte regra para bloquear acessos externos pelas portas 5800:5901

/sbin/iptables -A FORWARD -o eth0 -p tcp --dport 5800:5901 -j REJECT

Esta regra acima esta funcionando perfeitamente, mas ai surgiu um problema, preciso liberar estas portas para dois computadores por IP, então eu coloquei as seguinte regras:

/sbin/iptables -A FORWARD -o eth0 -p tcp -d <IP> --dport 5800:5901 -j ACCEPT
/sbin/iptables -A FORWARD -o eth0 -p tcp -s <IP> --sport 5800:5901 -j ACCEPT

O grande problema é que não libera as portas para o IP específico, será que tem algum erro nas regras para liberar por IP?
Galera, se alguém souber de algo me ajude, por favor.

Abraços a todos,
Marcelo

Resposta de dvj em 25/05/2007 - 15:43h:
* dvj usa Conectiva
* dvj tem conceito: 8.9

No Iptables, o pacote irá obedecer a primeira regra em que ela se encaixar no firewall. Logo você deve inverter a ordem das regras colocadas acima para funcionar.
Em seu firewall, deixe as regras configuradas da seguinte maneira:

/sbin/iptables -A FORWARD -o eth0 -p tcp -d <IP> --dport 5800:5901 -j ACCEPT
/sbin/iptables -A FORWARD -o eth0 -p tcp -s <IP> --sport 5800:5901 -j ACCEPT
/sbin/iptables -A FORWARD -o eth0 -p tcp --dport 5800:5901 -j REJECT

Assim, somente o IP desejado poderá acessar as portas em questão e todo o restante terá o acesso negado nas mesmas portas.
Reinicie seu firewall para experimentar o funcionamento das regras.
Espero ter ajudado.

Resposta de diaspcf em 25/05/2007 - 16:05h:
* diaspcf usa Fedora
* diaspcf tem conceito: nenhum voto.

Vc não precisa da regra:
/sbin/iptables -A FORWARD -o eth0 -p tcp -s <IP> --sport 5800:5901 -j ACCEPT
basta utilizar:
/sbin/iptables -A FORWARD -p tcp -m state –state ESTABLISHED -j ACCEPT

Resposta de diaspcf em 25/05/2007 - 16:12h:
* diaspcf usa Fedora
* diaspcf tem conceito: nenhum voto.

Vc tem um erro, pq as duas regras vc coloca "-o eth0", e uma é ida e outra é volta.
Vc deve colocar -i em uma e -o na outra.

Voltar

ATENÇÃO: Antes de contribuir com uma resposta, leia o artigo Qualidade de respostas e certifique-se de que esteja realmente contribuindo com a comunidade. Muitas vezes o ímpeto de contribuir nos leva a atrapalhar ao invés de ajudar.