Firewall com tudo DROP

dalveson
(usa Debian)

Enviado em 26/08/2009 - 10:09h

fale galera!
to precisando de uma força, nao to conseguindo fazer meu firewall iniciar no booot com as chains INPUT e FORWARD como DROP, fiz o seguinte:
tenho o meu script de firewall, nele tenho as seguintes chains
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
salvei este script no diretorio /etc/init.d
adicioneio ele ao boot com o seguinte comando
update-rc.d firewall defaults, ate ae tudo blz
so que qdo eu reinicio o pc aparece nos processos na inicialização o firewall sendo carregado, so qeu apos o login eu executo a seguinte regra iptables -L, e aparece la que as chains INPUT e FORWARD estao como ACCEPT e nao como DROP como eue havia definido no script de firewall, o que ta acontecendo.

renato_pacheco
(usa Debian)

Enviado em 26/08/2009 - 11:14h

Só uma dica (talvez não funcione). Tente mudar d ordem as regras, colocando assim:

iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

dalveson
(usa Debian)

Enviado em 26/08/2009 - 14:04h

vlw pela força mais tbm nao adiantou continua as chins iniciando no boot como accept

renato_pacheco
(usa Debian)

Enviado em 26/08/2009 - 15:41h

Poste as regras do seu iptables completas aki e a saída do comando iptables -L pra gente conferir...

dalveson
(usa Debian)

Enviado em 26/08/2009 - 16:03h

eu criei um outro apenas com o necessario so para mim ver se era o script agora ele ficou assim:


#!bin/bash
firewall_start(){

echo "firewall iniciando..."
sleep 1
echo "ok"
sleep 1
}
firewall_stop(){
iptables -F
iptables -X
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP


iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
}

case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "desativando firewall..."
sleep 2
echo "firewall desativado"
;;
"restart")
echo "firewall reiniciando..."
sleep 1
echo "firewall reiniciado"
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac

renato_pacheco
(usa Debian)

Enviado em 26/08/2009 - 16:36h

Vc esqueceu d postar a saída do seu comando iptables -L e a saída do comando iptables -t nat -L.

dalveson
(usa Debian)

Enviado em 26/08/2009 - 17:09h

desculpa, segue ae irmao:

iptables -L
chain INUPT (policy ACCEPT)
target prot opt source destination
chain FORWARD (policy ACCEPT)
target prot opt source destination
chain OUTPUT (policy ACCEPT)
target prot opt source destination

iptables -t nat -L
chain PREROUTING (policy ACCEPT)
target prot opt source destination
chain POSTROUTING (policy ACCEPT)
target prot opt source destination
chain OUTPUT (policy ACCEPT)
target prot opt source destination

renato_pacheco
(usa Debian)

Enviado em 26/08/2009 - 17:47h

Kra... tenta fazer assim: pegue o seu script e não inicialize-o no boot, mas depois do boot, tente executá-lo separadamente, mas antes vc lista a tabela do iptables pra saber se num tem nenhuma regra lá (qq coisa limpe-as). Depois me fala se ficou a msm coisa.

dalveson
(usa Debian)

Enviado em 27/08/2009 - 08:19h

eu ja havia feito esse teste, retirei do boot o script esperei o sistema inicia depois iniciei o firewall. ae sim tudo ficou correto com as chains DROP. so que nao queria dessa maneira queria que ele iniciase automaticamente no boot.

renato_pacheco
(usa Debian)

Enviado em 27/08/2009 - 09:01h

É o q eu temia... deve tá rodando algum script além do seu. Tanto é q as suas regras não estão incorretas. Tente mudar o nome do seu script, em vez d colocar "firewall", coloque "firewall-linux" e tente rodar o comando:

# update-rc.d firewall-linux defaults

Se der certo, provavelmente tem algum script rodando a mais no seu rc.d.

dalveson
(usa Debian)

Enviado em 27/08/2009 - 09:34h

nada irmao, mudei o nome, remove o antigo e adicionei o novo no boot e tbm nao deu em nada

renato_pacheco
(usa Debian)

Enviado em 27/08/2009 - 09:46h

Então tente achar, dentro do /etc/init.d, se existe algum script ae q esteja rodando alguma regra d firewall, pq eu acredito q essa é a única lógica pra isso. Tanto é q quando vc executa o seu script fora dele, roda numa perfeição... Ah! se vc não encontrar o bendito, vc pode fazer assim:

- Desativar seu script no update-rc.d;
- Copiá-lo para dentro do /usr/bin;
- Dar permissão 700 para o script;
- Acrescentar dentro do /etc/rc.local 3 comandos:

iptables -F
iptables -t nat -F
firewall start

Assim, por mais q tenha algum firewall rodando antes, o rc.local vai limpar as regras e o seu firewall será inicializado sem as regras anteriores. É uma gambiarra, mas pode dar certo.