Bloquear as portas do iptables

emerson2703
(usa CentOS)

Enviado em 06/07/2009 - 13:39h

Colega como que faço para bloquear todas as portas do iptables e liberar somente o que for necessario.

meu iptables é o seguinte:

Não consigo bloquear o emule dreamule e etc, como que faço para usar a regra drop, no caso bloqueando tudo e liberando somente o necessario, mais que não interfira no funcionamento da minha rede .

meu iptables esta assim:

iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

eduardo
(usa Linux Mint)

Enviado em 06/07/2009 - 14:03h

Para bloquear tudo, e ir apenas liberando o necessário, você precisa muda a política da chain. Você pode fazer com o seguinte comando:

iptables -P INPUT DROP
iptables -P FORWARD DROP

Ou seja, a política padrão ficará como DROP, e depois é só você ir adicionando suas liberações. Se não entra na regra, ele vai bloquear.

Abraços

emerson2703
(usa CentOS)

Enviado em 06/07/2009 - 15:20h

Colega então ficaria deste jeito:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

eduardo
(usa Linux Mint)

Enviado em 06/07/2009 - 15:54h

Exato. Ou seja, você bloqueia tudo para repassangem (FORWARD) e entrada (INPUT). São as regras padrões.

Então você começa a criar suas regras, liberando a entrada pela eth0, a entrada pela lo, a entrada pela porta 80, e o redirecionamento para proxy transparente.

Fora isso, nada vai funcionar.

emerson2703
(usa CentOS)

Enviado em 06/07/2009 - 19:54h

Colega funcionou, mas eu quero liberar a porta do MSN que é 1863 como que faço, pois todas as portas estão bloqueadas.

andrezc
(usa Debian)

Enviado em 06/07/2009 - 21:37h

usa iptables -P INPUT DROP , depois usa iptables -P FORWARD DROP

eduardo
(usa Linux Mint)

Enviado em 07/07/2009 - 08:36h

Para liberar a porta do MSN, e as outras que você quiser liberar, você precisa liberar a repassagem.

iptables -A FORWARD -j ACCEPT -s ip_interno -p tcp --dport 1863

Abraços

emerson2703
(usa CentOS)

Enviado em 07/07/2009 - 12:16h

colega outro colega nosso do forum mandou colocar deste jeito alguem pode analizar esta configuração

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p udp --dport 465 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT
iptables -A OUTPUT -m multiport -p udp --dport ! 53,465 -j DROP

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE