Entendo o iptables

jorgevisentini
(usa CentOS)

Enviado em 19/03/2012 - 18:35h

Pessoal eu estou tendo uma grande dificuldade em entender como funciona o iptables, apesar de ter decorado os comandos...

tipo... tenh esta regra

$iptables -A INPUT -s 200.203.124.0/24 -j ACCEPT
$iptables -A INPUT -d 200.203.124.0/24 -j ACCEPT

eu preciso das duas? tipo... a primeira eu criei uma regra de entrada onde a origem (-s) é é tal...

a segunda cria uma regra de entrada com destino (-d) a tal....

precisa das duas??

outro exemplo é:

$iptables -A INPUT -p tcp --dport 53 -j ACCEPT
$iptables -A INPUT -p udp --dport 53 -j ACCEPT
$iptables -A INPUT -p tcp --sport 53 -j ACCEPT
$iptables -A INPUT -p udp --sport 53 -j ACCEPT

precisa das 4??

phrich
(usa Slackware)

Enviado em 19/03/2012 - 22:47h

Leia isto, vc vai começar a entender sobre o iptables...

http://www.vivaolinux.com.br/artigo/Iptables-Seguranca-total-para-sua-rede

Não se esqueça que isto é apenas o primeiro chute, o gol que vai fazer é vc!

rodrigom
(usa Debian)

Enviado em 19/03/2012 - 23:02h

Boa noite.

De nada adianta decorar as regras se não sabe para que serve :)

Nesse caso em específico você quer saber se realmente precisa de todas essas regras, então tem que saber se o seu firewall, (localhost, INPUT) precisa de tudo que venha do ip 200.203.124.0 e também se ele pode fazer qq acesso ao mesmo ip...

Aquelas ultimas 3 regras geralmente precisa, são para o seu servidor, (localhost) consultar dns..

Seria isso ??

saitam
(usa Slackware)

Enviado em 20/03/2012 - 09:18h

Antes de estudar iptables é recomendado ver antes modelo OSI + serviços usados nas portas e respectivos protolocos.

jocajuni
(usa Debian)

Enviado em 20/03/2012 - 10:30h

INPUT - regras que entram para o firewall (para a propria maquina)
OUTPUT - regras que saem do firewall (da propria maquina)
FORWARD - regras que passam pelo firewall (da rede external para rede interna e vice versa)

Toda regra vc tem que pensar ida e na Volta do pacote

Como nao da para saber oque vc quer nao da para falar se esta certo ou errado.

Por exemplo para seu firewall conseguir resolver nomes - consulta dns

$iptables -A INPUT -p udp --sport 53 -j ACCEPT
$iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

Explicando quando o pacote sair ele vai sair com destino a porta 53 (--dport)
Mas quando ele Volta o pacote Volta Vindo da porta 53 (--sport)

E assim vc vai construindo suas regras
[]
Joca

jorgevisentini
(usa CentOS)

Enviado em 20/03/2012 - 21:11h

Beleza entendi o que você quis dizer... mas tipo...

Bom... essas regras eu entendi e tem lógica..

$iptables -A INPUT -p udp --sport 53 -j ACCEPT
$iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

mas e essas... precisam? mesmo sendo tcp...


$iptables -A INPUT -p tcp --dport 53 -j ACCEPT
$iptables -A INPUT -p tcp --sport 53 -j ACCEPT

isso é que nào estou entendo... eu coloco para o protocolo udp, preciso colocar também para o tcp, ou vice-versa?

jocajuni
(usa Debian)

Enviado em 21/03/2012 - 21:52h

Ai vc tem que entender dos protocolos e servicos o que cada um ultiliza
para resolver nome nao ha necessidade do tcp o tcp para dns eh ultilizado para atualizacao e entre o dns primario com o secundario, terciario e assim por diante, que nao eh o seu caso que soh quer resolver nomes que soh ultiliza o protocolo udp que nao tem garantia pois nao é confiavel porem eh estremamente mai rapido que o tcp que tem todo um controle.

[]s
Joca

jorgevisentini
(usa CentOS)

Enviado em 21/03/2012 - 23:06h

beleza... entendi mais ou menos....

mas tipo.... como eu leio esas regras??

iptables -A OUTPUT -d 200.200.200.200 -p tcp --sport 1023 -j DROP

iptables -A OUTPUT -d 200.200.200.200 -p tcp --dport 1023 -j DROP

tipo... entendi assim...

1 - Adiciona uma nova regra que bloqueia todos os pacotes tcp que saem da porta 1023com destino a 200.200.200.200.

2 - Adiciona uma nova regra que bloqueia todos os pacotes tcp de saída, com destino a porta 1023, do endereço 200.200.200.200.


Está certo assim... estou tentando entender....

jocajuni
(usa Debian)

Enviado em 28/03/2012 - 21:15h

Isso mesmo, soh que vc tem que entender q output eh soh para a maquina que esta rodando o proprio firewall e nao para a rede Interna .