Política de Acesso Padrão [RESOLVIDO]

Neo_X
(usa CentOS)

Enviado em 14/01/2013 - 17:58h

Olá Pessoal,

Queria uma ajuda de vocês, na política padrão do iptables:

## Bloqueio Padrao de portas
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Quando deixo FORWARD DROP, não consigo acessar um host que fica do outro lado da VPN, mas este host "pinga" a minha máquina.


host - Filial - VPN - Matriz - minha máquina


Se eu colocar o FORWARD ACCEPT eu tenho acesso.



Seria alguma regra para a VPN?

renato_pacheco
(usa Debian)

Enviado em 15/01/2013 - 09:48h

Claro! Q tipo d VPN vc tá usando? L2TP, PPTP, IPSec, SSL...?

Neo_X
(usa CentOS)

Enviado em 15/01/2013 - 12:00h

estou usando o OPENVPN

renato_pacheco
(usa Debian)

Enviado em 15/01/2013 - 13:07h

Por padrão, o OpenVPN usa a porta 1194 UDP. Basta liberá-la pra vc t acesso.

Neo_X
(usa CentOS)

Enviado em 15/01/2013 - 14:32h

Eu utilizo essa regra e já está liberada.


## Portas da VPN
iptables -A INPUT -p udp --dport 1194 -j ACCEPT

renato_pacheco
(usa Debian)

Enviado em 15/01/2013 - 14:34h

Vc não deve usar INPUT, mas FORWARD. Troque isso ae.

Neo_X
(usa CentOS)

Enviado em 15/01/2013 - 16:38h

se eu colocar:

iptables -A FORWARD -p udp --dport 1194 -j ACCEPT

a VPN não fecha.

renato_pacheco
(usa Debian)

Enviado em 15/01/2013 - 16:41h

Explique d onde essa VPN está instalada: no próprio firewall ou em outra máquina da rede?

Neo_X
(usa CentOS)

Enviado em 15/01/2013 - 17:19h

Explique d onde essa VPN está instalada: no próprio firewall ou em outra máquina da rede?



Está instalada no próprio firewall.

Filial - VPN - Matriz(Firewall) - host - nessa ordem eu consigo pingar o host com o INPUT DROP e com a regra INPUT ACCEPT da VPN na porta 1194


mas do host para a Filial não pinga.

renato_pacheco
(usa Debian)

Enviado em 15/01/2013 - 17:37h

Sua VPN e suas regras estão corretas, apenas falta vc inserir outras regras d liberação (FORWARD) para ICMP (ping) e outros protocolos q serão necessários para acesso.

Neo_X
(usa CentOS)

Enviado em 16/01/2013 - 15:36h

Renato,

Vc tem alguma regra para eu testar aqui, testei várias que eu pesquisei e nenhuma deu certo.

renato_pacheco
(usa Debian)

Enviado em 16/01/2013 - 17:19h

Não existe um arquivo q valha para vários ambientes, cada caso é um caso. O certo é liberar tudo e ir bloqueando aos poucos. Depois q vc acertar o q deve ser liberado e o q deve ser bloqueado, ae vc cria as suas próprias regras.