Ajuda na confecção de firewall [RESOLVIDO]

debian_forex
(usa Debian)

Enviado em 12/10/2009 - 18:29h

Ola amigos da comunidade viva o linux.

Estou estudado o IPTABLES e logo de cara me vi com um problema em relação as regras.

Fiz um script bastante simples e para testar gostaria de bloquear a porta 80 e não conseguir navegar na internet. Fiz a regra com está na maioria dos manuais que baixei na internet mas não deu certo. Quando eu levanto o arquivo do firewall continuo navegando na internet.

Se alguém puder me explicar o que está errado eu agradeço.

Segue abaixo o script

# meuprimeiro2.sh
# Meu primeiro firewall

# Limpando todas as regras

echo "Limpando todas as tabelas e regras"

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

# Carregando os modulos do iptables #
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_MASQUERADE
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
echo "Carregando modulos do iptables ...........[ OK ]"

# Fechando todas as portas

echo "Fechando tudo"

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP


iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


# Bloquear a porta 80

iptables -A INPUT -p tcp --dport 80 -j DROP

# Permite o ping

iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT


# Fim

Abs.

gesousa
(usa Ubuntu)

Enviado em 12/10/2009 - 18:56h

olha a regra abaixos ...

iptables -P OUTPUT ACCEPT

#esta regra permite como politica padrão que qualquer requisição que saia do seu computador seja aceita.

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#esta regra diz que qualquer conexão estabelecidade deve ser aceita...


OU seja a regra baixo de nada vale... até porque a politica sua já está configurada para cancelar qualquer tipo de conexao do input, que não tenha sido requerida antes...

iptables -A INPUT -p tcp --dport 80 -j DROP

vc teria que complementar com a de output

iptables -A OUTPUT -p tcp --dport 80 -j DROP

debian_forex
(usa Debian)

Enviado em 12/10/2009 - 19:00h

Obrigado amigo, vou testa-lá agora.

foguinho.peruca
(usa Ubuntu)

Enviado em 12/10/2009 - 19:07h

Olá!

Com o iptable, a ordem faz diferença....

Tente bloquear a porta 80 antes de aceitar qualquer conexão. Tente antes dessa linha:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Jeff

debian_forex
(usa Debian)

Enviado em 12/10/2009 - 19:14h

Obrigado pelos esclarecimento, agora mais uma questão para esse pobre mortal.

Comentado a linha que aceita todas as coneções estabelecidas e liberando a porta 80 para INPUT e OUTPUT eu deveria estar navegando na internet certo? Pois não estou se puderem me esclarecer mais esta questão agradeço.

Segue abaixo script:

# meuprimeiro2.sh
# Meu primeiro firewall

# Limpando todas as regras

echo "Limpando todas as tabelas e regras"

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

# Carregando os modulos do iptables #
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_MASQUERADE
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
echo "Carregando modulos do iptables ...........[ OK ]"

# Fechando todas as portas

echo "Fechando tudo"

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP


# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


# Liberar a porta 80 para a internet

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

# Permite o ping

iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT


# Fim

Abs.

debian_forex
(usa Debian)

Enviado em 12/10/2009 - 21:11h

Na verdade quero fechar tudo e só liberar a navegação.

Li que a entrada para a navegação ocorre pela porta 80 e a saída é por uma porta aleatória, por isso a politica padrão para OUTPUT deve se ACCEPT (iptables -P OUTPUT ACCEPT).

Alguém poderia me ajudar com essa questão.

gesousa
(usa Ubuntu)

Enviado em 12/10/2009 - 22:19h

deve ser liberado a porta 53 do serviço de dns tb, ela que faz a procura do nome do servidor...

vc pode testar dando um ping no ip do google.

ping 64.233.163.99

se houver resposta então a conexao esta aberta ...

e depois tentar pelo nome

ping www.google.com.br

se aparecer host not found então o dns não está respondendo...


outra questao e a porta de conexao segura 443 para conexoes com https

debian_forex
(usa Debian)

Enviado em 13/10/2009 - 22:17h

Obrigado pelos esclarecimentos. No final ficou assim.

# meuprimeiro.sh
# Meu primeiro firewall

# Limpando todas as regras

echo "Limpando todas as tabelas e regras"

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

# Carregando os modulos do iptables
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_MASQUERADE
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
echo "Carregando modulos do iptables ...........[ OK ]"

# Fechando todas as portas

echo "Fechando tudo"

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# Liberando a internet através da interface ppp0 na porta 80

echo "Liberando a internet pela interface ppp0"

#iptables -A INPUT -s 0.0.0.0/0 -i ppp0 -j ACCEPT
#iptables -A OUTPUT -o ppp0 -j ACCEPT
#iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A INPUT -p tcp -i ppp0 --dport 80 -j DROP

# Permite o ping

iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT

#Liberando o SSH

#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
#iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
#iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -j ACCEPT

#Liberando MSN
#iptables -A OUTPUT -p tcp --sport 1024:5999 --dport 1863:1863 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p tcp --dport 1024:5999 --sport 1863:1863 -m state --state NEW -j ACCEPT

#Liberando conexão (P2P Gnutela)
#iptables -A OUTPUT -p tcp --sport 0:65535 --dport 6346:6346 -m state --state NEW -j ACCEPT

#Liberando conexão (P2P aMule)
iptables -A INPUT -p tcp -m multiport --destination-port 4007,4232,4242,4550,4661 -j ACCEPT
#iptables -A FORWARD -j ACCEPT -p tcp --dport 4672

#Liberando Azureus
#iptables -A INPUT -p tcp --destination-port 6881 -j ACCEPT
#iptables -A FORWARD -j ACCEPT -p tcp --dport 6881

# Fim