Liberar acesso a redes

1. Liberar acesso a redes

williamverri
(usa Linux Mint)

Enviado em 08/11/2019 - 14:14h

Boa noite, estou com uma dúvida, não sei o que estou fazendo de errado, estou tentando configurar um firewall em meu servidor...

Neste firewall eu mudo na política das chains INPUT, OUTPUT E FORWARD para DROP e libero somente o que eu preciso, até aqui tudo ok...

Eu preciso liberar os serviços deste servidor somente para os IP de uma rede...

Possuo várias redes em minha empresa ( 10.1.1.0/24, 10.2.1.0/24, 10.3.1.0/23, 10.4.1.0/24, 10.5.0.0/21, 10.6.1.0/24, 172.17.0.1/32, 172.17.0.2/32, 172.17.1.1/32, 172.1.2/32... E por aí vai)...

Todos os IPs que começam com 172. Tem máscara /32, e são para todos os IPs que começam 172. que eu quero liberar o ping no servidor aí eu faço a seguinte regra...

iptables -A INPUT -p icmp -s 172.16.0.0/12 -j ACCEPT

Mas não funciona, você pode me dar uma luz?

Eu fiz um teste aqui colocando os IPs individualmente e funcionou, atualmente são uns 20 IPs então consigo colocar 1 por 1, agora se forem muito mais aí seria meio complicado colocar 1 por 1...

0 0

Quote

2. Liberação de Redes

thiago304
(usa Debian)

Enviado em 09/11/2019 - 13:22h

Boa Tarde colega,

Como você mudou a politica das cadeias para DROP, você tera que tratar tando a entrada do pacote ICMP na CHAIN INPUT quanto a saida dele na CHAIN OUTPUT desta forma:

iptables -t filter -I INPUT -p icmp -s 172.16.0.0/12 -j ACCEPT
iptables -t filter -I OUTPUT -p icmp -d 172.16.0.0/12 -j ACCEPT

Tente ser mais especifico na liberação dos tipos de pacotes ICMP's. Ex: liberando somente echo-request e echo reply.
att,

Tiago Eduardo Zacarias
LPIC-3
Viva o Linux !!!!

0 0

Quote

3. Re: Liberar acesso a redes

williamverri
(usa Linux Mint)

Enviado em 10/11/2019 - 20:24h

Vou mostra minhas regras para ver se eu estou fazendo algo de errado...

#!/bin/bash

case $1 in

start)
#Limpa Regras das tabelas e Zera os Contadores
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
iptables -Z

#Altera a politica das tabelas para DROP
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

#Libera LoopBack
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

#INPUT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -p udp -m multiport --dports 1812,1813 -j ACCEPT #Portas do Radius
iptables -t filter -A INPUT -p tcp -m multiport --dports 80,81,85,88,89,90,443,445 -m state --state NEW -j ACCEPT
iptables -t filter -A INPUT -p tcp -s 172.16.0.0/12,192.168.0.0/16 --dport 2223 -j ACCEPT #Libera SSH
iptables -t filter -A INPUT -p icmp -s 172.16.0.0/12 -j ACCEPT

#OUTPUT
iptables -t filter -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 3799 -j ACCEPT #Portas do Radius Incoming
iptables -t filter -A OUTPUT -p udp --dport 53 -d 45.166.44.10,45.166.45.2,8.8.8.8,8.8.4.4 -j ACCEPT #Libera Resolução DNS
iptables -t filter -A OUTPUT -p tcp -m multiport --dports 80,443,587 -j ACCEPT #Libera 80 443 e smtp
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

;;
stop)
#Limpa Regras das tabelas e Zera os Contadores
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
iptables -Z

#Autera a politica das tabelas para ACCEPT
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -P OUTPUT ACCEPT
;;
restart)
$0 stop
$0 start
;;
esac

0 0

Quote