Não acessa a internet com politica DROP [RESOLVIDO]

predator
(usa Debian)

Enviado em 08/03/2013 - 13:58h

Olá pessoal,

Estou mudando as politicas do meu firewall todas para DROP, porem, se eu coloco o OUTPUT como DROP, não consigo acessar a internet, nem do proprio firewall, segue o meu script...

Obrigado
Eduardo

#!/bin/sh
iniciar(){

#Carregando modulos
modprobe ip_tables
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_state
modprobe ipt_MASQUERADE


#Definindo a politica default das cadeias
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


#Ativando Roteamento e Compartilhamento de Conexao
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE


# Liberando acesso da rede interna e loopback
iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 192.168.0.0/24 -i lo -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT


#Sockets validos
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


#Liberando portas
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -i eth0 -s 192.168.0.0/24 -m multiport --dport 143,25,587 -j ACCEPT

}
parar(){
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -F -t mangle
/sbin/iptables -X -t mangle

echo "Regras de firewall desativadas..."
}
case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parametros start ou stop"
esac

Leandrops
(usa Ubuntu)

Enviado em 23/03/2013 - 16:29h

estou com mesmo problema cara :S

hrapytor
(usa Debian)

Enviado em 08/08/2013 - 10:45h

Não há necessidade de usar a politica de OUTPUT como DROP. Apenas a INPUT e o FORWARD.

px
(usa Debian)

Enviado em 08/08/2013 - 11:07h

Que eu saiba tem 2 maneiras mais faceis de fazer OUTPUT

1- Usar uma regra genérica com conntrack:

iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED,NEW -j ACCEPT 

2- Usar 2 regras concatenadas:

iptables -A INPUT -s 0/0 -p tcp -m multiport --dport 21,22,23,25,53,80,110,443 -j ACCEPT 

iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 

Se usar DNS via udp adicione também:

iptables -A OUTPUT -s 0/0 -p udp -d DNS-AQUI --dport 53 -j ACCEPT 

Onde 0/0 seria a faixa de ips e sua mascara de rede... qualquer dúvida tamos ai, boa sorte!



---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

Buckminster
(usa Debian)

Enviado em 08/08/2013 - 15:16h

Deixe a política da chain OUTPUT como ACCEPT:

iptables -P OUTPUT ACCEPT

e INPUT e FORWARD como DROP.

brunarega
(usa Slackware)

Enviado em 09/08/2013 - 11:04h

Coloca a regra da seguinte forma.

iptables -A OUTPUT -m state NEW,RELATED,ESTABLISHED -j ACCEPT

souzacarlos
(usa Outra)

Enviado em 09/08/2013 - 11:55h

Uma dica, antes dá uma olhada no que o OUTPUT faz, fica mais fácil de entender se vc tem que deixar DROP OU ACCEPT, as vezes o problema não está na aplicação da regra, está em antes de aplicar ler e entender o que ela faz.

segue link: http://www.tccamargo.com/linux/tutoriais/iptables.html

jtdest
(usa CentOS)

Enviado em 10/08/2013 - 13:24h

acho melhor vc libera porta dns na input e output, porta udp 53, sem dns não tem como fazer consulta .

input -p udp --dport 53 -j ACCEPT
forward -p udp --dport 53 -j ACCEPT

chain output a politica pode deixa ACCEPT

tgcrypt
(usa Debian)

Enviado em 08/12/2015 - 15:55h

Obrigado pela dica, muito boa, resolveu meu problema, o que achei engraçado e que tenho 3 firewall dois passa com o NEW, e um só com o NEW todos com políticas DROP!

--
Tiago Lage

souzacarlos
(usa Outra)

Enviado em 09/12/2015 - 15:14h

KKK merece o troféu Pá de ouro!

tgcrypt
(usa Debian)

Enviado em 09/12/2015 - 15:23h

kkkkkkkk
Verdade, essa tem tempo não tinha prestado atenção na data....

--
Tiago Lage