iptables -L

ThiagoSantos · 18 de Fevereiro de 2019, 17:31

Olá

Estou configurando iptables no ubuntu server 16.04, e as regras inseridas estão funcionando perfeitamente, porem após mudar a regra padrão de uma cadeira para DROP a listagem da regra (IPTABLES -L) ficou extremamente lento, até então só está lento para listar as regras os demais serviços funcionando, alguém saberia me dizer se isso é um problema ?

Felix · 19 de Fevereiro de 2019, 07:44

Poderia passar aqui qual foi a alteração executada?

ThiagoSantos · 19 de Fevereiro de 2019, 10:59

Bom, esse servidor está rodando serviço de DNS, e tenho para gerencia do mesmo serviços rodando como NTP, SNMP,zabbix, e SSH, pois bem na cadeia INPUT eu apenas inserir regrar para bloquear os serviços NTP, SNMP, SSH, para endereço autorizados, eu deixei liberado serviços DNS sendo que dentro do serviço eu já tenho uma ACL, e a regrar padrão da cadeia é DROP, conforme segue abaixo .

zekkerj · 19 de Fevereiro de 2019, 11:31

Faltou adicionar liberação pra interface loopback.

Sintomas: lentidão em vários comandos, principalmente pra consultar as regras.

Coloque esta regra no início do seu script:

iptables -A INPUT -i lo -J ACCEPT

ThiagoSantos · 19 de Fevereiro de 2019, 14:46

Olá Zekkerj,

Vamos lá, Antes de eu mandar a segunda resposta eu esqueci de falar que eu meu serviço de DNS tinha parado de funciona, mesmo liberando os protocolos e porta do serviço de DNS, foi onde que eu fui analisar novamente quais serviços estavam rodando e em quais portas estava escutando(netstat -tupnl), e verifiquei que as porta onde estava escutando do DNS na loopback eu não acrescentei, bom ai eu fui adicionei as portas do DNS e as portas diferente na loopback onde ele estava escutando(conforme imagem abaixo., mais mesmo assim o serviço de dns não voltou funcionar e nem a lentidão para listar as regras, e encontrei lentidão para listrar os processos rodando. no momento eu tirei a regra padrão (drop)da cadeia porque estava precisando do serviço funcionando, mais irei fazer um teste então colocando a regra que mencionou em primeiro lugar, na cadeira.

zekkerj · 19 de Fevereiro de 2019, 15:17

Não é pra adicionar liberação pra portas: é pra liberar todo o tráfego de loopback. A regra que eu te passei (incondicional) faz isso.
O ideal é que seja a primeira regra da cadeia.

Em seguida, sugiro fortemente que você adicione uma regra de retorno ("-m state --state ESTABLISHED,RELATED -j ACCEPT"), pra garantir navegação pra esse servidor.

ThiagoSantos · 19 de Fevereiro de 2019, 17:19

Bom o problema de demorar listar as regras eu acho que descobrir fazendo pesquisa sobre os comando iptables, porém não entendi porque acontece só quando a regra padrão da cadeia é DROP, quando está ACCEPT não demora, então demora listar porque ele fica tentando resolver os nomes dos ips das regras, se usa -n para não resolver nomes ele lista Rápido -> iptables -L -n --line-numbers.

Mas ainda meu serviço de DNS não está funcionando mesmo, liberando a porta do serviço e adicionando a regra pra libera o fluxo para loopback, eu tiver que voltar a regra da cadeia para ACCEPT.

ThiagoSantos · 22 de Fevereiro de 2019, 03:35

Bom, Referente ao tópico criado, acredito que está claro, que algo relacionado ao DNS, fazia a listagem ficar muito lenta, usando operador -n pode contorna essa questão, sendo que mesmo fazendo a liberação e portas para serviço de DNS não funcionou o serviço e atrapalhou o próprio firewall, experiencia com IPTABLES é péssima, não recomendaria para alguém utilizá-lo como um serviço dedicado, além do que parece que tem bug de versões, Uma mesma regra feita no UBUNTU, não funciona no Debian, alias muita coisa que tentei fazer no Debian não funcionou, o mais engraçado é que o que não funciona no Debian no Ubuntu funciona, sendo que o Ubuntu é baseado no Debian, é muito loco.

zekkerj · 22 de Fevereiro de 2019, 09:50

Então... o iptables é apenas uma das interfaces do NetFilter, a mais simples delas.

Definitivamente, não é voltado à construção de firewalls rebuscados; mas o Ubuntu, em si, não é voltado à construção de firewalls rebuscados. Nem o Debian...

Se a sua intenção é criar um firewall, procure uma distribuição especializada, como o Endian ou o pfSense.

Quanto à incompatibilidade entre Ubuntu e Debian, costuma ser devido aos módulos de iptables pré-instalados, que são diferentes nos dois. Com alguns cuidados, você cria scripts que rodam tanto em um quanto no outro, e talvez até em outras distribuições.

ThiagoSantos · 28 de Fevereiro de 2019, 09:48

Certo, mais eu não queria firewall Dedicado, e sim apenas 4 regrinhas, para filtrar os serviços do servidor em si. o suficiente para os serviços do servidor., mais blz, já um aprendizado que não da pra aplicar isso em um ambiente onde realmente necessita de um firewall .