[RESOLVIDO] - Iptables Bloquea tudo

ftgoncalves · 27 de Fevereiro de 2010, 14:25

olá tenho um Ubuntu Server 9.10

e estou configurando o Iptables para garantir sua segurança!!

Só que estou enfrentando problemas com o seguinte comando apt-get update e outros ping por exemplo.

as minhas regras do Iptables

Código Selecionar


*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [407:49338]
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 3306 -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 10000 -j ACCEPT  
-A INPUT -p tcp -m tcp --dport 139 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 445 -j ACCEPT 
-A INPUT -p udp -m udp --dport 137:138 -j ACCEPT 
-A INPUT -j DROP
COMMIT

o que liberei foi ssh, samba, www, mysql, webmin
e no final bloquiei tudo!!!

só que quando do no servidor sudo apt-get update ele não responde!!!
e quando desativo o Firewall com
iptables -F
o apt-get update volta a funcionar!!!
alguem sabe como liberar isso no iptables

zekkerj · 27 de Fevereiro de 2010, 15:23

adicione esta linha no início:

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Ou mude a última linha para

-A INPUT -p tcp -syn -j DROP

ftgoncalves · 28 de Fevereiro de 2010, 13:08

Você poderia esplicar o que estas regras fazem?

vlw

zekkerj · 28 de Fevereiro de 2010, 13:50

A primeira ativa o firewall statefull. Sempre que um pacote passa, saindo para abrir uma conexão, o firewall anota que a conexão está aberta (ESTABLISHED), liberando automaticamente que os pacotes voltem, no sentido contrário. Nos casos em que uma conexão faz com que a máquina do outro lado tente abrir uma conexão reversa (leia-se aí FTP), ele libera automaticamente essa conexão também.

A segunda só bloqueia os pacotes que chegam se eles forem pacotes de pedido de abertura de conexão.

Não sei se vc entendeu, mas o teu erro nessas regras é que você está bloqueando os pacotes de retorno, nas conexões que você abre de dentro pra fora. As duas regras que eu passei são formas de corrigir esse erro.

ftgoncalves · 28 de Fevereiro de 2010, 14:00

uns vlw pela resposta mais to com problema ao tentar adicionar estas regras!!! veja os erros:

ao tentar a primeira que vc sitou que deveria adicionar em primeiro o erro foi:
bad argument 'ESTABLISHED,RELATED'

e ao tentar a segunda regra o erro foi:
iptables-restore v.1.4.4: host/network '-syn' not found

vc saberia o que esta ocorrendo

zekkerj · 28 de Fevereiro de 2010, 14:55

Citação de: ftgoncalves online 28 de Fevereiro de 2010, 14:00
uns vlw pela resposta mais to com problema ao tentar adicionar estas regras!!! veja os erros:

ao tentar a primeira que vc sitou que deveria adicionar em primeiro o erro foi:
bad argument 'ESTABLISHED,RELATED'

Provavelmente vc tem que carregar o módulo "ipt_conntrack" antes.

Citare ao tentar a segunda regra o erro foi:
iptables-restore v.1.4.4: host/network '-syn' not found

vc saberia o que esta ocorrendo

Devo ter errado a sintaxe. Mas veja que é pra fazer uma regra ou a outra, não necessariamente as duas.

zekkerj · 28 de Fevereiro de 2010, 14:57

Citação de: zekkerj online 27 de Fevereiro de 2010, 15:23
-A INPUT -p tcp -syn -j DROP

Achei: o correto é "--syn", e não "-syn".

ftgoncalves · 28 de Fevereiro de 2010, 16:16

Agora funciono o:
-A INPUT -p tcp --syn -j DROP

vlw