jgama

Senhores,

Estou tentanto entender as regras do iptables, já fucei no http://www.google.com.br/linux e encontrei muitas informações, entre elas peguei uma como exemplo e adaptei no meu Servidor, só que depois destas regras editadas no Servidor eu não consigo dar ping tantos nas estações como no Servidor, mas por outro lado o compartilhamento com a internet esta normal.

Servidor IP 192.168.1.100
Estação IP 192.168.1.2
Estação IP 192.168.1.3


#iptables -A INPUT -p icmp -j DROP
Esta regra nega todos os pacotes ICMP vindos do servidor, em que se encontra o firewall.
#iptables -D INPUT -p icmp -j DROP
Esta regra exclui a regra criar acima.
#iptables -A INPUT -s 192.168.1.0/24 -j DROP
Esta regra acima faz com que todos os pacotes vindo de qualquer endereço da classe de
ip 192.168.1.1 á 192.168.1.255 nega os pacotes.
#iptables -A OUTPUT -p icmp -d ! 192.168.1.0/24 -j ACCEPT
Esta regra acima faz com que todos os pacotes vindo de qualquer endereço da classe de
ip 192.168.1.1 á 192.168.1.255 aceita os pacotes.

Configurando o Firewall contra ataque

Proteção contra Syn-floods
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Port scanners ocultos
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping da morte
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

Proteção Contra IP Spoofing
# iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP

Log a portas proibidas e alguns backdoors

Porta FTP
# iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "Serviço: FTP"

Porta Wincrash
# iptables -A INPUT -p tcp --dport 5042 -j LOG --log-prefix "Serviço: Wincrash"

Portas BackOrifice
# iptables -A INPUT -p tcp --dport 12345 -j LOG --log-prefix "Serviço: BackOrifice"
# iptables -A INPUT -p tcp --dport 123456 -j LOG --log-prefix "Serviço: BackOrifice"

Redirecionamneto de Portas (Usado em DMZ)

Redirecionar Porta SMTP
# iptables -t nat -A PREROUTING -s 200.201.0.1 -i eth1 -j DNAT --to 192.168.1.2
# iptables -t nat -A POSTROUTING -s 200.201.0.1 -o eth1 -p tcp --dport 25 -j ACCEPT
# iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth1 -j SNAT --to 200.201.0.1
# iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth1 --p tcp --dport 25 -j ACCEPT

Pergunto destas regras as quais estão bloqueando o ping?

Agradeço a todos antecipadamente.

__________________
" O DVD Pirata de hoje é a bala perdida de amanhã"
Autoria: Bárbara Gancia - Jornalista

Valdir
Sumaré - SP

Bolão

Retire/Comente essa parte para os pings dá certo !!

ICMP são os pacotes de ping !!

__________________
[]'s

Raphael Vieira
Analista de Sistemas

jqueiroz

cadeia INPUT -> pacotes que vão pra máquina (já roteados);
cadeia OUTPUT -> pacotes que saem da máqiuna (antes de rotear);
cadeia FORWARD -> pacotes que vão pra outras máquinas (durante o roteamento).

Ao contrário do IPChains, no IPTables o pacote passa por uma e apenas uma das cadeias acima (levando em consideração apenas a tabela "filter").

Para começar a brincadeira:
# iptables -F -X
Isto vai limpar todas as regras e excluir todas as cadeias definidas pelo usuário. Comece sempre de uma situação que vc conhece.

Defina sua política padrão. Sugestão: bloqueie tudo que entra e libere apenas o que interessa.
# iptables -P INPUT DROP
# iptables -P FORWARD REJECT
# iptables -P OUTPUT ACCEPT
A cadeia INPUT vai rejeitar tudo que não for explicitamente aceito;
A cadeia FORWARD também vai rejeitar, mas um pacote ICMP DEST UNREACHABLE vai ser enviado de volta, avisando que o pacote não passou --- bom pra depurar.
Já a cadeia OUTPUT fica aberta. Afinal, pra que bloquear o que está saindo de sua máquina? Deixa tudo liberado, e feche o que interessa (bom pra descobrir invasões).

Esta regra nega todos os pacotes ICMP chegando para a máquina, inclusive o Ping.
Esta regra exclui a regra criar acima, então por que a de cima foi feita?
Esta regra acima faz com que todos os pacotes vindo de qualquer endereço da classe de ip 192.168.1.1 á 192.168.1.255 nega os pacotes. Ou seja, sua rede interna não pode fazer nada.
Esta regra acima faz você possa enviar pacotes ICMP (inclusive o Ping) para qualquer máquina que não esteja na rede 192.168.1.0/24. Agora, se vai poder ou não, depende das regras à frente e da política da cadeia. Se vc seguiu o que eu falei lá em cima, esta regra é INÚTIL.

__________________

jqueiroz

Esta regra não faz sentido!!! Ela significa que tudo que chega pela interface eth1, e que tenha sido enviado do endereço 200.201.0.1, independentemente de pra onde vai, vai ser direcionado pra 192.168.1.2...
Também não faz sentido. Se está na tabela NAT, o destino (-j) tem que ser SNAT, DNAT, MASQUERADE ou LOG. Essa regra só faria sentido na tabela FILTER. (-t filter ou sem -t)
Essa faz sentido! vc está trocando o endereço de origem do pacote, do endereço inválido, para o endereço válido! Perfeito!
Idem regra 2.

__________________